Od srpnja prošlog tjedna počeo je izdavati Windows Defender Win32 / HostsFileHijack Upozorenja o „potencijalno neželjenom ponašanju“ ako ste blokirali Microsoftove telemetrijske poslužitelje pomoću datoteke HOSTS.
Iz SettingsModifier: Win32 / HostsFileHijack slučajevi prijavljeni putem interneta, najraniji je prijavljen na Forumi Microsoftovih odgovora gdje je korisnik izjavio:
Dobivam ozbiljnu 'potencijalno neželjenu' poruku. Imam trenutni Windows 10 2004 (1904.388) i samo Defender kao trajnu zaštitu.
Kako to procijeniti, budući da se kod mojih domaćina ništa nije promijenilo, to znam. Ili je ovo lažno pozitivna poruka? Druga provjera s AdwCleaner ili Malwarebytes ili SUPERAntiSpyware ne pokazuje infekciju.
Upozorenje 'HostsFileHijack' ako je Telemetrija blokirana
Nakon pregleda DOMAĆINI iz tog sustava, primijećeno je da je korisnik u datoteku HOSTS dodao poslužitelje Microsoft Telemetry i preusmjerio je na 0.0.0.0 (poznat kao 'null-routing') kako bi blokirao te adrese. Evo popisa telemetrijskih adresa koje je taj korisnik nultirao.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderan. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetrija. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 postavke- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
A stručnjak Rob Koch odgovorio je rekavši:
Budući da ste nulu usmjeravali Microsoft.com i druge ugledne web stranice u crnu rupu, Microsoft bi to očito vidio kao potencijalno neželjenu aktivnost, pa ih naravno otkriva kao PUA (ne nužno zlonamjernu, ali neželjenu) aktivnost povezanu s hostovima Otmica datoteke.
To što ste zaključili da je to nešto što želite učiniti, u osnovi je nevažno.
Kao što sam jasno objasnio u svom prvom postu, promjena izvođenja PUA otkrivanja omogućena je prema zadanim postavkama izdavanjem sustava Windows 10 Verzije 2004, pa je to čitav razlog vašeg iznenadnog problema. Ništa nije u redu, osim što ne želite upravljati sustavom Windows na način koji je programer Microsoft namjeravao.
Međutim, budući da je vaša želja zadržati ove nepodržane izmjene u datoteci Hosts, unatoč činjenici da će očito prekinuti mnoge funkcije sustava Windows koje su web stranice dizajnirane da podržavaju, vjerojatno bi bilo bolje da vratite dio PUA za otkrivanje Windows Defender onemogućen kao nekada u prethodnim verzijama Windowsa.
Bilo je Günter Rođen koji je prvi objavio blog o ovom pitanju. Pogledajte njegov izvrsni post Defender označava datoteku hostova sustava Windows kao zlonamjernu i njegov sljedeći post o ovoj temi. Günter je također prvi napisao o otkrivanju PUP-a u sustavu Windows Defender / CCleaner.
U svom blogu Günter primjećuje da se to događa od 28. srpnja 2020. Međutim, prethodno raspravljeni post o Microsoftovim odgovorima stvoren je 23. srpnja 2020. Dakle, ne znamo koja je verzija programa Windows Defender Engine / klijent uvela Win32 / HostsFileHijack točno otkrivanje telemetrijskog bloka.
Nedavne definicije sustava Windows Defender (objavljene od 3. srpnja nadalje) smatraju da su ti 'izmijenjeni' unosi u datoteci HOSTS nepoželjni i upozoravaju korisnika na 'potencijalno neželjeno ponašanje' - s razinom prijetnje označenom kao 'ozbiljnu'.
Bilo koji unos datoteke HOSTS koji sadrži Microsoftovu domenu (npr. Microsoft.com), poput one u nastavku, pokrenuo bi upozorenje:
0.0.0.0 www.microsoft.com (ili) 127.0.0.1 www.microsoft.com
Windows Defender tada bi korisniku pružio tri mogućnosti:
- Ukloniti
- Karantena
- Dopusti na uređaju.
Odabir Ukloniti vratio bi datoteku HOSTS na zadane postavke sustava Windows, čime bi u potpunosti izbrisao vaše prilagođene unose ako ih ima.
Pa, kako mogu blokirati Microsoftove telemetrijske poslužitelje?
Ako tim programa Windows Defender želi nastaviti s gore navedenom logikom otkrivanja, imate tri mogućnosti za blokiranje telemetrije bez primanja upozorenja od sustava Windows Defender.
1. opcija: dodajte datoteku HOSTS u izuzimanja programa Windows Defender
Možete reći Windows Defenderu da ignorira DOMAĆINI datoteku dodavanjem izuzimanjima.
- Otvorite sigurnosne postavke programa Windows Defender, kliknite Zaštita od virusa i prijetnji.
- U odjeljku Postavke zaštite od virusa i prijetnji kliknite Upravljanje postavkama.
- Pomaknite se prema dolje i kliknite Dodaj ili ukloni izuzimanja
- Kliknite Dodaj izuzeće, a zatim Datoteka.
- Odaberite datoteku
C: Windows System32 drivers etc HOSTSi dodajte ga.
Bilješka: Dodavanje HOSTS-a na popis izuzetaka znači da će, ako zlonamjerni softver ubuduće neovlašteno promijeni vašu datoteku HOSTS, Windows Defender mirno sjediti i ništa ne poduzeti u vezi s datotekom HOSTS. Izuzimanja programa Windows Defender moraju se koristiti s oprezom.
2. opcija: Onemogućite PUA / PUP skeniranje u programu Windows Defender
PUA / PUP (potencijalno neželjeni program / program) je program koji sadrži adware, instalira alatne trake ili ima nejasne motive. U verzije ranije od sustava Windows 10 2004, Windows Defender nije skenirao PUA ili PUP-ove prema zadanim postavkama. PUA / PUP otkrivanje bila je opcija za prijavu koji je trebalo omogućiti pomoću PowerShell-a ili Uređivača registra.
The Win32 / HostsFileHijack prijetnja koju pokreće Windows Defender spada u kategoriju PUA / PUP. To znači, po onemogućavanje PUA / PUP skeniranja opciju, možete zaobići Win32 / HostsFileHijack upozoriti na datoteku unatoč tome što u datoteci HOSTS imaju unose telemetrije.
Bilješka: Loša strana onemogućavanja PUA / PUP-a je to što Windows Defender ne bi učinio ništa u vezi s adware-paketima instalacija / instalatora koje nehotično preuzmete.
Savjet: Možeš imati Malwarebytes Premium (što uključuje skeniranje u stvarnom vremenu) koji se izvodi zajedno sa sustavom Windows Defender. Na taj se način Malwarebytes mogu pobrinuti za PUA / PUP stvari.
Opcija 3: Upotrijebite prilagođeni DNS poslužitelj poput Pi-hole ili pfSense vatrozida
Tehnički pametni korisnici mogu postaviti sustav DNS poslužitelja Pi-Hole i blokirati adware i Microsoftove domene telemetrije. Za blokiranje na razini DNS-a obično je potreban zaseban hardver (poput Raspberry Pi ili jeftino računalo) ili usluga treće strane poput filtra obiteljske OpenDNS. Porodični račun filtra OpenDNS pruža besplatnu mogućnost filtriranja adwarea i blokiranja prilagođenih domena.
Alternativno, hardverski vatrozid poput pfSense (zajedno s paketom pfBlockerNG) to može lako postići. Filtriranje poslužitelja na razini DNS-a ili vatrozida vrlo je učinkovito. Evo nekoliko veza koje vam govore kako blokirati telemetrijske poslužitelje pomoću pfSense vatrozida:
Blokiranje Microsoftovog prometa u PFSense | Sintaksa Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kako blokirati u sustavu Windows10 Telemetry s pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokiraj Windows 10 da vas ne prati: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetrija zaobilazi VPN vezu: VPN: Komentar iz rasprave Tzunamiijev komentar iz rasprave 'Telemetrija Windows 10 zaobilazi VPN vezu' . Krajnje točke povezivanja za Windows 10 Enterprise, verzija 2004 - Windows Privacy | Microsoftovi dokumenti: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Napomena urednika: Nikad u svojim sustavima nisam blokirao telemetriju ili poslužitelje Microsoft Update. Ako vas jako brine privatnost, možete upotrijebiti jedno od gore navedenih rješenja kako biste blokirali poslužitelje telemetrije bez primanja upozorenja sustava Windows Defender.
Jedan mali zahtjev: Ako vam se svidio ovaj post, molim vas podijelite ga?
Jedna vaša 'majušna' dionica ozbiljno bi pomogla rastu ovog bloga. Nekoliko sjajnih prijedloga:- Prikvačiti!
- Podijelite ga sa svojim omiljenim blogom + Facebook, Reddit
- Tweet ga!