Alertă Windows Defender „HostsFileHijack” apare dacă Telemetria este blocată - Winhelponline

Din iulie săptămâna trecută, Windows Defender a început să emită Win32 / HostsFileHijack „Comportament potențial nedorit” avertizează dacă ați blocat serverele de telemetrie Microsoft folosind fișierul HOSTS.

In afara SettingsModifier: Win32 / HostsFileHijack cazuri raportate online, cel mai vechi caz a fost raportat la Forumurile Microsoft Answers unde utilizatorul a declarat:

Primesc un mesaj serios „potențial nedorit”. Am Windows 10 2004 (1904.388) actual și numai Defender ca protecție permanentă.
Cum se poate evalua asta, din moment ce nimic nu s-a schimbat la gazdele mele, știu asta. Sau este acesta un mesaj fals pozitiv? O a doua verificare cu AdwCleaner sau Malwarebytes sau SUPERAntiSpyware nu arată nicio infecție.

Alertă „HostsFileHijack” dacă Telemetria este blocată

După inspectarea Găzduiește din acel sistem, s-a observat că utilizatorul a adăugat servere de telemetrie Microsoft la fișierul HOSTS și l-a direcționat la 0.0.0.0 (cunoscut sub numele de „rutare nulă”) pentru a bloca acele adrese. Iată lista adreselor de telemetrie null-rutate de către acel utilizator.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Și expertul Rob Koch a răspuns spunând:

Întrucât redirecționați nul Microsoft.com și alte site-uri de renume într-o gaură neagră, Microsoft ar vedea în mod evident că aceasta este o activitate potențial nedorită, așa că, desigur, le detectează ca activitate PUA (nu neapărat rău intenționată, dar nedorită), legată de o gazdă File Hijack.

Faptul că ați decis că este ceva ce doriți să faceți este practic irelevant.

După cum am explicat clar în prima mea postare, modificarea pentru efectuarea detecțiilor PUA a fost activată în mod implicit odată cu lansarea Windows 10 Versiunea 2004, deci acesta este întregul motiv al problemei dvs. bruște. Nimic nu este în neregulă, cu excepția faptului că nu preferați să utilizați Windows așa cum a intenționat dezvoltatorul Microsoft.

Cu toate acestea, din moment ce dorința dvs. este să păstrați aceste modificări neacceptate în fișierul Hosts, în ciuda faptului că vor rupe în mod clar multe dintre funcțiile Windows pe care aceste site-uri sunt concepute să le accepte, este mai bine să reveniți la porțiunea de detectare PUA a Windows Defender este dezactivat așa cum era în versiunile anterioare de Windows.

A fost Günter Born cine a bloguit mai întâi despre această problemă. Verificați postarea lui excelentă Defender semnalează fișierul Windows Hosts ca fiind rău intenționat și postarea sa ulterioară pe această temă. Günter a fost, de asemenea, primul care a scris despre detectarea Windows Defender / CCleaner PUP.

În blogul său, Günter observă că acest lucru se întâmplă din 28 iulie 2020. Cu toate acestea, postarea Microsoft Answers discutată mai sus a fost însă creată pe 23 iulie 2020. Deci, nu știm ce versiune Windows Defender Engine / client a introdus Win32 / HostsFileHijack detectarea blocului de telemetrie exact.

Ultimele definiții Windows Defender (emise începând cu săptămâna 3 iulie încoace) consideră acele intrări „modificate” din fișierul HOSTS ca fiind nedorite și avertizează utilizatorul de „comportament potențial nedorit” - cu un nivel de amenințare notat ca „sever”.

Orice intrare de fișier HOSTS care conține un domeniu Microsoft (de exemplu, microsoft.com), precum cel de mai jos, va declanșa o alertă:

0.0.0.0 www.microsoft.com (sau) 127.0.0.1 www.microsoft.com

Windows Defender va oferi apoi trei opțiuni utilizatorului:

• Elimina
• Carantină
• Permiteți pe dispozitiv.

Selectarea Elimina ar reseta fișierul HOSTS la setările implicite Windows, ștergând astfel complet intrările personalizate, dacă există.

Deci, cum pot bloca serverele de telemetrie ale Microsoft?

Dacă echipa Windows Defender dorește să continue cu logica de detectare de mai sus, aveți trei opțiuni pentru a bloca telemetria fără a primi alerte de la Windows Defender.

Opțiunea 1: Adăugați fișierul HOSTS la excluderile Windows Defender

Puteți spune Windows Defender să ignore Găzduiește fișier adăugându-l la excluderi.

1. Deschideți setările de securitate Windows Defender, faceți clic pe Protecție împotriva virușilor și amenințărilor.
2. Sub Setări de protecție împotriva virușilor și amenințărilor, faceți clic pe Gestionați setările.
3. Derulați în jos și dați clic pe Adăugați sau eliminați excluderi
4. Faceți clic pe Adăugați o excludere și faceți clic pe Fișier.
5. Selectați fișierul C: Windows System32 drivers etc HOSTS și adăugați-l.
   

Notă: Adăugarea HOSTS la lista de excluderi înseamnă că, dacă un malware modifică fișierul dvs. HOSTS în viitor, Windows Defender ar sta liniștit și nu ar face nimic despre fișierul HOSTS. Excluderile Windows Defender trebuie utilizate cu prudență.

Opțiunea 2: Dezactivați scanarea PUA / PUP de către Windows Defender

PUA / PUP (aplicație / program potențial nedorit) este un program care conține adware, instalează bare de instrumente sau are motive neclare. În versiuni mai devreme decât Windows 10 2004, Windows Defender nu a scanat în mod implicit PUA sau PUP. Detectarea PUA / PUP a fost o caracteristică opt-in care trebuia activat folosind PowerShell sau Editorul de registry.

Win32 / HostsFileHijack amenințarea ridicată de Windows Defender intră în categoria PUA / PUP. Asta înseamnă, prin dezactivarea scanării PUA / PUP , puteți ocoli opțiunea Win32 / HostsFileHijack avertisment de fișier, deși are intrări de telemetrie în fișierul HOSTS.

Notă: Un dezavantaj al dezactivării PUA / PUP este că Windows Defender nu ar face nimic în ceea ce privește programele de instalare / programele de adware pe care le descărcați din greșeală.

Bacsis: Poti avea Malwarebytes Premium (care include scanarea în timp real) rulează alături de Windows Defender. În acest fel, Malwarebytes se poate ocupa de lucrurile PUA / PUP.

Opțiunea 3: utilizați un server DNS personalizat, cum ar fi Pi-hole sau pfSense firewall

Utilizatorii cu cunoștințe tehnice pot configura un sistem de server DNS Pi-Hole și pot bloca adware și domenii de telemetrie Microsoft. Blocarea la nivel DNS necesită, de obicei, hardware separat (cum ar fi Raspberry Pi sau un computer cu preț redus) sau un serviciu terță parte, cum ar fi filtrul familiei OpenDNS. Contul de filtru familial OpenDNS oferă o opțiune gratuită pentru a filtra adware și a bloca domenii personalizate.

Alternativ, un firewall hardware precum pfSense (împreună cu pachetul pfBlockerNG) poate realiza acest lucru cu ușurință. Filtrarea serverelor la nivel de DNS sau firewall este foarte eficientă. Iată câteva linkuri care vă spun cum să blocați serverele de telemetrie folosind firewall-ul pfSense:

Blocarea traficului Microsoft în PFSense | Sintaxa Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cum se blochează în Windows 10 Telemetrie cu pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blocați Windows 10 să vă urmărească: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry ocolește conexiunea VPN: VPN: cometariu din discuție Comentariul lui Tzunamii din discuția „Telemetria Windows 10 ocolește conexiunea VPN” . Puncte finale de conexiune pentru Windows 10 Enterprise, versiunea 2004 - Windows Privacy | Documente Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Nota editorului: Nu am blocat niciodată serverele de telemetrie sau Microsoft Update din sistemele mele. Dacă sunteți foarte preocupat de confidențialitate, puteți utiliza una dintre soluțiile de mai sus pentru a bloca serverele de telemetrie fără a primi alertele Windows Defender.

O mică solicitare: Dacă ți-a plăcut această postare, te rog să le distribui?

• Fixează-l!
• Distribuiți-l pe blogul dvs. preferat + Facebook, Reddit
• Trimite-l pe Twitter!