A Windows Defender „HostsFileHijack” riasztása megjelenik, ha a Telemetria blokkolva van - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline

A múlt hét júliusa óta a Windows Defender elkezdte kiadni Win32 / HostsFileHijack „Potenciálisan nem kívánt viselkedés” riasztások, ha a HOSTS fájl használatával blokkolta a Microsoft Telemetry szervereit.



megvédeni hostsfilehijack

Ki a SettingsModifier: Win32 / HostsFileHijack online jelentett esetek, a legkorábbi eset a Microsoft Answers fórumok ahol a felhasználó kijelentette:



Komoly 'potenciálisan nem kívánt' üzenetet kapok. Van a jelenlegi Windows 10 2004 (1904.388), és csak a Defender van állandó védelem.
Hogy lehet ezt értékelni, mivel a vendéglátóimnál semmi sem változott, ezt tudom. Vagy ez hamis pozitív üzenet? Az AdwCleaner vagy a Malwarebytes vagy a SUPERAntiSpyware második ellenőrzése nem mutat fertőzést.

„HostsFileHijack” figyelmeztetés, ha a Telemetria blokkolva van

Miután megvizsgálta a OTTHONT AD fájlt a rendszerből, megfigyelték, hogy a felhasználó hozzáadta a Microsoft Telemetry szervereket a HOSTS fájlhoz, és 0,0.0.0-ra (más néven „null-routing”) továbbította ezeket a címeket. Itt található az adott felhasználó által nullavezetett telemetriai címek listája.



0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. nettó 0.0.0.0 oneettings-db5.metron.live.com.nsatc.net 0.0.0.0 oneettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Rob Koch szakértő pedig így válaszolt:

Mivel semmibe viszi a Microsoft.com és más jó hírű webhelyek fekete lyukat, a Microsoft ezt nyilvánvalóan potenciálisan nemkívánatos tevékenységnek látná, így természetesen PUA (nem feltétlenül rosszindulatú, de nemkívánatos) tevékenységként észlelik őket, a Gazdákhoz kapcsolódóan File Hijack.

Az, hogy úgy döntöttél, hogy ezt akarod csinálni, alapvetően lényegtelen.

Amint azt első bejegyzésemben egyértelműen kifejtettem, a PUA-észlelések végrehajtására vonatkozó változtatást alapértelmezés szerint engedélyezték a Windows 10 2004-es verziójának kiadásával, így a hirtelen probléma teljes oka. Semmi nincs rendben, kivéve, hogy nem a Windows rendszert szeretné úgy működtetni, ahogyan azt a Microsoft fejlesztő szánta.

Mivel azonban kívánja megőrizni ezeket a nem támogatott módosításokat a Hosts fájlban, annak ellenére, hogy egyértelműen megtörik a Windows azon funkcióit, amelyeket ezek a webhelyek támogatnak, valószínűleg jobb, ha visszavonja a A Windows Defender le van tiltva, mint régen a Windows korábbi verzióiban.

Ez volt Günter Született aki először blogolt erről a kérdésről. Nézze meg kiváló bejegyzését A Defender rosszindulatúként jelöli meg a Windows Hosts fájlt és későbbi, e témával kapcsolatos bejegyzését. Günter is elsőként írt a Windows Defender / CCleaner PUP felismerésről.

Blogjában Günter megjegyzi, hogy ez 2020. július 28. óta zajlik. A fentebb tárgyalt Microsoft Answers bejegyzés azonban 2020. július 23-án jött létre. Tehát nem tudjuk, melyik Windows Defender Engine / kliens verzió vezette be Win32 / HostsFileHijack telemetriás blokk detektálás pontosan.

A legutóbbi (július 3. hetétől kezdődően kiadott) Windows Defender-definíciók nem kívántnak tekintik a HOSTS fájlban szereplő „manipulált” bejegyzéseket, és figyelmeztetik a felhasználót „potenciálisan nemkívánatos viselkedésre” - a fenyegetési szintet „súlyosnak” jelölve.

Bármely Microsoft tartományt (pl. Microsoft.com) tartalmazó HOSTS fájlbejegyzés, például az alábbi, riasztást vált ki:

0.0.0.0 www.microsoft.com (vagy) 127.0.0.1 www.microsoft.com

A Windows Defender ezután három lehetőséget kínál a felhasználónak:

  • Eltávolítás
  • Karantén
  • Engedélyezés az eszközön.

megvédeni hostsfilehijack

Kiválasztása Eltávolítás visszaállítaná a HOSTS fájlt a Windows alapértelmezett beállításaira, ezáltal teljesen törölve az egyéni bejegyzéseket, ha vannak ilyenek.

megvédeni hostsfilehijack

Szóval, hogyan blokkolhatom a Microsoft telemetriai szervereit?

Ha a Windows Defender csapata folytatni kívánja a fenti észlelési logikát, három lehetősége van a telemetria blokkolására anélkül, hogy riasztásokat kapna a Windows Defenderből.

1. lehetőség: HOSTS fájl hozzáadása a Windows Defender kizárásaihoz

A Windows Defender figyelmen kívül hagyhatja a OTTHONT AD fájl hozzáadásával a kizárásokhoz.

  1. Nyissa meg a Windows Defender biztonsági beállításait, kattintson a Vírusok és fenyegetések elleni védelem lehetőségre.
  2. A Vírus- és fenyegetésvédelmi beállítások alatt kattintson a Beállítások kezelése elemre.
  3. Görgessen lefelé, és kattintson a Kizárások hozzáadása vagy eltávolítása elemre
  4. Kattintson a Kizárás hozzáadása elemre, majd a Fájl gombra.
  5. Válassza ki a fájlt C: Windows System32 drivers etc HOSTS és add hozzá.
    megvédeni hostsfilehijack

Jegyzet: A HOSTS felvétele a kizárások listájába azt jelenti, hogy ha a jövőben egy rosszindulatú program megkísérli a HOSTS fájlt, a Windows Defender mozdulatlanul ül, és nem tesz semmit a HOSTS fájl ellen. A Windows Defender kizárásait óvatosan kell használni.

2. lehetőség: Tiltsa le a PUA / PUP keresést a Windows Defender segítségével

A PUA / PUP (potenciálisan nem kívánt alkalmazás / program) olyan program, amely reklámprogramokat tartalmaz, eszköztárakat telepít, vagy tisztázatlan motívumokkal rendelkezik. Ban,-ben változatok korábban, mint a Windows 10 2004, a Windows Defender alapértelmezés szerint nem vizsgálta a PUA-t vagy a kölyköket. A PUA / PUP felismerés opt-in funkció volt amelyet engedélyezni kellett a PowerShell vagy a Beállításszerkesztő használatával.

kéz pont ikonraA Win32 / HostsFileHijack a Windows Defender által felvetett fenyegetés PUA / PUP kategóriába tartozik. Ez azt jelenti, hogy a PUA / PUP szkennelés letiltása opcióval megkerülheti a Win32 / HostsFileHijack fájl figyelmeztetés annak ellenére, hogy telemetriai bejegyzések vannak a HOSTS fájlban.

defender pua blokkolja a Windows 10-et

Jegyzet: A PUA / PUP letiltásának hátránya, hogy a Windows Defender semmit sem tenne az ön által akaratlanul letöltött, adware-hez mellékelt telepítők / telepítők ellen.

tippek izzó ikonra Tipp: Megkaphatod Malwarebytes Premium (amely valós idejű szkennelést is tartalmaz) a Windows Defender mellett fut. Így a Malwarebytes gondoskodhat a PUA / PUP dolgokról.

3. lehetőség: Használjon egyedi DNS-kiszolgálót, például Pi-hole vagy pfSense tűzfalat

A hozzáértő felhasználók beállíthatnak egy Pi-Hole DNS-kiszolgáló rendszert, és blokkolhatják a reklámprogramokat és a Microsoft telemetriai tartományait. A DNS-szintű blokkoláshoz általában külön hardverre van szükség (például Raspberry Pi vagy olcsó számítógép), vagy egy harmadik féltől származó szolgáltatásra, például az OpenDNS családszűrőre. Az OpenDNS családi szűrőfiók ingyenes lehetőséget kínál az adware szűrésére és az egyéni domainek blokkolására.

Alternatív megoldásként egy hardveres tűzfal, mint például a pfSense (a pfBlockerNG csomaggal együtt), ezt könnyen meg tudja valósítani. A szerverek szűrése DNS vagy tűzfal szintjén nagyon hatékony. Íme néhány hivatkozás, amely bemutatja, hogyan blokkolhatja a telemetriai kiszolgálókat a pfSense tűzfal használatával:

A Microsoft forgalom blokkolása a PFSense-ben | Adobo Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Hogyan lehet blokkolni a Windows10 Telemetry programot a pfsense segítségével | Netgate fórum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense A Windows 10 letiltása az Ön nyomon követésétől: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetria megkerüli a VPN-kapcsolatot: VPN: Megjegyzés beszélgetésből Tzunamii hozzászólása a „Windows 10 telemetria megkerüli a VPN-kapcsolatot” beszélgetésből . Csatlakozási végpontok a Windows 10 Enterprise 2004-es verziójához - Windows Adatvédelem | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

A szerkesztő megjegyzése: Soha nem blokkoltam a telemetria vagy a Microsoft Update kiszolgálókat a rendszereimben. Ha nagyon aggódik az adatvédelem miatt, akkor a fenti megoldások egyikével blokkolhatja a telemetriai kiszolgálókat a Windows Defender figyelmeztetései nélkül.


Egy apró kérés: Ha tetszett ez a bejegyzés, kérjük, ossza meg ezt?

Egy „apró” részvénye komolyan sokat segítene ennek a blognak a növekedésében. Néhány nagyszerű javaslat:
  • Tűzd ki!
  • Oszd meg kedvenc blogodon + Facebookon, a Reddit-ben
  • Tweeteld!
Szóval nagyon köszönöm a támogatást, olvasóm. Nem fog több, mint 10 másodperc az idődből. A megosztás gombjai közvetlenül alul találhatók. :)