Windows Defender brīdinājums “HostsFileHijack” parādās, ja telemetrija ir bloķēta - Winhelponline

Kopš pagājušās nedēļas jūlija Windows Defender sāka izdot Win32 / HostsFileHijack Brīdinājumi par “potenciāli nevēlamu rīcību”, ja, izmantojot HOSTS failu, esat bloķējis Microsoft Telemetry serverus.

Ārā no SettingsModifier: Win32 / HostsFileHijack gadījumi, par kuriem ziņots tiešsaistē, agrākais par tiem ziņots Microsoft Answers forumi kur lietotājs paziņoja:

Es saņemu nopietnu “potenciāli nevēlamu” ziņojumu. Man ir pašreizējā Windows 10 2004 (1904.388) un tikai Defender kā pastāvīga aizsardzība.
Kā to novērtēt, tā kā pie maniem saimniekiem nekas nav mainījies, es to zinu. Vai arī tas ir kļūdaini pozitīvs vēstījums? Otra pārbaude, izmantojot AdwCleaner vai Malwarebytes vai SUPERAntiSpyware, neuzrāda infekciju.

Brīdinājums “HostsFileHijack”, ja Telemetrija ir bloķēta

Pēc apskates SAIMNIEKI no šīs sistēmas, tika novērots, ka lietotājs ir pievienojis Microsoft Telemetry serverus HOSTS failam un novirzījis to uz 0.0.0.0 (pazīstams kā “null-routing”), lai bloķētu šīs adreses. Šis ir telemetrijas adrešu saraksts, kuru šis lietotājs nav novirzījis.

0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderns. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. neto 0.0.0.0 oneettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 virpulis.data.glbdns2.microsoft.com 0.0.0.0 virpulis.data.microsoft.com 0.0 .0.0 virpulis.data.metron.live.com.nsatc.net 0.0.0.0 virpulis-bn2.metron.live.com.nsatc.net 0.0.0.0 virpulis-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Un eksperts Robs Kohs atbildēja, sakot:

Tā kā jūs neesat novirzījis Microsoft.com un citas cienījamas vietnes melnajā caurumā, Microsoft acīmredzot to redzētu kā potenciāli nevēlamu darbību, tāpēc, protams, viņi tos atklāj kā PUA (ne vienmēr ļaunprātīgas, bet nevēlamas) darbības, kas saistītas ar saimniekiem Faila nolaupīšana.

Tas, ka esat nolēmis, ka vēlaties kaut ko darīt, būtībā nav nozīmes.

Kā es skaidri paskaidroju savā pirmajā ierakstā, izmaiņas, lai veiktu PUA noteikšanu, pēc noklusējuma tika iespējotas, izlaižot Windows 10 2004. gada versiju, tāpēc tas ir viss jūsu pēkšņās problēmas iemesls. Nekas nav nepareizs, izņemot to, ka nevēlaties darbināt sistēmu Windows tā, kā to ir paredzējis izstrādātājs Microsoft.

Tomēr, tā kā jūsu vēlme ir saglabāt šīs neatbalstītās modifikācijas failā Hosts, neskatoties uz to, ka tās nepārprotami pārtrauks daudzas Windows funkcijas, kuru atbalstam šīs vietnes ir paredzētas, jūs, visticamāk, labāk atgriezīsit PUA noteikšanas daļu Windows Defender ir atspējots, kā tas bija iepriekšējās Windows versijās.

Tas bija Dzimis Ginters kurš vispirms rakstīja emuāru par šo jautājumu. Pārbaudiet viņa lielisko amatu Defender atzīmē Windows Hosts failu kā ļaunprātīgu un viņa turpmāko ziņu par šo tēmu. Ginters arī pirmais rakstīja par Windows Defender / CCleaner PUP noteikšanu.

Savā emuārā Ginters atzīmē, ka tas notiek kopš 2020. gada 28. jūlija. Tomēr iepriekš apspriestais Microsoft Answers ziņojums tika izveidots 2020. gada 23. jūlijā. Tātad, mēs nezinām, kuru Windows Defender Engine / klienta versiju ieviesa Win32 / HostsFileHijack telemetrijas bloka noteikšana precīzi.

Jaunākās Windows Defender definīcijas (izdotas no 3. jūlija un turpmāk) uzskata, ka šie “iejauktie” ieraksti HOSTS failā ir nevēlami un brīdina lietotāju par “potenciāli nevēlamu rīcību” - draudu līmeni apzīmējot kā “smagu”.

Jebkurš HOSTS faila ieraksts, kas satur Microsoft domēnu (piemēram, microsoft.com), piemēram, zemāk redzamais, izraisīs brīdinājumu:

0.0.0.0 www.microsoft.com (vai) 127.0.0.1 www.microsoft.com

Tad Windows Defender nodrošinās lietotājam trīs iespējas:

• Noņemt
• Karantīna
• Atļaut ierīcē.

Atlasot Noņemt atiestatītu HOSTS failu uz Windows noklusējuma iestatījumiem, tādējādi pilnībā izdzēšot pielāgotos ierakstus, ja tādi ir.

Tātad, kā es varu bloķēt Microsoft telemetrijas serverus?

Ja Windows Defender komanda vēlas turpināt iepriekš minēto noteikšanas loģiku, jums ir trīs iespējas bloķēt telemetriju, nesaņemot brīdinājumus no Windows Defender.

1. iespēja: pievienojiet HOSTS failu Windows Defender izslēgšanai

Jūs varat pateikt Windows Defender ignorēt SAIMNIEKI failu, pievienojot to izslēgšanas gadījumiem.

1. Atveriet Windows Defender drošības iestatījumus, noklikšķiniet uz vīrusu un draudu aizsardzība.
2. Sadaļā Vīrusu un draudu aizsardzības iestatījumi noklikšķiniet uz Pārvaldīt iestatījumus.
3. Ritiniet uz leju un noklikšķiniet uz Pievienot vai noņemt izslēgšanu
4. Noklikšķiniet uz Pievienot izslēgšanu un noklikšķiniet uz Fails.
5. Atlasiet failu C: Windows System32 drivers etc HOSTS un pievienojiet to.
   

Piezīme: HOSTS pievienošana izņēmumu sarakstam nozīmē, ka, ja nākotnē ļaunprātīga programmatūra traucē jūsu HOSTS failu, Windows Defender sēdētu uz vietas un neko nedarītu ar HOSTS failu. Windows Defender izslēgšana jāizmanto piesardzīgi.

2. iespēja: atspējojiet PUA / PUP skenēšanu, izmantojot Windows Defender

PUA / PUP (potenciāli nevēlama lietojumprogramma / programma) ir programma, kas satur reklāmprogrammatūru, instalē rīkjoslas vai kurai ir neskaidri motīvi. Iekš versijas agrāk nekā Windows 10 2004, Windows Defender pēc noklusējuma neskenēja PUA vai PUP. PUA / PUP noteikšana bija izvēles iespēja kas bija jāiespējo, izmantojot PowerShell vai reģistra redaktoru.

The Win32 / HostsFileHijack Windows Defender radītie draudi ietilpst PUA / PUP kategorijā. Tas nozīmē, ar atspējojot PUA / PUP skenēšanu opciju, varat apiet Win32 / HostsFileHijack faila brīdinājums, neskatoties uz to, ka HOSTS failā ir telemetrijas ieraksti.

Piezīme: PUA / PUP atspējošanas negatīvie aspekti ir tādi, ka Windows Defender neko nedarīs ar nejauši lejupielādētajiem reklāmprogrammatūru komplektētajiem iestatītājiem / instalētājiem.

Padoms: Tev var būt Malwarebytes Premium (kas ietver skenēšanu reāllaikā), kas darbojas kopā ar Windows Defender. Tādā veidā Malwarebytes var rūpēties par PUA / PUP lietām.

3. iespēja: izmantojiet pielāgotu DNS serveri, piemēram, Pi-hole vai pfSense ugunsmūri

Tehniski lietpratīgi lietotāji var izveidot Pi-Hole DNS serveru sistēmu un bloķēt reklāmprogrammatūru un Microsoft telemetrijas domēnus. DNS līmeņa bloķēšanai parasti nepieciešama atsevišķa aparatūra (piemēram, Raspberry Pi vai lēts dators) vai trešās puses pakalpojums, piemēram, OpenDNS ģimenes filtrs. OpenDNS ģimenes filtru konts nodrošina bezmaksas iespēju filtrēt reklāmprogrammatūru un bloķēt pielāgotos domēnus.

Alternatīvi aparatūras ugunsmūris, piemēram, pfSense (kopā ar paketi pfBlockerNG), to var viegli paveikt. Serveru filtrēšana DNS vai ugunsmūra līmenī ir ļoti efektīva. Šeit ir dažas saites, kas norāda, kā bloķēt telemetrijas serverus, izmantojot pfSense ugunsmūri:

Microsoft trafika bloķēšana PFSense Adobo sintakse: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kā bloķēt sistēmā Windows10 Telemetry ar pfsense | Netgate forums: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Bloķēt Windows 10 no jums izsekošanas: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 telemetrija apiet VPN savienojumu: VPN: Komentēt no diskusijas Tzunamii komentārs no diskusijas 'Windows 10 telemetrija apiet VPN savienojumu' . Savienojuma galapunkti operētājsistēmai Windows 10 Enterprise, versija 2004 - Windows privātums | Microsoft dokumenti: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Redaktora piezīme: Es nekad savās sistēmās neesmu bloķējis telemetrijas vai Microsoft Update serverus. Ja jūs ļoti uztrauc privātums, varat izmantot kādu no iepriekš minētajiem risinājumiem, lai bloķētu telemetrijas serverus, nesaņemot Windows Defender brīdinājumus.

Viens neliels pieprasījums: ja jums patika šī ziņa, lūdzu, dalieties ar šo?

• Piespraud to!
• Kopīgojiet to savā iecienītākajā emuārā + Facebook, Reddit
• Čivināt to!