מאז יולי בשבוע שעבר, החל Windows Defender להנפיק Win32 / HostsFileHijack התראות 'התנהגות שעלולה להיות בלתי רצויה' אם חסמת את שרתי הטלמטריה של מיקרוסופט באמצעות קובץ ה- HOSTS.
מחוץ ל מגדיר הגדרות: Win32 / HostsFileHijack מקרים שדווחו ברשת, המקרה המוקדם ביותר דווח באתר פורומים של תשובות של מיקרוסופט היכן שהמשתמש הצהיר:
אני מקבל הודעה רצינית 'שעלולה להיות בלתי רצויה'. יש לי את Windows 10 2004 הנוכחי (1904.388) ואת המגן היחיד כמגן קבוע.
איך זה צריך להעריך, מכיוון ששום דבר לא השתנה אצל המארחים שלי, אני יודע את זה. או שמא זהו מסר חיובי כוזב? בדיקה שנייה עם AdwCleaner או Malwarebytes או SUPERAntiSpyware לא מראה זיהום.
התראת 'HostsFileHijack' אם הטלמטריה חסומה
לאחר בדיקת ה- מארחים ממערכת זו, נצפה שהמשתמש הוסיף לקובץ HOSTS שרתי מיקרוסופט טלמטריה וניתב אותו ל -0.0.0.0 (המכונה 'ניתוב ריק') כדי לחסום כתובות אלה. להלן רשימת כתובות הטלמטריה המנותבות על ידי אותו משתמש.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 מודרני. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 rapporter.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 הגדרות.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 הגדרות- sandbox.data.microsoft.com 0.0.0.0 הגדרות-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 מערבולת- db5.metron.live.com.nsatc.net 0.0.0.0 מערבולת- hk2.metron.live.com.nsatc.net 0.0.0.0 מערבולת- sandbox.data.microsoft.com 0.0.0.0 מערבולת-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
והמומחה רוב קוך הגיב ואמר:
מכיוון שאתה מבטל את ניתוב Microsoft.com ואתרים מכובדים אחרים לחור שחור, ברור שמיקרוסופט תראה בכך פעילות שעלולה להיות בלתי רצויה, אז כמובן שהם מזהים את אלה כפעילות PUA (לא בהכרח זדונית, אך לא רצויה), הקשורה למארחים. חטיפת קבצים.
שהחלטת שזה משהו שאתה רוצה לעשות זה בעצם לא רלוונטי.
כפי שהסברתי בבירור בהודעה הראשונה שלי, השינוי לביצוע איתור ה- PUA הופעל כברירת מחדל עם שחרורו של Windows 10 גרסה 2004, אז זו הסיבה כולה לבעיה הפתאומית שלך. שום דבר לא בסדר פרט לכך שאתה לא מעדיף להפעיל את Windows באופן שהתכוונה למפתחת מיקרוסופט.
עם זאת, מכיוון שרצונך לשמור על שינויים לא נתמכים אלה בקובץ המארחים, למרות העובדה שהם ישברו בבירור רבים מפונקציות Windows אותם אתרים נועדו לתמוך, סביר להניח שיהיה לך טוב יותר להחזיר את החלק לזיהוי PUA של Windows Defender מושבת כפי שהיה בעבר בגירסאות קודמות של Windows.
זה היה גונטר נולד שבלוג על הנושא הזה תחילה. בדוק את ההודעה המצוינת שלו המגן מסמן את קובץ Windows Hosts כזדוני והודעתו הבאה בנושא זה. גונטר היה גם הראשון שכתב על זיהוי ה- PUP של Windows Defender / CCleaner.
בבלוג שלו, גונטר מציין שזה קורה מאז 28 ביולי 2020. עם זאת, פוסט התשובות של מיקרוסופט שנדון לעיל, נוצר ב- 23 ביולי 2020. לכן, איננו יודעים איזו גרסת Windows Defender Engine / client הציגה את Win32 / HostsFileHijack זיהוי חסימות טלמטריה בדיוק.
ההגדרות האחרונות של Windows Defender (שהונפקו החל מהשבוע השלישי ואילך) רואות בערכים 'מטופלים' אלה בקובץ HOSTS כלא רצויים ומזהירים את המשתמש מפני 'התנהגות שעלולה להיות בלתי רצויה' - כאשר רמת האיום מסומנת כ'חמורה '.
כל רשומת קובץ HOSTS המכילה דומיין של מיקרוסופט (למשל microsoft.com) כמו זו שלמטה, תפעיל התראה:
0.0.0.0 www.microsoft.com (או) 127.0.0.1 www.microsoft.com
Windows Defender יספק שלוש אפשרויות למשתמש:
- לְהַסִיר
- בידוד
- אפשר במכשיר.
בוחר לְהַסִיר היה מאפס את קובץ ה- HOSTS להגדרות ברירת המחדל של Windows, ובכך מוחק לחלוטין את הערכים המותאמים אישית שלך.
אז, איך אוכל לחסום את שרתי הטלמטריה של מיקרוסופט?
אם צוות Windows Defender רוצה להמשיך עם לוגיקת הזיהוי הנ'ל, יש לך שלוש אפשרויות לחסום טלמטריה מבלי לקבל התראות מ- Windows Defender.
אפשרות 1: הוסף קובץ HOSTS לאי הכללות של Windows Defender
אתה יכול להורות ל- Windows Defender להתעלם מה- Windows מארחים קובץ על ידי הוספתו לאי הכללות.
- פתח את הגדרות האבטחה של Windows Defender, לחץ על הגנה מפני וירוסים ואיומים.
- תחת הגדרות הגנה מפני וירוסים ואיומים, לחץ על נהל הגדרות.
- גלול מטה ולחץ על הוסף או הסר אי הכללות
- לחץ על הוסף אי הכללה ולחץ על קובץ.
- בחר את הקובץ
C: Windows System32 drivers etc HOSTSולהוסיף אותו.
הערה: הוספת HOSTS לרשימת ההחרגות פירושה שאם תוכנה זדונית תטפל בקובץ ה- HOSTS שלך בעתיד, Windows Defender ישב בשקט ולא יעשה דבר בקובץ ה- HOSTS. יש להשתמש בזהירות בהחרגות של Windows Defender.
אפשרות 2: השבת סריקת PUA / PUP על ידי Windows Defender
PUA / PUP (יישום / תוכנית שעלולים להיות לא רצויים) היא תוכנית המכילה תוכנות פרסום, מתקנת סרגלי כלים או שיש לה מניעים לא ברורים. בתוך ה גרסאות מוקדם יותר מ- Windows 10 2004, Windows Defender לא סרק PUA או PUPs כברירת מחדל. זיהוי PUA / PUP היה תכונת הצטרפות זה היה צריך להיות מופעל באמצעות PowerShell או בעורך הרישום.
ה Win32 / HostsFileHijack האיום שהועלה על ידי Windows Defender נכלל בקטגוריית PUA / PUP. כלומר, על ידי השבתת סריקת PUA / PUP אפשרות, אתה יכול לעקוף את Win32 / HostsFileHijack אזהרת קבצים למרות שהיו רשומות טלמטריה בקובץ HOSTS.
הערה: חסרון של השבתת PUA / PUP הוא ש- Windows Defender לא יעשה דבר בקשר להגדרות / להתקנות הכלולות של תוכנות הפרסום שהורדתם בשוגג.
עֵצָה: יכול להיות לך Malwarebytes Premium (הכולל סריקה בזמן אמת) פועל לצד Windows Defender. בדרך זו, Malwarebytes יכול לטפל בחומר PUA / PUP.
אפשרות 3: השתמש בשרת DNS מותאם אישית כמו Pi-hole או pfSense חומת האש
משתמשים בעלי יכולת טכנולוגיה יכולים להקים מערכת שרת DNS של Pi-Hole ולחסום דומיינים של פרסום וטלמטריה של מיקרוסופט. חסימה ברמת DNS דורשת בדרך כלל חומרה נפרדת (כמו Raspberry Pi או מחשב בעלות נמוכה) או שירות צד ג 'כמו פילטר משפחתי OpenDNS. חשבון המסנן המשפחתי של OpenDNS מספק אפשרות בחינם לסנן תוכנות פרסום ולחסום דומיינים מותאמים אישית.
לחלופין, חומת אש של חומרה כמו pfSense (יחד עם חבילת pfBlockerNG) יכולה להשיג זאת בקלות. סינון שרתים ברמת ה- DNS או חומת האש יעיל מאוד. להלן מספר קישורים המספרים כיצד לחסום את שרתי הטלמטריה באמצעות חומת האש של pfSense:
חסימת התעבורה של מיקרוסופט ב- PFSense תחביר אדובו: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ כיצד לחסום ב- Windows10 טלמטריה באמצעות pfsense | פורום Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense חסום מ- Windows 10 למעקב אחריך: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry עוקף את חיבור ה- VPN: VPN: תגובה מהדיון ההערה של צונאמי מהדיון 'חלונות 10 טלמטריה עוקפים את חיבור ה- VPN' . נקודות קצה לחיבור עבור Windows 10 Enterprise, גירסה 2004 - פרטיות של Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
הערת העורך: מעולם לא חסמתי טלמטריה או שרתי Microsoft Update במערכות שלי. אם אתה מודאג מאוד מפרטיות, תוכל להשתמש באחת מהפתרונות לעיל כדי לחסום את שרתי הטלמטריה מבלי לקבל התראות Windows Defender.
בקשה קטנה אחת: אם אהבתם את הפוסט הזה, אנא שתפו את זה?
נתח 'זעיר' אחד ממך יעזור מאוד ברציפות בצמיחת הבלוג הזה. כמה הצעות נהדרות:- להצמיד אותו!
- שתף אותו לבלוג האהוב עליך + פייסבוק, Reddit
- צייץ את זה!