Če je Telemetrija blokirana, se prikaže opozorilo programa Windows Defender “HostsFileHijack” - Winhelponline

Od julija prejšnjega tedna je začel izdajati Windows Defender Win32 / HostsFileHijack Opozorila o 'potencialno neželenem vedenju', če ste z datoteko HOSTS blokirali Microsoftove strežnike Telemetry.

Izven NastavitveModifikator: Win32 / HostsFileHijack primerov, prijavljenih na spletu, je bil najzgodnejši na Forumi Microsoft Answers kjer je uporabnik navedel:

Prejemam resno 'potencialno neželeno' sporočilo. Imam trenutno Windows 10 2004 (1904.388) in samo Defender kot trajno zaščito.
Kako to oceniti, saj se pri mojih gostiteljih ni nič spremenilo, to vem. Ali je to lažno pozitivno sporočilo? Drugo preverjanje z AdwCleaner ali Malwarebytes ali SUPERAntiSpyware ne pokaže okužbe.

Opozorilo »HostsFileHijack«, če je Telemetrija blokirana

Po ogledu DOMAČINI Datoteke iz tega sistema je bilo ugotovljeno, da je uporabnik v datoteko HOSTS dodal strežnike Microsoft Telemetry in jo preusmeril na 0.0.0.0 (znano kot »ničelno usmerjanje«), da blokira te naslove. Tu je seznam telemetričnih naslovov, ki jih je uporabnik ničelno usmeril.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 sodoben. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 nastavitve- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

In strokovnjak Rob Koch je odgovoril z besedami:

Ker ničelno usmerjate Microsoft.com in druga ugledna spletna mesta v črno luknjo, bi Microsoft to očitno videl kot potencialno neželeno dejavnost, zato jih seveda zazna kot PUA (ne nujno zlonamerno, a nezaželeno) dejavnost, povezano z gostitelji Ugrabitev datoteke.

To, da ste se odločili, da želite nekaj početi, je v bistvu nepomembno.

Kot sem jasno pojasnil v svojem prvem prispevku, je bila sprememba izvajanja zaznav PUA privzeto omogočena z izdajo sistema Windows 10 različice 2004, zato je to celoten razlog za vašo nenadno težavo. Nič ni narobe, razen da Windows ne želite raje upravljati tako, kot je načrtoval razvijalec Microsoft.

Ker pa je vaša želja ohraniti te nepodprte spremembe v datoteki Hosts, kljub dejstvu, da bodo očitno prekinile številne funkcije sistema Windows, ki jih ta spletna mesta podpirajo, bi bilo verjetno bolje, če bi povrnili del zaznavanja PUA Windows Defender onemogočen kot v prejšnjih različicah sistema Windows.

Bilo je Günter Born ki je o tej številki najprej blogiral. Oglejte si njegovo odlično objavo Defender datoteko Windows Hosts označi kot zlonamerno in njegovo nadaljnjo objavo na to temo. Günter je bil tudi prvi, ki je pisal o zaznavanju PUP-a Windows Defender / CCleaner.

Günter v svojem blogu ugotavlja, da se to dogaja od 28. julija 2020. Vendar je zgoraj obravnavano sporočilo Microsoft Answers nastalo 23. julija 2020. Torej ne vemo, katera različica sistema Windows Defender Engine / odjemalec je predstavila Win32 / HostsFileHijack natančno zaznavanje telemetrijskega bloka.

Nedavne definicije sistema Windows Defender (objavljene od 3. julija dalje) menijo, da so ti „vmešani“ vnosi v datoteko HOSTS nezaželeni in uporabnika opozarjajo na „potencialno neželeno vedenje“, pri čemer je stopnja nevarnosti označena kot „resna“.

Vsak vnos datoteke HOSTS, ki vsebuje Microsoftovo domeno (npr. Microsoft.com), na primer spodnjo, bi sprožil opozorilo:

0.0.0.0 www.microsoft.com (ali) 127.0.0.1 www.microsoft.com

Nato bo Windows Defender uporabniku ponudil tri možnosti:

• Odstrani
• Karantena
• Dovoli v napravi.

Izbira Odstrani bi datoteko HOSTS ponastavil na privzete nastavitve sistema Windows in s tem popolnoma izbrisal vnose po meri, če obstajajo.

Torej, kako lahko blokiram Microsoftove strežnike za telemetrijo?

Če želi ekipa programa Windows Defender nadaljevati z zgornjo logiko zaznavanja, imate na voljo tri možnosti, da blokirate telemetrijo, ne da bi od sistema Windows Defender prejemali opozorila.

1. možnost: Datoteko HOSTS dodajte izključitvam sistema Windows Defender

Windows Defenderju lahko naročite, naj ignorira DOMAČINI datoteko tako, da jo dodate izključitvam.

1. Odprite varnostne nastavitve programa Windows Defender, kliknite Zaščita pred virusi in grožnjami.
2. V razdelku Nastavitve zaščite pred virusi in grožnjami kliknite Upravljanje nastavitev.
3. Pomaknite se navzdol in kliknite Dodaj ali odstrani izključitve
4. Kliknite Dodaj izključitev in nato Datoteka.
5. Izberite datoteko C: Windows System32 drivers etc HOSTS in ga dodajte.
   

Opomba: Če na seznam izključitev dodate HOSTS, to pomeni, da bo Windows Defender, če bo v prihodnosti posegla v vašo datoteko HOSTS, mirno sedel in ničesar ne bo storil glede datoteke HOSTS. Izključitve sistema Windows Defender je treba uporabljati previdno.

2. možnost: Onemogočite skeniranje PUA / PUP s programom Windows Defender

PUA / PUP (potencialno neželena aplikacija / program) je program, ki vsebuje oglaševalsko programsko opremo, namesti orodne vrstice ali ima nejasne motive. V različice prej kot Windows 10 2004 Windows Defender privzeto ni skeniral PUA ali PUP-ov. Zaznavanje PUA / PUP je bila možnost prijave ki ga je bilo treba omogočiti s pomočjo PowerShell ali urejevalnika registra.

The Win32 / HostsFileHijack grožnja, ki jo povzroča Windows Defender, spada v kategorijo PUA / PUP. To pomeni, da onemogočanje skeniranja PUA / PUP možnost lahko obidete Win32 / HostsFileHijack opozorilo o datoteki, kljub temu da imate v datoteki HOSTS vnose za telemetrijo.

Opomba: Slaba stran onemogočanja PUA / PUP je, da Windows Defender ne bi storil ničesar glede namestitvenih programov / namestitvenih programov, ki jih nenamerno prenesete.

Namig: Lahko imaš Malwarebytes Premium (ki vključuje skeniranje v realnem času), ki se izvaja skupaj z Windows Defenderjem. Tako lahko Malwarebytes poskrbi za PUA / PUP stvari.

3. možnost: Uporabite strežnik DNS po meri, kot je Pi-hole ali požarni zid pfSense

Tehnično podkovani uporabniki lahko nastavijo strežniški sistem DNS Pi-Hole in blokirajo oglaševalsko programsko opremo in Microsoftove telemetrijske domene. Blokiranje na ravni DNS običajno zahteva ločeno strojno opremo (na primer Raspberry Pi ali poceni računalnik) ali storitev tretje osebe, kot je družinski filter OpenDNS. Družinski filter za OpenDNS ponuja brezplačno možnost filtriranja oglasne programske opreme in blokiranja domen po meri.

To lahko enostavno doseže tudi strojni požarni zid, kot je pfSense (skupaj s paketom pfBlockerNG). Filtriranje strežnikov na ravni DNS ali požarnega zidu je zelo učinkovito. Tu je nekaj povezav, ki vam povejo, kako blokirati strežnike za telemetrijo s pomočjo požarnega zidu pfSense:

Blokiranje Microsoftovega prometa v PFSense | Sintaksa Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kako blokirati telemetrijo v sistemu Windows10 s pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokiraj Windows 10, da vas ne bi spremljal: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetrija zaobide povezavo VPN: VPN: Komentiraj iz razprave Tzunamiijev komentar iz razprave 'Telemetrija Windows 10 zaobide povezavo VPN' . Končne točke povezave za Windows 10 Enterprise, različica 2004 - Zasebnost sistema Windows Microsoftovi dokumenti: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Opomba urednika: Nikoli nisem blokiral telemetrije ali strežnikov Microsoft Update v svojih sistemih. Če vas zasebnost zelo skrbi, lahko uporabite eno od zgornjih rešitev, da blokirate strežnike za telemetrijo, ne da bi prejeli opozorila Windows Defender.

Ena majhna prošnja: če vam je bila ta objava všeč, jo prosim delite?

• Pripnete!
• Delite ga s svojim najljubšim blogom + Facebook, Reddit
• Cvrkujte!