Nuo praėjusios savaitės liepos „Windows Defender“ pradėjo leisti Win32 / HostsFileHijack
Įspėjimai apie „potencialiai nepageidaujamą elgesį“, jei užblokavote „Microsoft“ teletrijos serverius naudodami HOSTS failą.
Iš „SettingsModifier“: „Win32“ / „HostsFileHijack“
atvejų, apie kuriuos pranešta internete, anksčiausias - apie „Microsoft Answers“ forumai kai vartotojas nurodė:
Gaunu rimtą „potencialiai nepageidaujamą“ žinutę. Turiu dabartinę „Windows 10 2004“ (1904.388) ir tik „Defender“ kaip nuolatinę apsaugą.
Kaip tai vertinti, nes mano šeimininkams niekas nepasikeitė, aš tai žinau. O gal tai klaidingai teigiama žinutė? Antrą kartą patikrinus „AdwCleaner“ ar „Malwarebytes“ ar „SUPERAntiSpyware“, infekcija nerodoma.
Įspėjimas „HostsFileHijack“, jei Telemetrija yra užblokuota
Apžiūrėjęs PASLAUGOS
iš tos sistemos failo, buvo pastebėta, kad vartotojas prie „HOSTS“ failo pridėjo „Microsoft Telemetry“ serverius ir nukreipė jį į 0.0.0.0 (žinomą kaip „null-routing“), kad blokuotų tuos adresus. Čia yra telemetrijos adresų, kuriuos tas vartotojas neteisingai nukreipia, sąrašas.
0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modernus. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 „oneettings-db5.metron.live.com.nsatc.net“ 0.0.0.0 „oneettings-hk2.metron.live.com.nsatc.net“ 0.0.0.0 ataskaitos.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 sūkurinis.data.metron.live.com.nsatc.net 0.0.0.0 sūkurinis-bn2.metron.live.com.nsatc.net 0.0.0.0 sūkurinis-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Ekspertas Robas Kochas atsakė sakydamas:
Kadangi jūs niekuo nenukreipiate „Microsoft.com“ ir kitų gerbiamų svetainių į juodąją skylę, „Microsoft“ akivaizdžiai tai matys kaip potencialiai nepageidaujamą veiklą, todėl, žinoma, jie aptinka tai kaip PUA (nebūtinai kenkėjišką, bet nepageidaujamą) veiklą, susijusią su „Hosts“ Failo pagrobimas.
Tai, kad nusprendėte, jog norite tai padaryti, iš esmės nėra svarbu.
Kaip aiškiai paaiškinau savo pirmame įraše, pakeitimas atlikti PUA aptikimus pagal numatytuosius nustatymus buvo įgalintas išleidus „Windows 10“ versiją 2004, taigi tai yra visa jūsų staigios problemos priežastis. Nieko nėra blogo, išskyrus tai, kad nenorite naudoti „Windows“ taip, kaip kūrėjas „Microsoft“ ketino.
Tačiau kadangi norite išsaugoti šias nepalaikomas modifikacijas faile „Hosts“, nepaisant to, kad jie aiškiai sulaužys daugelį „Windows“ funkcijų, kurias šios svetainės yra skirtos palaikyti, tikriausiai geriau grąžinti PUA aptikimo dalį „Windows Defender“ išjungtas, nes tai buvo ankstesnėse „Windows“ versijose.
Tai buvo Günteris gimė kas pirmiausia rašė dienoraštį apie šią problemą. Peržiūrėkite jo puikų įrašą „Defender“ pažymi „Windows Hosts“ failą kaip kenkėjišką ir paskesnį jo pranešimą šia tema. Günteris taip pat pirmasis parašė apie „Windows Defender / CCleaner“ PUP aptikimą.
Savo tinklaraštyje Günteris pažymi, kad tai vyksta nuo 2020 m. Liepos 28 d. Tačiau aukščiau aptartas „Microsoft Answers“ įrašas vis dėlto buvo sukurtas 2020 m. Liepos 23 d. Taigi, mes nežinome, kuri „Windows Defender“ variklio / kliento versija pristatė Win32 / HostsFileHijack
telemetrijos bloko aptikimas tiksliai.
Naujausi „Windows Defender“ apibrėžimai (išleisti nuo liepos 3 d. Savaitės) laiko tuos „sugadintus“ įrašus HOSTS faile nepageidaujamais ir įspėja vartotoją apie „potencialiai nepageidaujamą elgesį“ - grėsmės lygis žymimas kaip „sunkus“.
Bet koks HOSTS failo įrašas, kuriame yra „Microsoft“ domenas (pvz., Microsoft.com), pvz., Žemiau pateiktas, suaktyvins įspėjimą:
0.0.0.0 www.microsoft.com (arba) 127.0.0.1 www.microsoft.com
Tada „Windows Defender“ vartotojui pateiks tris galimybes:
- Pašalinti
- Karantinas
- Leisti įrenginyje.
Pasirinkimas Pašalinti atstatytų HOSTS failą į numatytuosius „Windows“ nustatymus, taip visiškai ištrindami pasirinktinius įrašus, jei tokių yra.
Taigi, kaip užblokuoti „Microsoft“ telemetrijos serverius?
Jei „Windows Defender“ komanda nori tęsti minėtą aptikimo logiką, turite tris galimybes blokuoti telemetriją negavę įspėjimų iš „Windows Defender“.
1 parinktis: pridėkite HOSTS failą prie „Windows Defender“ išskyrimų
Galite nurodyti „Windows Defender“ nepaisyti PASLAUGOS
failą, pridėdami jį prie išskyrimų.
- Atidarykite „Windows Defender“ saugos nustatymus, spustelėkite „Apsauga nuo virusų ir grėsmių“.
- Dalyje Apsaugos nuo virusų ir grėsmių nustatymai spustelėkite Tvarkyti nustatymus.
- Slinkite žemyn ir spustelėkite Pridėti arba pašalinti išskyrimus
- Spustelėkite Pridėti išskyrimą ir spustelėkite Failas.
- Pasirinkite failą
C: Windows System32 drivers etc HOSTS
ir pridėkite jį.
Pastaba: Pridėjus HOSTS prie išimčių sąrašo, reiškia, kad jei kenkėjiška programa ateityje sugadins jūsų HOSTS failą, „Windows Defender“ sėdės ramiai ir nieko nedarys dėl HOSTS failo. „Windows Defender“ išskyrimai turi būti naudojami atsargiai.
2 parinktis: išjunkite PUA / PUP nuskaitymą naudojant „Windows Defender“
PUA / PUP (potencialiai nepageidaujama programa / programa) yra programa, turinti reklaminę programinę įrangą, įdiegianti įrankių juostas arba turinti neaiškių motyvų. Viduje konors versijos anksčiau nei „Windows 10 2004“, „Windows Defender“ pagal numatytuosius nustatymus nenuskaitydavo PUA ar PUP. PUA / PUP aptikimas buvo pasirinkimo funkcija kurį reikėjo įgalinti naudojant „PowerShell“ arba registro rengyklę.
Win32 / HostsFileHijack
„Windows Defender“ keliama grėsmė priskiriama PUA / PUP kategorijai. Tai reiškia, kad išjungti PUA / PUP nuskaitymą parinktį, galite apeiti Win32 / HostsFileHijack
failo įspėjimas, nepaisant to, kad HOSTS faile yra telemetrijos įrašų.
Pastaba: Neigiamas PUA / PUP išjungimas yra tas, kad „Windows Defender“ nieko nedarytų dėl netyčia atsisiųstų reklaminių programų sąrankos / diegimo programų.
Patarimas: Gali turėti „Malwarebytes Premium“ (kuris apima tikralaikį nuskaitymą), veikiantis kartu su „Windows Defender“. Tokiu būdu „Malwarebytes“ gali pasirūpinti PUA / PUP dalykais.
3 parinktis: naudokite pasirinktinį DNS serverį, pvz., „Pi-hole“ arba „pfSense“ užkardą
Techniškai išmanantys vartotojai gali sukurti „Pi-Hole“ DNS serverio sistemą ir blokuoti reklamines programas bei „Microsoft“ telemetrijos domenus. DNS lygio blokavimui paprastai reikalinga atskira aparatinė įranga (pvz., „Raspberry Pi“ ar nebrangus kompiuteris) arba trečiosios šalies paslauga, pvz., „OpenDNS“ šeimos filtras. „OpenDNS“ šeimos filtro paskyra suteikia nemokamą galimybę filtruoti reklamines programas ir blokuoti pasirinktus domenus.
Taip pat tai gali lengvai pasiekti aparatinė užkarda, pvz., „PfSense“ (kartu su „pfBlockerNG“ paketu). Serverių filtravimas DNS ar užkardos lygiu yra labai efektyvus. Čia pateikiamos kelios nuorodos, nurodančios, kaip blokuoti telemetrijos serverius naudojant „pfSense“ užkardą:
„Microsoft“ srauto blokavimas PFSense „Adobo“ sintaksė: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kaip blokuoti „Windows10“ telemetrijoje naudojant „pfsense“ | „Netgate“ forumas: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Užblokuokite „Windows 10“ jūsų stebėjimą: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / „Windows 10“ teletrija apeina VPN ryšį: VPN: Pakomentuokite nuo diskusijos Tzunamii komentaras iš diskusijos „Windows 10 telemetrija apeina VPN ryšį“ . Ryšio galiniai taškai, skirti „Windows 10 Enterprise“, 2004 versija - „Windows“ privatumas | „Microsoft“ dokumentai: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Redaktoriaus pastaba: Niekada savo sistemose neblokavau telemetrijos ar „Microsoft Update“ serverių. Jei jums labai rūpi privatumas, galite naudoti vieną iš aukščiau išvardytų būdų, kad užblokuotumėte telemetrijos serverius negavę „Windows Defender“ įspėjimų.
Vienas nedidelis prašymas: Jei jums patiko šis įrašas, prašau pasidalinti šiuo?
Viena „mažytė“ jūsų dalis labai padėtų plėtoti šį tinklaraštį. Keli puikūs pasiūlymai:- Prisek tai!
- Pasidalykite ja su savo mėgstamu tinklaraščiu + „Facebook“, „Reddit“
- Čiupkite!