Siden juli i forrige uke begynte Windows Defender å utstede Win32 / HostsFileHijack 'Potensielt uønsket oppførsel' varsler hvis du hadde blokkert Microsofts Telemetry-servere ved hjelp av HOSTS-filen.
Ut av det SettingsModifier: Win32 / HostsFileHijack tilfeller rapportert online, ble den tidligste rapportert på Microsoft Answers-forum der brukeren oppga:
Jeg får en alvorlig 'potensielt uønsket' melding. Jeg har den nåværende Windows 10 2004 (1904.388) og bare Defender som permanent beskyttelse.
Hvordan skal det vurderes, siden ingenting har endret seg hos vertene mine, vet jeg det. Eller er dette en falsk positiv melding? En ny sjekk med AdwCleaner eller Malwarebytes eller SUPERAntiSpyware viser ingen infeksjon.
'HostsFileHijack' -varsel hvis Telemetry er blokkert
Etter inspeksjon av VERTER fil fra det systemet, ble det observert at brukeren hadde lagt til Microsoft Telemetry-servere til HOSTS-filen og rutet den til 0.0.0.0 (kjent som 'null-routing') for å blokkere disse adressene. Her er listen over telemetri-adresser som ikke er rutet av brukeren.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderne. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. netto 0.0.0.0 ensettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 rapporter.wes.df.telemetry.microsoft.com 0.0.0.0 selv.events.data.microsoft.com 0.0.0.0 innstillinger.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 innstillinger-win.data.microsoft.com 0.0.0.0 kvm.df.telemetry.microsoft.com 0.0.0.0 kvm.telemetry.microsoft.com 0.0.0.0 kvm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Og eksperten Rob Koch svarte og sa:
Siden du ikke ruter Microsoft.com og andre anerkjente nettsteder inn i et svart hull, vil Microsoft åpenbart se dette som potensielt uønsket aktivitet, så selvfølgelig oppdager de disse som PUA (ikke nødvendigvis ondsinnet, men uønsket) aktivitet, relatert til verter Filkapring.
At du har bestemt at det er noe du ønsker å gjøre er i utgangspunktet irrelevant.
Som jeg tydelig forklarte i mitt første innlegg, var endringen for å utføre PUA-deteksjonene aktivert som standard med utgivelsen av Windows 10 versjon 2004, så det er hele grunnen til det plutselige problemet ditt. Ingenting er galt bortsett fra at du ikke foretrekker å bruke Windows på den måten utvikleren Microsoft hadde til hensikt.
Siden ditt ønske er å beholde disse ikke-støttede modifikasjonene i Hosts-filen, til tross for at de tydeligvis vil bryte mange av Windows-funksjonene disse nettstedene er designet for å støtte, vil du sannsynligvis være bedre å tilbakestille PUA-deteksjonsdelen av Windows Defender er deaktivert som det pleide å være i tidligere versjoner av Windows.
Det var Günter født som blogget om dette problemet først. Sjekk ut hans utmerkede innlegg Defender markerer Windows Hosts-filen som skadelig og hans påfølgende innlegg om dette emnet. Günter var også den første som skrev om Windows Defender / CCleaner PUP-deteksjon.
I sin blogg bemerker Günter at dette har skjedd siden 28. juli 2020. Imidlertid ble Microsoft Answers-innlegget diskutert ovenfor, opprettet 23. juli 2020. Så vi vet ikke hvilken Windows Defender Engine / klientversjon som introduserte Win32 / HostsFileHijack telemetri blokkeringsdeteksjon nøyaktig
De nylige definisjonene av Windows Defender (utgitt fra 3. juli og utover) anser de 'tuklede' oppføringene i HOSTS-filen som uønskede og advarer brukeren om 'potensielt uønsket oppførsel' - med trusselnivået betegnet som 'alvorlig'.
Enhver HOSTS-filoppføring som inneholder et Microsoft-domene (f.eks. Microsoft.com) som den nedenfor, vil utløse et varsel:
0.0.0.0 www.microsoft.com (eller) 127.0.0.1 www.microsoft.com
Windows Defender vil da gi tre alternativer til brukeren:
- Ta vekk
- Karantene
- Tillat på enheten.
Velger Ta vekk vil tilbakestille HOSTS-filen til Windows-standardinnstillingene, og dermed slette de tilpassede oppføringene dine, hvis noen.
Så hvordan blokkerer jeg Microsofts telemetriservere?
Hvis Windows Defender-teamet vil fortsette med ovennevnte deteksjonslogikk, har du tre alternativer for å blokkere telemetri uten å få varsler fra Windows Defender.
Alternativ 1: Legg til HOSTS-fil til Windows Defender-ekskluderinger
Du kan be Windows Defender om å ignorere VERTER filen ved å legge den til ekskluderinger.
- Åpne Windows Defender sikkerhetsinnstillinger, klikk Virus og trusselbeskyttelse.
- Klikk på Administrer innstillinger under Virus- og trusselbeskyttelsesinnstillinger.
- Rull ned og klikk Legg til eller fjern ekskluderinger
- Klikk Legg til en ekskludering, og klikk deretter Fil.
- Velg filen
C: Windows System32 drivers etc HOSTSog legg den til.
Merk: Hvis du legger til HOSTS i ekskluderingslisten, betyr det at hvis en skadelig programvare tukler med HOSTS-filen din i fremtiden, vil Windows Defender sitte stille og ikke gjøre noe med HOSTS-filen. Windows Defender-ekskluderinger må brukes med forsiktighet.
Alternativ 2: Deaktiver PUA / PUP-skanning av Windows Defender
PUA / PUP (potensielt uønsket applikasjon / program) er et program som inneholder adware, installerer verktøylinjer eller har uklare motiver. I versjoner tidligere enn Windows 10 2004, skannet Windows Defender ikke PUA eller PUP som standard. PUA / PUP-deteksjon var en opt-in-funksjon som måtte aktiveres ved hjelp av PowerShell eller Registerredigering.
De Win32 / HostsFileHijack trusselen fra Windows Defender kommer inn under PUA / PUP-kategorien. Det betyr, ved deaktivering av PUA / PUP-skanning alternativet, kan du omgå Win32 / HostsFileHijack filadvarsel til tross for at du har telemetrioppføringer i HOSTS-filen.
Merk: En ulempe med å deaktivere PUA / PUP er at Windows Defender ikke ville gjøre noe med det adware-bundne oppsettet / installatørene som du utilsiktet laster ned.
Tips: Du kan ha Malwarebytes Premium (som inkluderer sanntidsskanning) som kjører sammen med Windows Defender. På den måten kan Malwarebytes ta seg av PUA / PUP-ting.
Alternativ 3: Bruk en tilpasset DNS-server som Pi-hole eller pfSense-brannmur
Teknisk kunnskapsrike brukere kan sette opp et Pi-Hole DNS-serversystem og blokkere adware og Microsoft telemetri-domener. Blokkering på DNS-nivå krever vanligvis separat maskinvare (som Raspberry Pi eller en billig datamaskin) eller en tredjepartstjeneste som OpenDNS-familiefilter. OpenDNS familiefilterkonto gir et gratis alternativ for å filtrere adware og blokkere egendefinerte domener.
Alternativt kan en maskinvarebrannmur som pfSense (sammen med pfBlockerNG-pakken) oppnå dette enkelt. Filtrering av servere på DNS- eller brannmurnivå er veldig effektivt. Her er noen lenker som forteller deg hvordan du blokkerer telemetriserverne ved hjelp av pfSense-brannmur:
Blokkering av Microsoft Traffic i PFSense | Adobo-syntaks: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Slik blokkerer du i Windows10 Telemetry med pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokker Windows 10 fra å spore deg: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry omgår VPN-tilkobling: VPN: Kommentar fra diskusjon Tzunamiis kommentar fra diskusjonen 'Windows 10 Telemetry bypassing VPN connection' . Tilkoblingsendepunkter for Windows 10 Enterprise, versjon 2004 - Windows Privacy | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Redaktørens merknad: Jeg har aldri blokkert telemetri eller Microsoft Update-servere i systemene mine. Hvis du er veldig opptatt av personvern, kan du bruke en av løsningene ovenfor for å få blokkerte telemetriserverne uten å få Windows Defender-varsler.
En liten forespørsel: Hvis du likte dette innlegget, vennligst del dette?
En 'liten' andel fra deg vil virkelig hjelpe mye med veksten av denne bloggen. Noen gode forslag:- Fest det!
- Del den til din favorittblogg + Facebook, Reddit
- Tweet det!