Des del juliol de la setmana passada, Windows Defender va començar a emetre Win32 / HostsFileHijack Alerta de 'comportament potencialment no desitjat' si haguéssiu bloquejat els servidors de telemetria de Microsoft mitjançant el fitxer HOSTS.
Fora de la SettingsModifier: Win32 / HostsFileHijack casos informats en línia, el primer es va informar al Fòrums de Microsoft Answers on l'usuari va declarar:
Rebo un missatge greu 'potencialment no desitjat'. Tinc el Windows 10 2004 actual (1904.388) i només Defender com a protecció permanent.
Com és això per avaluar, ja que res no ha canviat als meus amfitrions, ho sé. O és aquest un fals missatge positiu? Una segona comprovació amb AdwCleaner o Malwarebytes o SUPERAntiSpyware no mostra cap infecció.
Alerta 'HostsFileHijack' si la telemetría està bloquejada
Després d'inspeccionar el fitxer HOSTS fitxer d’aquest sistema, es va observar que l’usuari havia afegit servidors de Microsoft Telemetry al fitxer HOSTS i l’havia encaminat a 0.0.0.0 (conegut com a “enrutament nul”) per bloquejar aquestes adreces. A continuació, es mostra la llista d’adreces de telemetria enrutades per aquest usuari.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
I l'expert Rob Koch va respondre dient:
Com que voleu enrutar Microsoft.com i altres llocs web de bona reputació cap a un forat negre, evidentment Microsoft ho veuria com una activitat potencialment no desitjada, de manera que, per descomptat, ho detecten com a activitat PUA (no necessàriament maliciosa, però no desitjada) relacionada amb un amfitrió File Hijack.
Que hàgiu decidit que és una cosa que voleu fer és bàsicament irrellevant.
Com he explicat clarament a la meva primera publicació, el canvi per realitzar les deteccions de PUA es va habilitar de manera predeterminada amb la versió de Windows 10 versió 2004, de manera que aquest és el motiu complet del vostre problema sobtat. No passa res, tret que no preferiu fer servir Windows de la manera que volia desenvolupar Microsoft.
Tanmateix, atès que el vostre desig és conservar aquestes modificacions no compatibles al fitxer Hosts, malgrat que trencaran clarament moltes de les funcions de Windows que aquests llocs estan dissenyats per donar suport, és probable que estigueu millor revertir la part de detecció de PUA de Windows Defender està desactivat tal com es feia amb les versions anteriors de Windows.
Va ser així Günter Born qui va fer un bloc sobre aquest tema primer. Mireu la seva excel·lent publicació Defender marca el fitxer Hosts del Windows com a maliciós i la seva publicació posterior sobre aquest tema. Günter també va ser el primer a escriure sobre la detecció de Windows Defender / CCleaner PUP.
Al seu bloc, Günter assenyala que això passa des del 28 de juliol de 2020. Tot i això, la publicació de Microsoft Answers comentada anteriorment es va crear el 23 de juliol de 2020. Per tant, no sabem quina versió de Windows Defender Engine / client va introduir Win32 / HostsFileHijack detecció de blocs de telemetria exactament.
Les recents definicions de Windows Defender (publicades a partir de la setmana del 3 de juliol) consideren que les entrades ‘manipulades’ del fitxer HOSTS són indesitjables i adverteixen l’usuari de “comportament potencialment no desitjat”, amb el nivell d’amenaça denotat com a “greu”.
Qualsevol entrada de fitxer HOSTS que contingui un domini de Microsoft (per exemple, microsoft.com), com ara el següent, activaria una alerta:
0.0.0.0 www.microsoft.com (o) 127.0.0.1 www.microsoft.com
Windows Defender proporcionaria tres opcions a l'usuari:
- Elimina
- Quarantena
- Permet al dispositiu.
Seleccionant Elimina restabliria el fitxer HOSTS a la configuració predeterminada de Windows i, per tant, esborraria completament les vostres entrades personalitzades.
Llavors, com puc bloquejar els servidors de telemetria de Microsoft?
Si l'equip de Windows Defender vol continuar amb la lògica de detecció anterior, teniu tres opcions per bloquejar la telemetria sense rebre alertes del Windows Defender.
Opció 1: afegiu el fitxer HOSTS a les exclusions de Windows Defender
Podeu dir a Windows Defender que ignori el fitxer HOSTS afegint-lo a les exclusions.
- Obriu la configuració de seguretat de Windows Defender, feu clic a Protecció contra virus i amenaces.
- A Configuració de protecció contra virus i amenaces, feu clic a Gestiona la configuració.
- Desplaceu-vos cap avall i feu clic a Afegeix o elimina exclusions
- Feu clic a Afegeix una exclusió i feu clic a Fitxer.
- Seleccioneu el fitxer
C: Windows System32 drivers etc HOSTSi afegir-lo.
Nota: Si afegiu HOSTS a la llista d’exclusions, vol dir que si un programari maliciós altera el vostre fitxer HOSTS en el futur, Windows Defender s’aturaria i no faria res sobre el fitxer HOSTS. Les exclusions de Windows Defender s’han d’utilitzar amb precaució.
Opció 2: desactiveu l'exploració PUA / PUP amb Windows Defender
PUA / PUP (aplicació / programa potencialment no desitjat) és un programa que conté adware, instal·la barres d’eines o té motius poc clars. A la versions abans de Windows 10 2004, Windows Defender no escanejava PUA ni PUP per defecte. La detecció de PUA / PUP era una característica d’opció que calia habilitar mitjançant PowerShell o l'editor del registre.
El Win32 / HostsFileHijack l'amenaça plantejada per Windows Defender entra a la categoria PUA / PUP. Això vol dir, per desactivació de l'escaneig PUA / PUP , podeu passar per alt el fitxer Win32 / HostsFileHijack advertiment de fitxer tot i tenir entrades de telemetría al fitxer HOSTS.
Nota: Un desavantatge de desactivar PUA / PUP és que Windows Defender no faria res sobre la instal·lació o instal·lació de programari publicitari que descarregueu sense voler.
Consell: Pots tenir Malwarebytes Premium (que inclou l'escaneig en temps real) que s'executa al costat de Windows Defender. D’aquesta manera, Malwarebytes es pot encarregar de les coses de PUA / PUP.
Opció 3: utilitzeu un servidor DNS personalitzat, com ara el tallafoc Pi-hole o pfSense
Els usuaris amb coneixements tècnics poden configurar un sistema de servidor DNS Pi-Hole i bloquejar els dominis publicitaris i de telemetria de Microsoft. El bloqueig de nivell DNS sol requerir maquinari separat (com ara Raspberry Pi o un ordinador de baix cost) o un servei de tercers com el filtre de la família OpenDNS. El compte de filtre familiar OpenDNS proporciona una opció gratuïta per filtrar adware i bloquejar dominis personalitzats.
Alternativament, un tallafoc de maquinari com pfSense (juntament amb el paquet pfBlockerNG) pot aconseguir-ho fàcilment. El filtratge de servidors a nivell de DNS o tallafoc és molt eficaç. A continuació, es mostren alguns enllaços que indiquen com bloquejar els servidors de telemetria mitjançant el tallafoc pfSense:
Bloqueig del trànsit de Microsoft a PFSense | Sintaxi d'Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Com bloquejar la telemetria Windows10 amb pfsense | Fòrum de Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Bloqueja el seguiment de Windows 10: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry ignora la connexió VPN: VPN: Comenta a partir de la discussió El comentari de Tzunamii del debat 'La telemetría de Windows 10 ignora la connexió VPN' . Punts finals de connexió per a Windows 10 Enterprise, versió 2004 - Privadesa de Windows | Documents de Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota de l'editor: Mai he bloquejat els servidors de telemetria ni de Microsoft Update als meus sistemes. Si us preocupa molt la privadesa, podeu utilitzar una de les solucions anteriors per bloquejar els servidors de telemetria sense rebre les alertes de Windows Defender.
Una petició petita: si us ha agradat aquesta publicació, compartiu-la?
Una de les vostres “petites” parts ajudaria moltíssim al creixement d’aquest bloc. Alguns fantàstics suggeriments:- Fixeu-lo!
- Comparteix-lo al teu bloc favorit + Facebook, Reddit
- Fes un tuit!