Windows Defender 'HostsFileHijack' alarm vises, hvis Telemetry er blokeret - Winhelponline

Siden juli sidste uge begyndte Windows Defender at udstede Win32 / HostsFileHijack 'Potentielt uønsket adfærd' advarer, hvis du havde blokeret Microsofts Telemetry-servere ved hjælp af HOSTS-filen.

Ud af det SettingsModifier: Win32 / HostsFileHijack tilfælde rapporteret online, blev den tidligste rapporteret på Microsoft Answers-fora hvor brugeren sagde:

Jeg får en seriøs 'potentielt uønsket' besked. Jeg har den nuværende Windows 10 2004 (1904.388) og kun Defender som permanent beskyttelse.
Hvordan skal det evalueres, da intet har ændret sig hos mine værter, ved jeg det. Eller er dette en falsk positiv besked? En anden kontrol med AdwCleaner eller Malwarebytes eller SUPERAntiSpyware viser ingen infektion.

“HostsFileHijack” alarm, hvis Telemetry er blokeret

Efter inspektion af VÆRTER fil fra dette system, blev det observeret, at brugeren havde tilføjet Microsoft Telemetry-servere til HOSTS-filen og dirigeret den til 0.0.0.0 (kendt som 'null-routing') for at blokere disse adresser. Her er listen over telemetri-adresser, der er nulruteret af den bruger.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostik.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderne. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. netto 0.0.0.0 ensettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 rapporter.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 indstillinger.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 indstillinger- sandbox.data.microsoft.com 0.0.0.0 indstillinger-win.data.microsoft.com 0.0.0.0 kvm.df.telemetry.microsoft.com 0.0.0.0 kvm.telemetry.microsoft.com 0.0.0.0 kvm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Og eksperten Rob Koch svarede og sagde:

Da du ikke dirigerer Microsoft.com og andre velrenommerede websteder til et sort hul, vil Microsoft naturligvis se dette som potentielt uønsket aktivitet, så selvfølgelig opdager de disse som PUA (ikke nødvendigvis ondsindet, men uønsket) aktivitet, relateret til en værter Fil kapring.

At du har besluttet, at det er noget, du ønsker at gøre, er dybest set irrelevant.

Som jeg tydeligt forklarede i mit første indlæg, var ændringen til at udføre PUA-detekteringer aktiveret som standard med udgivelsen af ​​Windows 10 version 2004, så det er hele grunden til dit pludselige problem. Intet er galt bortset fra at du ikke foretrækker at betjene Windows på den måde, som udvikleren Microsoft havde til hensigt.

Da dit ønske er at bevare disse ikke-understøttede ændringer i Hosts-filen, på trods af at de tydeligt vil bryde mange af de Windows-funktioner, som disse websteder er designet til at understøtte, ville du sandsynligvis være bedre stillet til at tilbageføre PUA-detektionsdelen af Windows Defender er deaktiveret, som det plejede at være i tidligere versioner af Windows.

Det var Günter Born der bloggede om dette emne først. Tjek hans fremragende indlæg Defender markerer Windows Hosts-filen som ondsindet og hans efterfølgende indlæg om dette emne. Günter var også den første til at skrive om Windows Defender / CCleaner PUP-detektion.

I sin blog bemærker Günter, at dette har fundet sted siden 28. juli 2020. Imidlertid blev Microsoft Answers-indlægget beskrevet ovenfor oprettet den 23. juli 2020. Så vi ved ikke, hvilken Windows Defender Engine / klientversion, der introducerede Win32 / HostsFileHijack telemetri-blokdetektion nøjagtigt.

De nylige Windows Defender-definitioner (udstedt fra 3. juli uge og fremover) betragter disse 'manipulerede' poster i HOSTS-filen som uønskede og advarer brugeren om 'potentielt uønsket adfærd' - med trusselsniveauet betegnet som 'alvorligt'.

Enhver HOSTS-filindgang, der indeholder et Microsoft-domæne (f.eks. Microsoft.com) som det nedenfor, vil udløse en advarsel:

0.0.0.0 www.microsoft.com (eller) 127.0.0.1 www.microsoft.com

Windows Defender giver derefter brugeren tre muligheder:

• Fjerne
• Karantæne
• Tillad på enheden.

Vælger Fjerne ville nulstille HOSTS-filen til Windows-standardindstillingerne og derved slette dine tilpassede poster fuldstændigt, hvis nogen.

Så hvordan blokerer jeg Microsofts telemetri-servere?

Hvis Windows Defender-teamet vil fortsætte med ovennævnte registreringslogik, har du tre muligheder for at blokere telemetri uden at få advarsler fra Windows Defender.

Mulighed 1: Føj HOSTS-fil til Windows Defender-ekskluderinger

Du kan bede Windows Defender om at ignorere VÆRTER fil ved at føje den til udelukkelser.

1. Åbn Windows Defender Sikkerhedsindstillinger, klik på Virus & trusselsbeskyttelse.
2. Klik på Administrer indstillinger under Virus- og trusselsbeskyttelsesindstillinger.
3. Rul ned og klik på Tilføj eller fjern ekskluderinger
4. Klik på Tilføj en udelukkelse, og klik på Filer.
5. Vælg filen C: Windows System32 drivers etc HOSTS og tilføj det.
   

Bemærk: Tilføjelse af HOSTS til ekskluderingslisten betyder, at hvis en malware tamperer med din HOSTS-fil i fremtiden, vil Windows Defender sidde stille og ikke gøre noget ved HOSTS-filen. Windows Defender-udelukkelser skal bruges med forsigtighed.

Mulighed 2: Deaktiver PUA / PUP-scanning af Windows Defender

PUA / PUP (potentielt uønsket applikation / program) er et program, der indeholder adware, installerer værktøjslinjer eller har uklare motiver. I versioner tidligere end Windows 10 2004, scannede Windows Defender ikke PUA eller PUP'er som standard. PUA / PUP-detektion var en opt-in-funktion der skulle aktiveres ved hjælp af PowerShell eller Registreringseditor.

Det Win32 / HostsFileHijack trussel rejst af Windows Defender er under PUA / PUP-kategori. Det betyder ved deaktivering af PUA / PUP-scanning , kan du omgå Win32 / HostsFileHijack filadvarsel på trods af at have telemetriindgange i HOSTS-filen.

Bemærk: En ulempe ved at deaktivere PUA / PUP er, at Windows Defender ikke ville gøre noget ved den adware-bundtede opsætning / installation, som du utilsigtet downloader.

Tip: Du kan have Malwarebytes Premium (som inkluderer scanning i realtid), der kører sammen med Windows Defender. På den måde kan Malwarebytes tage sig af PUA / PUP-tingene.

Mulighed 3: Brug en brugerdefineret DNS-server som Pi-hole eller pfSense-firewall

Teknisk kyndige brugere kan oprette et Pi-Hole DNS-serversystem og blokere adware- og Microsoft-telemetri-domæner. Blokering på DNS-niveau kræver normalt separat hardware (som Raspberry Pi eller en billig computer) eller en tredjepartstjeneste som OpenDNS-familiefilter. OpenDNS-familiefilterkonto giver en gratis mulighed for at filtrere adware og blokere brugerdefinerede domæner.

Alternativt kan en hardware-firewall som pfSense (sammen med pfBlockerNG-pakken) udføre dette let. Filtrering af servere på DNS- eller firewallniveau er meget effektiv. Her er nogle links, der fortæller dig, hvordan du blokerer telemetri-serverne ved hjælp af pfSense-firewall:

Blokering af Microsoft-trafik i PFSense | Adobo-syntaks: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Sådan blokeres i Windows10 Telemetri med pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Bloker Windows 10 fra at spore dig: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry omgår VPN-forbindelse: VPN: Kommentar fra diskussion Tzunamiis kommentar fra diskussion 'Windows 10 Telemetry omgår VPN-forbindelse' . Forbindelsesendepunkter til Windows 10 Enterprise, version 2004 - Windows Privacy | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Redaktørens note: Jeg har aldrig blokeret telemetri eller Microsoft Update-servere i mine systemer. Hvis du er meget bekymret for privatlivets fred, kan du bruge en af ​​ovenstående løsninger til at få blokeret telemetri-serverne uden at få Windows Defender-alarmerne.

En lille anmodning: Hvis du kunne lide dette indlæg, så del dette?

• Pin det!
• Del det til din yndlingsblog + Facebook, Reddit
• Tweet det!