Предупреждение «HostsFileHijack» Защитника Windows появляется, если телеметрия заблокирована - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline

С июля на прошлой неделе Защитник Windows начал выпускать Win32 / HostsFileHijack «Потенциально нежелательное поведение» предупреждает, если вы заблокировали серверы телеметрии Microsoft с помощью файла HOSTS.



защищать хосты



Из SettingsModifier: Win32 / HostsFileHijack случаи, зарегистрированные в Интернете, самый ранний из них был зарегистрирован на Форумы Microsoft Answers где пользователь заявил:



Я получаю серьезное «потенциально нежелательное» сообщение. У меня текущая Windows 10 2004 (1904.388) и только Defender в качестве постоянной защиты.
Как это оценивать, раз у меня у хозяев ничего не изменилось, я это знаю. Или это ложное срабатывание? Вторая проверка с помощью AdwCleaner, Malwarebytes или SUPERAntiSpyware не обнаруживает заражения.

Предупреждение «HostsFileHijack», если телеметрия заблокирована

После осмотра Хосты файла из этой системы, было замечено, что пользователь добавил серверы телеметрии Microsoft в файл HOSTS и направил его на 0.0.0.0 (известное как «нулевая маршрутизация»), чтобы заблокировать эти адреса. Вот список адресов телеметрии, маршрутизированных этим пользователем с нулевой маршрутизацией.



0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 Diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 современный. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

И эксперт Роб Кох ответил:

Поскольку вы не перенаправляете Microsoft.com и другие авторитетные веб-сайты в черную дыру, Microsoft, очевидно, будет рассматривать это как потенциально нежелательную активность, поэтому, конечно, они обнаруживают их как PUA (не обязательно вредоносную, но нежелательную) активность, связанную с хостами. File Hijack.

То, что вы решили, что это то, что вы хотите сделать, в основном не имеет значения.

Как я четко объяснил в своем первом посте, изменение для выполнения обнаружения PUA было включено по умолчанию с выпуском Windows 10 версии 2004, так что это вся причина вашей внезапной проблемы. Нет ничего плохого, за исключением того, что вы не предпочитаете использовать Windows так, как задумал разработчик.

Однако, поскольку вы хотите сохранить эти неподдерживаемые модификации в файле Hosts, несмотря на то, что они явно нарушат многие функции Windows, для поддержки которых эти сайты предназначены, вам, вероятно, будет лучше вернуть часть обнаружения PUA в Защитник Windows отключен, как это было в предыдущих версиях Windows.

Это было Гюнтер Борн кто первым написал об этой проблеме. Посмотрите его отличный пост Защитник помечает файл Windows Hosts как вредоносный и его последующий пост по этой теме. Гюнтер также был первым, кто написал об обнаружении ПНП в Защитнике Windows / CCleaner.

В своем блоге Гюнтер отмечает, что это происходит с 28 июля 2020 года. Тем не менее, сообщение Microsoft Answers, о котором говорилось выше, было создано 23 июля 2020 года. Итак, мы не знаем, какая версия Windows Defender Engine / клиента представила Win32 / HostsFileHijack точное обнаружение блока телеметрии.

Последние определения Защитника Windows (выпущенные с 3-й недели и далее) рассматривают эти «измененные» записи в файле HOSTS как нежелательные и предупреждают пользователя о «потенциально нежелательном поведении» - с уровнем угрозы, обозначенным как «серьезный».

Любая запись файла HOSTS, содержащая домен Microsoft (например, microsoft.com), например, приведенная ниже, вызовет предупреждение:

0.0.0.0 www.microsoft.com (или) 127.0.0.1 www.microsoft.com

Тогда Защитник Windows предоставит пользователю три варианта:

  • удалять
  • Карантин
  • Разрешить на устройстве.

защищать хосты

Выбор удалять сбросит файл HOSTS к настройкам Windows по умолчанию, тем самым полностью удалив ваши пользовательские записи, если таковые имеются.

защищать хосты

Итак, как мне заблокировать серверы телеметрии Microsoft?

Если команда Защитника Windows хочет продолжить описанную выше логику обнаружения, у вас есть три варианта блокировки телеметрии без получения предупреждений от Защитника Windows.

Вариант 1. Добавьте файл HOSTS в исключения Защитника Windows

Вы можете указать Защитнику Windows игнорировать Хосты файл, добавив его в исключения.

  1. Откройте настройки безопасности Защитника Windows, щелкните Защита от вирусов и угроз.
  2. В разделе «Параметры защиты от вирусов и угроз» нажмите «Управление параметрами».
  3. Прокрутите вниз и нажмите Добавить или удалить исключения.
  4. Щелкните Добавить исключение и щелкните Файл.
  5. Выберите файл C: Windows System32 drivers etc HOSTS и добавьте его.
    защищать хосты

Заметка: Добавление HOSTS в список исключений означает, что, если вредоносная программа вмешается в ваш файл HOSTS в будущем, Защитник Windows будет бездействовать и ничего не делать с файлом HOSTS. Исключения Защитника Windows следует использовать с осторожностью.

Вариант 2. Отключите сканирование PUA / PUP Защитником Windows

PUA / PUP (потенциально нежелательное приложение / программа) - это программа, которая содержит рекламное ПО, устанавливает панели инструментов или имеет неясные мотивы. в версии до Windows 10 2004 Защитник Windows по умолчанию не сканировал PUA или PUP. Обнаружение PUA / PUP было дополнительной функцией которые нужно было включить с помощью PowerShell или редактора реестра.

значок рукиВ Win32 / HostsFileHijack Угроза, создаваемая Защитником Windows, относится к категории PUA / PUP. Это означает, что отключение сканирования PUA / PUP вариант, вы можете обойти Win32 / HostsFileHijack предупреждение файла, несмотря на наличие записей телеметрии в файле HOSTS.

защитник pua блок windows 10

Заметка: Обратной стороной отключения PUA / PUP является то, что Защитник Windows ничего не сделает с программами установки / установки в комплекте с рекламным ПО, которые вы случайно загрузили.

советы лампочка значок Наконечник: Вы можете иметь Malwarebytes Premium (который включает сканирование в реальном времени), работающий вместе с Защитником Windows. Таким образом, Malwarebytes может позаботиться о материалах PUA / PUP.

Вариант 3. Используйте собственный DNS-сервер, например брандмауэр Pi-hole или pfSense.

Технически подкованные пользователи могут настроить систему DNS-серверов Pi-Hole и блокировать рекламное ПО и домены телеметрии Microsoft. Для блокировки на уровне DNS обычно требуется отдельное оборудование (например, Raspberry Pi или недорогой компьютер) или сторонняя служба, например семейный фильтр OpenDNS. Учетная запись семейства OpenDNS предоставляет бесплатную возможность фильтровать рекламное ПО и блокировать пользовательские домены.

С другой стороны, аппаратный брандмауэр, такой как pfSense (вместе с пакетом pfBlockerNG), может легко сделать это. Фильтрация серверов на уровне DNS или брандмауэра очень эффективна. Вот несколько ссылок, которые расскажут вам, как заблокировать серверы телеметрии с помощью брандмауэра pfSense:

Блокировка трафика Microsoft в PFSense | Синтаксис Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Как заблокировать телеметрию Windows10 с помощью pfsense | Форум Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Запретить Windows 10 отслеживать вас: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Телеметрия Windows 10 обходит VPN-соединение: VPN: Комментарий из обсуждения Комментарий Цунами из обсуждения `` Телеметрия Windows 10 обходит VPN-соединение '' . Конечные точки подключения для Windows 10 Корпоративная, версия 2004 - Windows Privacy | Документы Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Примечание редактора: Я никогда не блокировал телеметрию или серверы Центра обновления Майкрософт в своих системах. Если вас очень беспокоит конфиденциальность, вы можете использовать один из описанных выше обходных путей, чтобы заблокировать серверы телеметрии без получения предупреждений Защитника Windows.


Одна небольшая просьба: если вам понравился этот пост, поделитесь им?

Одна «крошечная» публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:
  • Приколи это!
  • Поделитесь этим в своем любимом блоге + Facebook, Reddit
  • Напишите об этом в Твиттере!
Так что большое спасибо за вашу поддержку, мой читатель. Это займет не более 10 секунд вашего времени. Кнопки «Поделиться» находятся прямо внизу. :)