Amaran Windows Defender 'HostsFileHijack' muncul jika Telemetri disekat - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline

Sejak Julai minggu lalu, Windows Defender mula mengeluarkan Win32 / HostsFileHijack Amaran 'tingkah laku yang mungkin tidak diingini' jika anda telah menyekat pelayan Telemetri Microsoft menggunakan fail HOSTS.

mempertahankan hostfilehijack



Di luar Pengaturan Pengubah: Win32 / HostsFileHijack kes yang dilaporkan dalam talian, yang paling awal dilaporkan di Forum Jawapan Microsoft di mana pengguna menyatakan:



Saya mendapat mesej 'berpotensi tidak diingini' yang serius. Saya mempunyai Windows 10 2004 (1904.388) dan hanya Defender sebagai perlindungan kekal.
Bagaimana untuk menilai, kerana tidak ada yang berubah pada tuan rumah saya, saya tahu itu. Atau adakah ini mesej positif palsu? Pemeriksaan kedua dengan AdwCleaner atau Malwarebytes atau SUPERAntiSpyware tidak menunjukkan jangkitan.



Amaran 'HostsFileHijack' jika Telemetri disekat

Setelah memeriksa HOS file dari sistem itu, diperhatikan bahawa pengguna telah menambahkan pelayan Microsoft Telemetry ke file HOSTS dan mengarahkannya ke 0.0.0.0 (dikenal sebagai 'null-routing') untuk menyekat alamat tersebut. Berikut adalah senarai alamat telemetri yang diarahkan oleh pengguna tersebut.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 pilihan.microsoft.com 0.0.0.0 pilihan.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostik.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 maklum balas.microsoft-hohm.com 0.0.0.0 maklum balas.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moden. watson.data.microsoft.com 0.0.0.0 moden.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. bersih 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 laporan.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 setting.data.glbdns2.microsoft.com 0.0.0.0 tetapan- sandbox.data.microsoft.com 0.0.0.0 setting-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 kotak vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Dan pakar Rob Koch menjawab dengan mengatakan:

Oleh kerana anda tidak mengarahkan Microsoft.com dan laman web terkenal lain ke dalam lubang hitam, Microsoft jelas akan melihat ini sebagai aktiviti yang tidak diingini, jadi tentu saja mereka mengesannya sebagai aktiviti PUA (tidak semestinya berniat jahat, tetapi tidak diinginkan), yang berkaitan dengan Host Rampasan Fail.



Anda telah memutuskan bahawa ini adalah sesuatu yang ingin anda lakukan pada dasarnya tidak relevan.

Seperti yang saya jelaskan dalam catatan pertama saya, perubahan untuk melakukan pengesanan PUA diaktifkan secara lalai dengan pembebasan Windows 10 Versi 2004, jadi itulah keseluruhan sebab untuk masalah tiba-tiba anda. Tidak ada yang salah kecuali anda tidak memilih untuk mengendalikan Windows dengan cara yang dikehendaki oleh pembangun Microsoft.

Walau bagaimanapun, kerana keinginan anda adalah untuk mengekalkan pengubahsuaian yang tidak disokong ini dalam fail Hosts, walaupun pada hakikatnya mereka akan memecahkan banyak fungsi Windows dengan jelas bahawa laman web ini dirancang untuk disokong, anda mungkin lebih baik mengembalikan bahagian pengesanan PUA dari. Windows Defender dilumpuhkan seperti dulu pada versi Windows sebelumnya.

Ia adalah Günter Dilahirkan yang membuat blog mengenai isu ini terlebih dahulu. Lihat jawatannya yang sangat baik Defender menandakan fail Windows Hosts sebagai berniat jahat dan catatan seterusnya mengenai topik ini. Günter juga yang pertama menulis mengenai pengesanan Windows Defender / CCleaner PUP.

Dalam blognya, Günter menyatakan bahawa ini telah berlaku sejak 28 Julai 2020. Namun, entri Microsoft Answers yang dibincangkan di atas, telah dibuat pada 23 Julai 2020. Oleh itu, kami tidak tahu versi Windows Defender Engine / klien yang memperkenalkannya Win32 / HostsFileHijack pengesanan blok telemetri dengan tepat.

Definisi Windows Defender baru-baru ini (dikeluarkan dari minggu 3 Julai dan seterusnya) menganggap entri 'dirusak' dalam fail HOSTS sebagai tidak diingini dan memberi amaran kepada pengguna tentang 'tingkah laku yang mungkin tidak diingini' - dengan tahap ancaman dilambangkan sebagai 'teruk'.

Sebarang entri fail HOSTS yang mengandungi domain Microsoft (mis. Microsoft.com) seperti yang ada di bawah, akan mencetuskan amaran:

0.0.0.0 www.microsoft.com (atau) 127.0.0.1 www.microsoft.com

Windows Defender kemudian akan memberikan tiga pilihan kepada pengguna:

  • Keluarkan
  • Kuarantin
  • Benarkan pada peranti.

mempertahankan hostfilehijack

Memilih Keluarkan akan menetapkan semula fail HOSTS ke tetapan lalai Windows, sehingga akan menghapus sepenuhnya entri tersuai anda jika ada.

mempertahankan hostfilehijack

Jadi, bagaimana saya menyekat pelayan telemetri Microsoft?

Sekiranya pasukan Windows Defender ingin meneruskan logik pengesanan di atas, anda mempunyai tiga pilihan untuk menyekat telemetri tanpa mendapat amaran dari Windows Defender.

Pilihan 1: Tambahkan fail HOSTS ke pengecualian Windows Defender

Anda boleh memberitahu Windows Defender untuk mengabaikan HOS fail dengan menambahkannya ke pengecualian.

  1. Buka tetapan Keselamatan Windows Defender, klik Virus & perlindungan ancaman.
  2. Di bawah tetapan perlindungan virus & ancaman, klik Urus tetapan.
  3. Tatal ke bawah dan klik Tambah atau alih keluar pengecualian
  4. Klik Tambah pengecualian, dan klik Fail.
  5. Pilih fail C: Windows System32 driver etc HOSTS dan tambahkannya.
    mempertahankan hostfilehijack

Catatan: Menambah HOSTS ke senarai pengecualian bermaksud bahawa jika malware merosakkan fail HOSTS anda di masa depan, Windows Defender akan diam dan tidak melakukan apa-apa mengenai fail HOSTS. Pengecualian Windows Defender mesti digunakan dengan berhati-hati.

Pilihan 2: Lumpuhkan pengimbasan PUA / PUP oleh Windows Defender

PUA / PUP (aplikasi / program yang berpotensi tidak diinginkan) adalah program yang mengandungi adware, memasang bar alat, atau mempunyai motif yang tidak jelas. Di dalam versi lebih awal daripada Windows 10 2004, Windows Defender tidak mengimbas PUA atau PUP secara lalai. Pengesanan PUA / PUP adalah ciri pilihan yang perlu diaktifkan menggunakan PowerShell atau Registry Editor.

ikon titik tanganThe Win32 / HostsFileHijack ancaman yang ditimbulkan oleh Windows Defender termasuk dalam kategori PUA / PUP. Ini bermaksud, oleh melumpuhkan pengimbasan PUA / PUP pilihan, anda boleh memintas Win32 / HostsFileHijack amaran fail walaupun mempunyai entri telemetri dalam fail HOSTS.

pembela pua blok tingkap 10

Catatan: Kelemahan menonaktifkan PUA / PUP adalah bahawa Windows Defender tidak akan melakukan apa-apa mengenai persediaan / pemasang yang disertakan dengan adware yang anda muat turun secara tidak sengaja.

ikon mentol petua Petua: Anda boleh mempunyai Premium Malwarebytes (yang merangkumi pengimbasan masa nyata) berjalan bersama Windows Defender. Dengan cara itu, Malwarebytes dapat mengurus barang PUA / PUP.

Pilihan 3: Gunakan pelayan DNS tersuai seperti Pi-hole atau pfSense firewall

Pengguna yang mahir berteknologi dapat mengatur sistem pelayan DNS Pi-Hole dan menyekat domain adware dan Microsoft telemetri. Penyekatan tahap DNS biasanya memerlukan perkakasan yang berasingan (seperti Raspberry Pi atau komputer kos rendah) atau perkhidmatan pihak ketiga seperti penapis keluarga OpenDNS. Akaun penapis keluarga OpenDNS menyediakan pilihan percuma untuk menyaring adware dan menyekat domain khusus.

Sebagai alternatif, firewall perkakasan seperti pfSense (bersama dengan pfBlockerNG package) dapat menyelesaikannya dengan mudah. Menapis pelayan di peringkat DNS atau firewall sangat berkesan. Berikut adalah beberapa pautan yang memberitahu anda cara menyekat pelayan telemetri menggunakan firewall pfSense:

Menyekat Lalu Lintas Microsoft Di PFSense | Sintaks Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cara menyekat dalam Telemetri Windows10 dengan pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Sekat Windows 10 Dari Menjejaki Anda: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry memintas sambungan VPN: VPN: Komen dari perbincangan Komen Tzunamii dari perbincangan 'Telemetri Windows 10 adalah melewati sambungan VPN' . Titik akhir sambungan untuk Windows 10 Enterprise, versi 2004 - Privasi Windows | Dokumen Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Catatan editor: Saya tidak pernah menyekat telemetri atau pelayan Microsoft Update dalam sistem saya. Sekiranya anda sangat mementingkan privasi, anda boleh menggunakan salah satu kaedah penyelesaian di atas untuk menyekat pelayan telemetri tanpa mendapat amaran Windows Defender.


Satu permintaan kecil: Sekiranya anda menyukai siaran ini, sila bagikan ini?

Satu bahagian 'kecil' dari anda akan sangat membantu perkembangan blog ini. Beberapa cadangan hebat:
  • Pin ia!
  • Kongsi ke blog kegemaran anda + Facebook, Reddit
  • Tweet!
Oleh itu, terima kasih banyak atas sokongan anda, pembaca saya. Anda tidak akan mengambil masa lebih dari 10 saat. Butang kongsi ada di bawah. :)