การแจ้งเตือน“ HostsFileHijack” ของ Windows Defender จะปรากฏขึ้นหาก Telemetry ถูกบล็อก - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline



ตั้งแต่เดือนกรกฎาคมสัปดาห์ที่แล้ว Windows Defender เริ่มออก Win32 / HostsFileHijack 'พฤติกรรมที่อาจไม่ต้องการ' จะแจ้งเตือนหากคุณบล็อกเซิร์ฟเวอร์ Telemetry ของ Microsoft โดยใช้ไฟล์ HOSTS

ปกป้องโฮสต์







ออกจาก SettingsModifier: Win32 / HostsFileHijack กรณีที่รายงานทางออนไลน์รายงานที่เร็วที่สุดที่รายงาน ฟอรัม Microsoft Answers ที่ผู้ใช้ระบุ:



ฉันได้รับข้อความ 'ที่อาจไม่ต้องการ' ที่ร้ายแรง ฉันมี Windows 10 2004 (1904.388) ปัจจุบันและมีเพียง Defender เท่านั้นที่เป็นการป้องกันแบบถาวร
วิธีการประเมินเนื่องจากไม่มีอะไรเปลี่ยนแปลงที่โฮสต์ของฉันฉันรู้ว่า หรือนี่เป็นข้อความเชิงบวกที่ผิดพลาด? การตรวจสอบครั้งที่สองด้วย AdwCleaner หรือ Malwarebytes หรือ SUPERAntiSpyware แสดงว่าไม่มีการติดไวรัส



“ HostsFileHijack” จะแจ้งเตือนหาก Telemetry ถูกบล็อก

หลังจากตรวจสอบ โฮส จากระบบนั้นพบว่าผู้ใช้ได้เพิ่มเซิร์ฟเวอร์ Microsoft Telemetry ลงในไฟล์ HOSTS และกำหนดเส้นทางไปที่ 0.0.0.0 (เรียกว่า“ null-Routing”) เพื่อบล็อกแอดเดรสเหล่านั้น นี่คือรายการของที่อยู่ telemetry ที่กำหนดเส้นทางโดยผู้ใช้นั้น





0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostic.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 ทันสมัย watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 การตั้งค่า - sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

และผู้เชี่ยวชาญ Rob Koch ตอบว่า:

เนื่องจากคุณกำลังกำหนดเส้นทาง Microsoft.com และเว็บไซต์ที่มีชื่อเสียงอื่น ๆ เป็นโมฆะ Microsoft จึงเห็นได้ชัดว่าสิ่งนี้เป็นกิจกรรมที่ไม่ต้องการดังนั้นแน่นอนว่าพวกเขาตรวจพบว่าเป็นกิจกรรม PUA (ไม่จำเป็นต้องเป็นอันตราย แต่ไม่ต้องการ) ซึ่งเกี่ยวข้องกับโฮสต์ ไฟล์ Hijack



การที่คุณตัดสินใจว่าเป็นสิ่งที่คุณต้องการจะทำนั้นไม่เกี่ยวข้องโดยทั่วไป

ดังที่ฉันได้อธิบายไว้อย่างชัดเจนในโพสต์แรกของฉันการเปลี่ยนแปลงในการตรวจจับ PUA ถูกเปิดใช้โดยค่าเริ่มต้นด้วยการเปิดตัว Windows 10 เวอร์ชัน 2004 นั่นคือสาเหตุทั้งหมดที่ทำให้เกิดปัญหากะทันหัน ไม่มีอะไรผิดปกติยกเว้นว่าคุณไม่ต้องการใช้งาน Windows ในลักษณะที่นักพัฒนา Microsoft ต้องการ

อย่างไรก็ตามเนื่องจากความต้องการของคุณคือเก็บการแก้ไขที่ไม่สนับสนุนเหล่านี้ไว้ในไฟล์ Hosts แม้ว่าจะมีการทำลายฟังก์ชัน Windows หลายอย่างที่ไซต์เหล่านั้นออกแบบมาเพื่อรองรับอย่างชัดเจน แต่คุณควรเปลี่ยนกลับส่วนการตรวจจับ PUA ของ Windows Defender จะปิดใช้งานเหมือนที่เคยเป็นใน Windows รุ่นก่อนหน้า

มันเป็น Günterเกิด ใครบล็อกเกี่ยวกับปัญหานี้ก่อน ลองดูโพสต์ที่ยอดเยี่ยมของเขา Defender ตั้งค่าสถานะไฟล์ Windows Hosts ว่าเป็นอันตราย และโพสต์ต่อมาของเขาในหัวข้อนี้ Günterเป็นคนแรกที่เขียนเกี่ยวกับการตรวจจับ PUP ของ Windows Defender / CCleaner

ในบล็อกของเขาGünterตั้งข้อสังเกตว่าสิ่งนี้เกิดขึ้นตั้งแต่วันที่ 28 กรกฎาคม 2020 อย่างไรก็ตามโพสต์ Microsoft Answers ที่กล่าวถึงข้างต้นถูกสร้างขึ้นเมื่อวันที่ 23 กรกฎาคม 2020 ดังนั้นเราจึงไม่ทราบว่า Windows Defender Engine / ไคลเอนต์เวอร์ชันใดที่เปิดตัว Win32 / HostsFileHijack การตรวจจับบล็อก telemetry อย่างแน่นอน

คำจำกัดความล่าสุดของ Windows Defender (ออกตั้งแต่สัปดาห์ที่ 3 กรกฎาคมเป็นต้นไป) ถือว่ารายการที่ 'ถูกดัดแปลง' ในไฟล์ HOSTS เป็นสิ่งที่ไม่พึงปรารถนาและเตือนผู้ใช้ถึง 'พฤติกรรมที่อาจไม่ต้องการ' โดยระดับภัยคุกคามจะแสดงเป็น 'รุนแรง'

รายการไฟล์ HOSTS ใด ๆ ที่มีโดเมน Microsoft (เช่น microsoft.com) เช่นรายการด้านล่างจะทำให้เกิดการแจ้งเตือน:

0.0.0.0 www.microsoft.com (หรือ) 127.0.0.1 www.microsoft.com

จากนั้น Windows Defender จะให้ตัวเลือกสามทางแก่ผู้ใช้:

  • ลบ
  • การกักกัน
  • อนุญาตบนอุปกรณ์

ปกป้องโฮสต์

กำลังเลือก ลบ จะรีเซ็ตไฟล์ HOSTS เป็นการตั้งค่าเริ่มต้นของ Windows ซึ่งจะลบรายการที่กำหนดเองของคุณอย่างสมบูรณ์หากมี

ปกป้องโฮสต์

ดังนั้นฉันจะบล็อกเซิร์ฟเวอร์การส่งข้อมูลทางไกลของ Microsoft ได้อย่างไร

หากทีม Windows Defender ต้องการดำเนินการต่อด้วยตรรกะการตรวจจับข้างต้นคุณมีสามทางเลือกในการบล็อกการส่งข้อมูลทางไกลโดยไม่ได้รับการแจ้งเตือนจาก Windows Defender

ตัวเลือกที่ 1: เพิ่มไฟล์ HOSTS ในการยกเว้นของ Windows Defender

คุณสามารถบอกให้ Windows Defender ละเว้นไฟล์ โฮส โดยเพิ่มลงในการยกเว้น

  1. เปิดการตั้งค่าความปลอดภัยของ Windows Defender คลิกการป้องกันไวรัสและภัยคุกคาม
  2. ภายใต้การตั้งค่าการป้องกันไวรัสและภัยคุกคามคลิกจัดการการตั้งค่า
  3. เลื่อนลงแล้วคลิกเพิ่มหรือลบการยกเว้น
  4. คลิกเพิ่มการยกเว้นแล้วคลิกไฟล์
  5. เลือกไฟล์ C: Windows System32 drivers etc HOSTS และเพิ่ม
    ปกป้องโฮสต์

บันทึก: การเพิ่ม HOSTS ในรายการยกเว้นหมายความว่าหากมัลแวร์แทรกซึมเข้ากับไฟล์ HOSTS ของคุณในอนาคต Windows Defender จะหยุดนิ่งและไม่ทำอะไรกับไฟล์ HOSTS ต้องใช้การยกเว้นของ Windows Defender อย่างระมัดระวัง

ตัวเลือกที่ 2: ปิดใช้งานการสแกน PUA / PUP โดย Windows Defender

PUA / PUP (แอปพลิเคชัน / โปรแกรมที่อาจไม่ต้องการ) คือโปรแกรมที่มีแอดแวร์ติดตั้งแถบเครื่องมือหรือมีเหตุจูงใจที่ไม่ชัดเจน ใน เวอร์ชัน ก่อนหน้า Windows 10 2004 Windows Defender ไม่สแกน PUA หรือ PUP ตามค่าเริ่มต้น การตรวจจับ PUA / PUP เป็นคุณสมบัติที่เลือกใช้ ที่จำเป็นต้องเปิดใช้งานโดยใช้ PowerShell หรือ Registry Editor

ไอคอนจุดมือ Win32 / HostsFileHijack ภัยคุกคามที่เกิดขึ้นโดย Windows Defender อยู่ภายใต้หมวด PUA / PUP นั่นหมายความว่าโดย การปิดใช้งานการสแกน PUA / PUP คุณสามารถข้ามไฟล์ Win32 / HostsFileHijack คำเตือนไฟล์แม้ว่าจะมีรายการ telemetry ในไฟล์ HOSTS

พิทักษ์ pua บล็อก windows 10

บันทึก: ข้อเสียของการปิดใช้งาน PUA / PUP คือ Windows Defender จะไม่ทำอะไรเลยเกี่ยวกับการตั้งค่า / ตัวติดตั้งที่รวมแอดแวร์ที่คุณดาวน์โหลดโดยไม่ได้ตั้งใจ

ไอคอนหลอดไฟเคล็ดลับ เคล็ดลับ: คุณสามารถมี Malwarebytes Premium (ซึ่งรวมถึงการสแกนตามเวลาจริง) ที่ทำงานร่วมกับ Windows Defender ด้วยวิธีนี้ Malwarebytes สามารถดูแลสิ่ง PUA / PUP ได้

ตัวเลือกที่ 3: ใช้เซิร์ฟเวอร์ DNS แบบกำหนดเองเช่น Pi-hole หรือ pfSense firewall

ผู้ใช้ที่เชี่ยวชาญด้านเทคโนโลยีสามารถตั้งค่าระบบเซิร์ฟเวอร์ Pi-Hole DNS และบล็อกแอดแวร์และโดเมนทางไกลของ Microsoft การบล็อกระดับ DNS มักจะต้องใช้ฮาร์ดแวร์แยกต่างหาก (เช่น Raspberry Pi หรือคอมพิวเตอร์ราคาประหยัด) หรือบริการของบุคคลที่สามเช่นตัวกรองตระกูล OpenDNS บัญชีตัวกรองตระกูล OpenDNS มีตัวเลือกฟรีในการกรองแอดแวร์และบล็อกโดเมนที่กำหนดเอง

อีกทางเลือกหนึ่งไฟร์วอลล์ฮาร์ดแวร์เช่น pfSense (พร้อมกับแพ็คเกจ pfBlockerNG) สามารถทำสิ่งนี้ได้อย่างง่ายดาย การกรองเซิร์ฟเวอร์ในระดับ DNS หรือไฟร์วอลล์มีประสิทธิภาพมาก นี่คือลิงค์บางส่วนที่บอกวิธีบล็อกเซิร์ฟเวอร์ telemetry โดยใช้ไฟร์วอลล์ pfSense:

การบล็อกการรับส่งข้อมูลของ Microsoft ใน PFSense | Adobo Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ วิธีบล็อกใน Windows10 Telemetry ด้วย pfsense | ฟอรัม Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense บล็อก Windows 10 จากการติดตามคุณ: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry กำลังข้ามการเชื่อมต่อ VPN: VPN: แสดงความคิดเห็น จากการอภิปราย ความคิดเห็นของ Tzunamii จากการสนทนา 'Windows 10 Telemetry กำลังข้ามการเชื่อมต่อ VPN' . จุดสิ้นสุดการเชื่อมต่อสำหรับ Windows 10 Enterprise เวอร์ชัน 2004 - ความเป็นส่วนตัวของ Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

หมายเหตุบรรณาธิการ: ฉันไม่เคยปิดกั้นการส่งข้อมูลทางไกลหรือเซิร์ฟเวอร์ Microsoft Update ในระบบของฉัน หากคุณกังวลมากเกี่ยวกับความเป็นส่วนตัวคุณสามารถใช้วิธีแก้ปัญหาข้างต้นเพื่อให้เซิร์ฟเวอร์การส่งข้อมูลทางไกลถูกบล็อกโดยไม่ได้รับการแจ้งเตือนของ Windows Defender


คำขอเล็ก ๆ น้อย ๆ : หากคุณชอบโพสต์นี้โปรดแชร์สิ่งนี้?

การแบ่งปัน 'เล็ก ๆ น้อย ๆ ' หนึ่งครั้งจากคุณจะช่วยอย่างมากในการเติบโตของบล็อกนี้ คำแนะนำที่ดีบางประการ:
  • ขามัน!
  • แบ่งปันไปยังบล็อกที่คุณชื่นชอบ + Facebook, Reddit
  • ทวีต!
ขอบคุณมากสำหรับการสนับสนุนผู้อ่านของฉัน ใช้เวลาไม่เกิน 10 วินาที ปุ่มแชร์อยู่ด้านล่าง :)