Da luglio della scorsa settimana, Windows Defender ha iniziato a rilasciare Win32 / HostsFileHijack
Avvisi di 'comportamento potenzialmente indesiderato' se hai bloccato i server di telemetria di Microsoft utilizzando il file HOSTS.
Fuori da SettingsModifier: Win32 / HostsFileHijack
casi segnalati online, il primo è stato segnalato presso il Forum di Microsoft Answers dove l'utente ha dichiarato:
Ricevo un messaggio serio 'potenzialmente indesiderato'. Ho l'attuale Windows 10 2004 (1904.388) e solo Defender come protezione permanente.
Come è questo da valutare, dal momento che nulla è cambiato ai miei ospiti, lo so. O è un messaggio falso positivo? Un secondo controllo con AdwCleaner o Malwarebytes o SUPERAntiSpyware non mostra alcuna infezione.
Avviso 'HostsFileHijack' se la telemetria è bloccata
Dopo aver ispezionato il file OSPITI
da quel sistema, è stato osservato che l'utente aveva aggiunto i server di telemetria Microsoft al file HOSTS e lo aveva instradato a 0.0.0.0 (noto come 'instradamento nullo') per bloccare quegli indirizzi. Di seguito è riportato l'elenco degli indirizzi di telemetria indirizzati da tale utente.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderno. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 mq.df.telemetry.microsoft.com 0.0.0.0 mq.telemetry.microsoft.com 0.0.0.0 mq.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
E l'esperto Rob Koch ha risposto dicendo:
Dal momento che stai instradando nullo Microsoft.com e altri siti Web affidabili in un buco nero, Microsoft lo vedrebbe ovviamente come attività potenzialmente indesiderata, quindi ovviamente li rileva come attività PUA (non necessariamente dannosa, ma indesiderata), relativa a un host File Hijack.
Il fatto che tu abbia deciso che è qualcosa che desideri fare è fondamentalmente irrilevante.
Come ho spiegato chiaramente nel mio primo post, la modifica per eseguire i rilevamenti PUA è stata abilitata per impostazione predefinita con il rilascio di Windows 10 versione 2004, quindi questa è l'intera ragione del tuo problema improvviso. Niente è sbagliato tranne che non preferisci utilizzare Windows nel modo previsto dallo sviluppatore Microsoft.
Tuttavia, poiché il tuo desiderio è di conservare queste modifiche non supportate nel file Hosts, nonostante il fatto che interromperanno chiaramente molte delle funzioni di Windows che quei siti sono progettati per supportare, probabilmente faresti meglio a ripristinare la parte di rilevamento PUA di Windows Defender è disabilitato come nelle versioni precedenti di Windows.
Era Günter Born chi ha scritto per primo su questo problema. Controlla il suo eccellente post Defender contrassegna il file host di Windows come dannoso e il suo successivo post su questo argomento. Günter è stato anche il primo a scrivere sul rilevamento dei PUP di Windows Defender / CCleaner.
Nel suo blog, Günter nota che ciò accade dal 28 luglio 2020. Tuttavia, il post di Microsoft Answers discusso sopra, è stato creato il 23 luglio 2020, però. Quindi, non sappiamo quale versione client / Windows Defender Engine abbia introdotto il Win32 / HostsFileHijack
rilevamento del blocco di telemetria esattamente.
Le recenti definizioni di Windows Defender (pubblicate dalla 3 ° settimana di luglio in poi) considerano quelle voci 'manomesse' nel file HOSTS come indesiderabili e avvertono l'utente di 'comportamenti potenzialmente indesiderati', con il livello di minaccia indicato come 'grave'.
Qualsiasi voce di file HOSTS contenente un dominio Microsoft (ad esempio microsoft.com) come quello di seguito, attiverebbe un avviso:
0.0.0.0 www.microsoft.com (o) 127.0.0.1 www.microsoft.com
Windows Defender fornirebbe quindi tre opzioni all'utente:
- Rimuovere
- Quarantena
- Consenti sul dispositivo.
Selezione Rimuovere ripristinerebbe il file HOSTS alle impostazioni predefinite di Windows, cancellando così completamente le voci personalizzate, se presenti.
Quindi, come faccio a bloccare i server di telemetria di Microsoft?
Se il team di Windows Defender vuole continuare con la logica di rilevamento sopra, hai tre opzioni per bloccare la telemetria senza ricevere avvisi da Windows Defender.
Opzione 1: aggiungi il file HOSTS alle esclusioni di Windows Defender
Puoi dire a Windows Defender di ignorare il file OSPITI
file aggiungendolo alle esclusioni.
- Apri le impostazioni di sicurezza di Windows Defender, fai clic su Protezione da virus e minacce.
- In Impostazioni di protezione da virus e minacce, fai clic su Gestisci impostazioni.
- Scorri verso il basso e fai clic su Aggiungi o rimuovi esclusioni
- Fare clic su Aggiungi un'esclusione e quindi su File.
- Seleziona il file
C: Windows System32 drivers etc HOSTS
e aggiungilo.
Nota: L'aggiunta di HOSTS all'elenco delle esclusioni significa che se un malware manomette il tuo file HOSTS in futuro, Windows Defender rimarrebbe fermo e non farebbe nulla sul file HOSTS. Le esclusioni di Windows Defender devono essere utilizzate con cautela.
Opzione 2: disabilita la scansione PUA / PUP da Windows Defender
PUA / PUP (applicazione / programma potenzialmente indesiderato) è un programma che contiene adware, installa barre degli strumenti o ha motivazioni poco chiare. Nel versioni prima di Windows 10 2004, Windows Defender non analizzava PUA o PUP per impostazione predefinita. Il rilevamento PUA / PUP era una funzione di attivazione che doveva essere abilitato utilizzando PowerShell o l'Editor del Registro di sistema.
Il Win32 / HostsFileHijack
minaccia sollevata da Windows Defender rientra nella categoria PUA / PUP. Ciò significa che da disabilitando la scansione PUA / PUP puoi bypassare l'opzione Win32 / HostsFileHijack
avviso del file nonostante siano presenti voci di telemetria nel file HOSTS.
Nota: Uno svantaggio della disabilitazione di PUA / PUP è che Windows Defender non farebbe nulla per l'installazione / gli installatori in bundle di adware che scarichi inavvertitamente.
Mancia: Puoi avere Malwarebytes Premium (che include la scansione in tempo reale) in esecuzione insieme a Windows Defender. In questo modo, Malwarebytes può occuparsi di PUA / PUP.
Opzione 3: utilizza un server DNS personalizzato come Pi-hole o pfSense firewall
Gli utenti esperti di tecnologia possono configurare un sistema server DNS Pi-Hole e bloccare adware e domini di telemetria Microsoft. Il blocco a livello DNS di solito richiede hardware separato (come Raspberry Pi o un computer a basso costo) o un servizio di terze parti come il filtro della famiglia OpenDNS. L'account del filtro della famiglia OpenDNS fornisce un'opzione gratuita per filtrare gli adware e bloccare i domini personalizzati.
In alternativa, un firewall hardware come pfSense (insieme al pacchetto pfBlockerNG) può farlo facilmente. Il filtraggio dei server a livello di DNS o firewall è molto efficace. Di seguito sono riportati alcuni collegamenti che indicano come bloccare i server di telemetria utilizzando il firewall pfSense:
Blocco del traffico Microsoft in PFSense | Sintassi Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Come bloccare in Windows10 la telemetria con pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blocca Windows 10 dal tracciamento: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / La telemetria di Windows 10 ignora la connessione VPN: VPN: Commento dalla discussione Commento di Tzunamii dalla discussione `` La telemetria di Windows 10 sta bypassando la connessione VPN '' . Endpoint di connessione per Windows 10 Enterprise, versione 2004 - Privacy di Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota dell'editore: Non ho mai bloccato la telemetria o i server Microsoft Update nei miei sistemi. Se sei molto preoccupato per la privacy, puoi utilizzare una delle soluzioni alternative di cui sopra per bloccare i server di telemetria senza ricevere gli avvisi di Windows Defender.
Una piccola richiesta: se ti è piaciuto questo post, condividilo?
Una tua 'minuscola' condivisione aiuterebbe davvero molto con la crescita di questo blog. Alcuni ottimi suggerimenti:- Fissalo!
- Condividilo sul tuo blog preferito + Facebook, Reddit
- Tweet it!