Geçen hafta Temmuz ayından bu yana, Windows Defender yayınlamaya başladı Win32 / HostsFileHijack HOSTS dosyasını kullanarak Microsoft’un Telemetri sunucularını engellediyseniz, 'potansiyel olarak istenmeyen davranış' uyarıları.
Dışında Ayarlar Değiştirici: Win32 / HostsFileHijack çevrimiçi olarak bildirilen vakalar, en erken olanı Microsoft Answers forumları kullanıcının belirttiği yer:
Ciddi bir 'potansiyel olarak istenmeyen' mesajı alıyorum. Mevcut Windows 10 2004 (1904.388) ve kalıcı koruma olarak yalnızca Defender'a sahibim.
Bunu nasıl değerlendireceğim, ev sahiplerimde hiçbir şey değişmediğine göre, bunu biliyorum. Yoksa bu yanlış bir pozitif mesaj mı? AdwCleaner veya Malwarebytes veya SUPERAntiSpyware ile yapılan ikinci bir kontrol, bulaşma olmadığını gösterir.
Telemetri engellenmişse 'HostsFileHijack' uyarısı
İnceledikten sonra HOSTS dosyasında, kullanıcının HOSTS dosyasına Microsoft Telemetri sunucularını eklediği ve bu adresleri engellemek için onu 0.0.0.0'a ('boş yönlendirme' olarak bilinir) yönlendirdiği gözlendi. İşte o kullanıcı tarafından null olarak yönlendirilen telemetri adreslerinin listesi.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 ayarları- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Ve uzman Rob Koch şöyle cevap verdi:
Microsoft.com'u ve diğer saygın web sitelerini bir kara deliğe boş olarak yönlendirdiğiniz için, Microsoft bunu açıkça potansiyel olarak istenmeyen etkinlik olarak görecektir, bu nedenle elbette bunları bir Ana Bilgisayarla ilgili PUA (mutlaka kötü amaçlı değil, ancak istenmeyen) etkinliği olarak algılarlar. Ele geçirme dosyası.
Bunun yapmak istediğiniz bir şey olduğuna karar vermiş olmanız temelde alakasızdır.
İlk gönderimde açıkça açıkladığım gibi, PUA algılamalarını gerçekleştirme değişikliği, Windows 10 Sürüm 2004'ün piyasaya sürülmesiyle varsayılan olarak etkinleştirildi, bu nedenle ani sorununun tüm nedeni budur. Windows'u, geliştiricinin Microsoft'un tasarladığı şekilde çalıştırmayı tercih etmemeniz dışında yanlış bir şey yoktur.
Ancak, isteğiniz bu desteklenmeyen değişiklikleri Hosts dosyasında saklamak olduğundan, bu sitelerin desteklemek üzere tasarlandığı Windows işlevlerinin birçoğunu açıkça kıracak olsalar da, PUA algılama bölümünü geri döndürmeniz daha iyi olacaktır. Windows Defender, Windows'un önceki sürümlerinde olduğu gibi devre dışı bırakıldı.
Öyleydi Günter Doğdu önce bu konu hakkında blog yazan kişi. Mükemmel gönderisine göz atın Defender, Windows Hosts dosyasını kötü amaçlı olarak işaretler ve bu konudaki sonraki yazısı. Günter ayrıca Windows Defender / CCleaner PUP tespiti hakkında yazan ilk kişiydi.
Günter blogunda bunun 28 Temmuz 2020'den beri gerçekleştiğini belirtiyor. Ancak yukarıda tartışılan Microsoft Answers gönderisi 23 Temmuz 2020'de oluşturuldu. Bu nedenle, hangi Windows Defender Engine / istemci sürümünün Win32 / HostsFileHijack telemetri blok tespiti tam olarak.
En son Windows Defender tanımları (3 Temmuz haftadan itibaren yayınlanmıştır) HOSTS dosyasındaki 'tahrif edilmiş' girişleri istenmeyen olarak kabul eder ve kullanıcıyı 'potansiyel olarak istenmeyen davranışlar' konusunda uyarır - tehdit düzeyi 'ciddi' olarak belirtilir.
Aşağıdakine benzer bir Microsoft etki alanı (ör. Microsoft.com) içeren herhangi bir HOSTS dosyası girişi bir uyarıyı tetikler:
0.0.0.0 www.microsoft.com (veya) 127.0.0.1 www.microsoft.com
Windows Defender daha sonra kullanıcıya üç seçenek sunar:
- Kaldırmak
- Karantina
- Cihazda izin ver.
Seçme Kaldırmak HOSTS dosyasını Windows varsayılan ayarlarına sıfırlar, böylece varsa özel girişlerinizi tamamen siler.
Peki, Microsoft’un telemetri sunucularını nasıl engelleyebilirim?
Windows Defender ekibi yukarıdaki algılama mantığına devam etmek isterse, Windows Defender'dan uyarılar almadan telemetriyi engellemek için üç seçeneğiniz vardır.
1. Seçenek: HOSTS dosyasını Windows Defender dışlamalarına ekleyin
Windows Defender'a şunu yoksaymasını söyleyebilirsiniz: HOSTS dosyasını hariç tutmalara ekleyerek.
- Windows Defender Güvenlik ayarlarını açın, Virüs ve tehdit koruması'na tıklayın.
- Virüs ve tehdit koruma ayarları altında Ayarları yönet'i tıklayın.
- Aşağı kaydırın ve Hariç tutma ekle veya kaldır'ı tıklayın.
- Dışlama ekle'yi ve ardından Dosya'yı tıklayın.
- Dosyayı seçin
C: Windows System32 sürücüler etc HOSTSve ekleyin.
Not: Özel durumlar listesine HOSTS eklemek, gelecekte bir kötü amaçlı yazılımın HOSTS dosyanızı kurcalaması durumunda, Windows Defender'ın hareketsiz duracağı ve HOSTS dosyası hakkında hiçbir şey yapmayacağı anlamına gelir. Windows Defender dışlamaları dikkatli kullanılmalıdır.
Seçenek 2: Windows Defender tarafından PUA / PUP taramasını devre dışı bırakın
PUA / PUP (potansiyel olarak istenmeyen uygulama / program), reklam yazılımı içeren, araç çubuklarını yükleyen veya belirsiz amaçları olan bir programdır. İçinde versiyonlar Windows 10 2004'ten önce, Windows Defender varsayılan olarak PUA veya PUP'ları taramadı. PUA / PUP algılama, isteğe bağlı bir özellikti PowerShell veya Kayıt Defteri Düzenleyicisi kullanılarak etkinleştirilmesi gerekir.
Win32 / HostsFileHijack Windows Defender tarafından oluşturulan tehdit PUA / PUP kategorisine girer. Bu demektir ki PUA / PUP taramasını devre dışı bırakma seçeneği, bypass edebilirsiniz Win32 / HostsFileHijack HOSTS dosyasında telemetri girişleri olmasına rağmen dosya uyarısı.
Not: PUA / PUP'u devre dışı bırakmanın bir dezavantajı, Windows Defender'ın yanlışlıkla indirdiğiniz reklam yazılımı içeren kurulum / yükleyiciler hakkında hiçbir şey yapmamasıdır.
İpucu: Alabilirsin Malwarebytes Premium (gerçek zamanlı taramayı içerir) Windows Defender ile birlikte çalışır. Bu şekilde Malwarebytes, PUA / PUP işleriyle ilgilenebilir.
Seçenek 3: Pi deliği veya pfSense güvenlik duvarı gibi özel bir DNS sunucusu kullanın
Teknoloji meraklısı kullanıcılar bir Pi-Hole DNS sunucu sistemi kurabilir ve reklam yazılımları ile Microsoft telemetri alanlarını engelleyebilir. DNS düzeyinde engelleme genellikle ayrı bir donanım (Raspberry Pi veya düşük maliyetli bir bilgisayar gibi) veya OpenDNS ailesi filtresi gibi bir üçüncü taraf hizmeti gerektirir. OpenDNS ailesi filtre hesabı, reklam yazılımlarını filtrelemek ve özel alanları engellemek için ücretsiz bir seçenek sunar.
Alternatif olarak, pfSense gibi bir donanım güvenlik duvarı (pfBlockerNG paketi ile birlikte) bunu kolayca başarabilir. Sunucuları DNS veya güvenlik duvarı düzeyinde filtrelemek çok etkilidir. Aşağıda, pfSense güvenlik duvarı kullanarak telemetri sunucularını nasıl engelleyeceğinizi anlatan bazı bağlantılar verilmiştir:
PFSense'te Microsoft Trafiğini Engelleme | Adobo Sözdizimi: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ pfsense ile Windows10 Telemetrisinde nasıl engellenir | Netgate Forumu: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows 10'un Sizi İzlemesini Engelleyin: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetri, VPN bağlantısını atlıyor: VPN: Yorum Yap tartışmadan Tzunamii'nin 'Windows 10 Telemetri VPN bağlantısını atlıyor' tartışmasındaki yorumu . Windows 10 Enterprise, sürüm 2004 için bağlantı uç noktaları - Windows Gizliliği | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Editörün Notu: Sistemlerimde telemetri veya Microsoft Update sunucularını hiçbir zaman engellemedim. Gizlilik konusunda çok endişeleniyorsanız, Windows Defender uyarılarını almadan telemetri sunucularının engellenmesini sağlamak için yukarıdaki geçici çözümlerden birini kullanabilirsiniz.
Küçük bir istek: Bu gönderiyi beğendiyseniz, lütfen paylaşın?
Sizden 'küçük' bir paylaşım, bu blogun büyümesine ciddi şekilde yardımcı olacaktır. Bazı harika öneriler:- İğnele!
- En sevdiğiniz blog + Facebook, Reddit ile paylaşın
- Cıvılda!