Kể từ tháng 7 tuần trước, Windows Defender bắt đầu phát hành Win32 / HostsFileHijack Cảnh báo 'có thể có hành vi không mong muốn' nếu bạn đã chặn máy chủ Đo từ xa của Microsoft bằng tệp HOSTS.
Ra khỏi SettingsModifier: Win32 / HostsFileHijack các trường hợp được báo cáo trực tuyến, trường hợp sớm nhất được báo cáo tại Diễn đàn câu trả lời của Microsoft nơi người dùng đã nêu:
Tôi nhận được một thông báo nghiêm trọng 'có thể không mong muốn'. Tôi có Windows 10 2004 (1904.388) hiện tại và chỉ có Defender là bảo vệ vĩnh viễn.
Làm thế nào để đánh giá, vì không có gì thay đổi tại các máy chủ của tôi, tôi biết điều đó. Hay đây là một thông điệp tích cực sai? Kiểm tra lần thứ hai với AdwCleaner hoặc Malwarebytes hoặc SUPERAntiSpyware cho thấy không có nhiễm trùng.
Cảnh báo “HostsFileHijack” nếu Telemetry bị chặn
Sau khi kiểm tra GIỜ từ hệ thống đó, có thể thấy rằng người dùng đã thêm máy chủ Microsoft Telemetry vào tệp HOSTS và định tuyến nó đến 0.0.0.0 (được gọi là “null-routing”) để chặn các địa chỉ đó. Đây là danh sách các địa chỉ đo từ xa được định tuyến bởi người dùng đó.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 Diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 hiện đại. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 report.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 Survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Và chuyên gia Rob Koch đã trả lời rằng:
Vì bạn đang định tuyến vô hiệu Microsoft.com và các trang web có uy tín khác vào một lỗ đen, Microsoft rõ ràng sẽ coi đây là hoạt động không mong muốn tiềm ẩn, vì vậy tất nhiên họ phát hiện đây là hoạt động PUA (không nhất thiết là độc hại, nhưng không mong muốn), liên quan đến Máy chủ Tập tin Hijack.
Rằng bạn đã quyết định đó là điều bạn muốn làm về cơ bản là không liên quan.
Như tôi đã giải thích rõ ràng trong bài đăng đầu tiên của mình, thay đổi để thực hiện phát hiện PUA được bật theo mặc định khi phát hành Windows 10 Phiên bản 2004, vì vậy đó là toàn bộ lý do khiến bạn gặp sự cố đột ngột. Không có gì sai ngoại trừ việc bạn không muốn vận hành Windows theo cách mà nhà phát triển Microsoft dự định.
Tuy nhiên, vì mong muốn của bạn là giữ lại các sửa đổi không được hỗ trợ này trong tệp Máy chủ lưu trữ, mặc dù thực tế rõ ràng là chúng sẽ phá vỡ nhiều chức năng của Windows mà các trang web đó được thiết kế để hỗ trợ, bạn nên hoàn nguyên phần phát hiện PUA của Windows Defender để tắt như nó đã từng có trong các phiên bản Windows trước.
Nó đã Günter Sinh ra người đã viết blog về vấn đề này đầu tiên. Kiểm tra bài viết xuất sắc của anh ấy Bộ bảo vệ gắn cờ tệp Windows Hosts là độc hại và bài đăng tiếp theo của anh ấy về chủ đề này. Günter cũng là người đầu tiên viết về phát hiện PUP của Bộ bảo vệ Windows / CCleaner.
Trong blog của mình, Günter lưu ý rằng điều này đã xảy ra kể từ ngày 28 tháng 7 năm 2020. Tuy nhiên, bài đăng Microsoft Hỏi & Đáp được thảo luận ở trên, được tạo vào ngày 23 tháng 7 năm 2020. Vì vậy, chúng tôi không biết Windows Defender Engine / phiên bản ứng dụng khách nào đã giới thiệu Win32 / HostsFileHijack khối đo từ xa phát hiện chính xác.
Các định nghĩa Windows Defender gần đây (được ban hành từ tuần 3 tháng 7 trở đi) coi các mục nhập ‘bị giả mạo’ đó trong tệp HOSTS là không mong muốn và cảnh báo người dùng về “hành vi có thể không mong muốn” - với mức độ đe dọa được biểu thị là “nghiêm trọng”.
Bất kỳ mục nhập tệp HOSTS nào chứa miền Microsoft (ví dụ: microsoft.com), chẳng hạn như mục nhập dưới đây, sẽ kích hoạt cảnh báo:
0.0.0.0 www.microsoft.com (hoặc) 127.0.0.1 www.microsoft.com
Sau đó, Windows Defender sẽ cung cấp ba tùy chọn cho người dùng:
- Tẩy
- Cách ly
- Cho phép trên thiết bị.
Lựa chọn Tẩy sẽ đặt lại tệp HOSTS về cài đặt mặc định của Windows, do đó xóa hoàn toàn các mục nhập tùy chỉnh của bạn nếu có.
Vì vậy, làm cách nào để chặn các máy chủ đo từ xa của Microsoft?
Nếu nhóm Windows Defender muốn tiếp tục với logic phát hiện ở trên, bạn có ba tùy chọn để chặn đo từ xa mà không nhận được cảnh báo từ Windows Defender.
Tùy chọn 1: Thêm tệp HOSTS vào loại trừ Windows Defender
Bạn có thể yêu cầu Bộ bảo vệ Windows bỏ qua GIỜ bằng cách thêm nó vào các loại trừ.
- Mở cài đặt Bảo mật của Bộ bảo vệ Windows, nhấp vào Bảo vệ khỏi mối đe dọa và vi-rút.
- Trong cài đặt bảo vệ khỏi mối đe dọa và vi-rút, nhấp vào Quản lý cài đặt.
- Cuộn xuống và nhấp vào Thêm hoặc xóa loại trừ
- Nhấp vào Thêm một loại trừ và nhấp vào Tệp.
- Chọn tệp
C: Windows System32 drivers etc HOSTSvà thêm nó.
Ghi chú: Thêm HOSTS vào danh sách loại trừ có nghĩa là nếu phần mềm độc hại giả mạo tệp HOSTS của bạn trong tương lai, Bộ bảo vệ Windows sẽ ngồi yên và không làm gì với tệp HOSTS. Các loại trừ Windows Defender phải được sử dụng thận trọng.
Tùy chọn 2: Tắt tính năng quét PUA / PUP bằng Bộ bảo vệ Windows
PUA / PUP (ứng dụng / chương trình có thể không mong muốn) là một chương trình có chứa phần mềm quảng cáo, cài đặt thanh công cụ hoặc có động cơ không rõ ràng. bên trong phiên bản trước Windows 10 2004, Windows Defender không quét PUA hoặc PUP theo mặc định. Phát hiện PUA / PUP là một tính năng chọn tham gia cần được kích hoạt bằng PowerShell hoặc Registry Editor.
Các Win32 / HostsFileHijack mối đe dọa do Bộ bảo vệ Windows đưa ra nằm trong danh mục PUA / PUP. Điều đó có nghĩa là, bởi tắt tính năng quét PUA / PUP tùy chọn, bạn có thể bỏ qua Win32 / HostsFileHijack cảnh báo tệp mặc dù có các mục đo từ xa trong tệp HOSTS.
Ghi chú: Nhược điểm của việc vô hiệu hóa PUA / PUP là Windows Defender sẽ không làm gì với các thiết lập / cài đặt đi kèm phần mềm quảng cáo mà bạn vô tình tải xuống.
Tiền boa: Bạn có thể có Malwarebytes Premium (bao gồm quét thời gian thực) chạy cùng với Bộ bảo vệ Windows. Bằng cách đó, Malwarebytes có thể xử lý nội dung PUA / PUP.
Tùy chọn 3: Sử dụng máy chủ DNS tùy chỉnh như tường lửa Pi-hole hoặc pfSense
Người dùng hiểu biết về công nghệ có thể thiết lập hệ thống máy chủ DNS Pi-Hole và chặn phần mềm quảng cáo và các miền đo từ xa của Microsoft. Chặn cấp DNS thường yêu cầu phần cứng riêng biệt (như Raspberry Pi hoặc máy tính giá rẻ) hoặc dịch vụ của bên thứ ba như bộ lọc gia đình OpenDNS. Tài khoản bộ lọc gia đình OpenDNS cung cấp tùy chọn miễn phí để lọc phần mềm quảng cáo và chặn các miền tùy chỉnh.
Ngoài ra, một tường lửa phần cứng như pfSense (cùng với gói pfBlockerNG) có thể thực hiện điều này một cách dễ dàng. Lọc máy chủ ở cấp DNS hoặc tường lửa là rất hiệu quả. Dưới đây là một số liên kết cho bạn biết cách chặn máy chủ đo từ xa bằng tường lửa pfSense:
Chặn lưu lượng truy cập của Microsoft trong PFSense | Cú pháp Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cách chặn trong Windows10 Telemetry với pfsense | Diễn đàn Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Chặn Windows 10 Theo dõi Bạn: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry đang bỏ qua kết nối VPN: VPN: Bình luận khỏi thảo luận Nhận xét của Tzunamii từ cuộc thảo luận 'Phép đo từ xa Windows 10 đang bỏ qua kết nối VPN' . Điểm cuối kết nối cho Windows 10 Enterprise, phiên bản 2004 - Quyền riêng tư của Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Ghi chú của người biên tập: Tôi chưa bao giờ chặn máy chủ đo từ xa hoặc Microsoft Update trong hệ thống của mình. Nếu quan tâm nhiều đến quyền riêng tư, bạn có thể sử dụng một trong các giải pháp trên để chặn các máy chủ đo từ xa mà không nhận được cảnh báo của Bộ bảo vệ Windows.
Một yêu cầu nhỏ: Nếu bạn thích bài viết này, hãy chia sẻ nó?
Một chia sẻ 'nhỏ' từ bạn sẽ giúp ích rất nhiều cho sự phát triển của blog này. Một số gợi ý tuyệt vời:- Ghim nó!
- Chia sẻ nó lên blog yêu thích của bạn + Facebook, Reddit
- Tweet nó!