先週の7月以降、WindowsDefenderは発行を開始しました Win32 / HostsFileHijack
HOSTSファイルを使用してMicrosoftのテレメトリサーバーをブロックした場合、「望ましくない可能性のある動作」が警告します。
の外へ SettingsModifier:Win32 / HostsFileHijack
オンラインで報告されたケース、最も早いものはで報告されました MicrosoftAnswersフォーラム ユーザーが述べた場所:
深刻な「望ましくない可能性がある」というメッセージが表示されます。私は現在のWindows10 2004(1904.388)を持っており、永続的な保護としてDefenderのみを使用しています。
私のホストでは何も変わっていないので、それをどのように評価するのか、私はそれを知っています。それとも、これは誤検知メッセージですか? AdwCleaner、Malwarebytes、またはSUPERAntiSpywareを使用した2回目のチェックでは、感染は見られません。
テレメトリがブロックされている場合の「hostsFileHijack」アラート
検査した後 ホスト
そのシステムのファイルでは、ユーザーがMicrosoft TelemetryサーバーをHOSTSファイルに追加し、0.0.0.0(「ヌルルーティング」と呼ばれる)にルーティングして、これらのアドレスをブロックしていることが確認されました。これは、そのユーザーによってヌルルーティングされたテレメトリアドレスのリストです。
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 Diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0feedback.microsoft-hohm.com0.0.0.0feedback.search.mic rosoft.com 0.0.0.0feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net0.0.0.0モダン。 watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0oca.telemetry。 microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0onesettings-cy2.metron.live.com.nsatc。ネット0.0.0.0onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com0.0.0.0設定-win.data.microsoft.com0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0survey.watson.microsoft。 com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0v10.vortex-win.data。 microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0v10-win.vortex.data.microsoft.com。 akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0vortex-win-sandbox。 data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0watson.microsoft。 com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
そして専門家のロブ・コッホはこう答えました:
Microsoft.comやその他の評判の良いWebサイトをブラックホールにヌルルーティングしているため、Microsoftは明らかにこれを望ましくない可能性のあるアクティビティと見なします。もちろん、これらはホストに関連するPUA(必ずしも悪意はありませんが望ましくない)アクティビティとして検出されますファイルハイジャック。
あなたがやりたいことだとあなたが決めたことは、基本的には無関係です。
最初の投稿で明確に説明したように、PUA検出を実行するための変更は、Windows 10バージョン2004のリリースでデフォルトで有効になっていたため、突然の問題の原因はすべてです。開発者のMicrosoftが意図した方法でWindowsを操作することを好まないことを除いて、何も問題はありません。
ただし、これらのサポートされていない変更をHostsファイルに保持したいので、これらのサイトがサポートするように設計されているWindows機能の多くを明らかに破壊するという事実にもかかわらず、のPUA検出部分を元に戻す方がよいでしょう。以前のバージョンのWindowsにあったため、WindowsDefenderを無効にします。
そうだった ギュンター・ボーン この問題について最初にブログを書いた人。彼の優れた投稿をチェックしてください Defenderは、WindowsHostsファイルを悪意のあるものとしてフラグを立てます そしてこのトピックに関する彼のその後の投稿。 Günterは、Windows Defender / CCleanerPUP検出について最初に書いた人物でもあります。
Günterはブログで、これは2020年7月28日以降に発生していると述べています。ただし、上記のMicrosoft Answersの投稿は、2020年7月23日に作成されました。そのため、どのWindows Defender Engine /クライアントバージョンが導入されたかはわかりません。 Win32 / HostsFileHijack
テレメトリブロックの正確な検出。
最近のWindowsDefenderの定義(7月3週以降に発行)は、HOSTSファイル内のこれらの「改ざんされた」エントリを望ましくないと見なし、「望ましくない可能性のある動作」をユーザーに警告します。脅威レベルは「重大」と示されます。
以下のようなMicrosoftドメイン(例:microsoft.com)を含むHOSTSファイルエントリは、アラートをトリガーします。
0.0.0.0 www.microsoft.com(または)127.0.0.1 www.microsoft.com
Windows Defenderは、ユーザーに次の3つのオプションを提供します。
- 削除する
- 検疫
- デバイスで許可します。
選択 削除する HOSTSファイルをWindowsのデフォルト設定にリセットし、カスタムエントリがある場合は完全に消去します。
では、Microsoftのテレメトリサーバーをブロックするにはどうすればよいですか?
Windows Defenderチームが上記の検出ロジックを続行したい場合は、WindowsDefenderからアラートを受信せずにテレメトリをブロックする3つのオプションがあります。
オプション1:HOSTSファイルをWindowsDefenderの除外に追加する
WindowsDefenderに無視するように指示できます ホスト
除外に追加してファイルします。
- Windows Defenderのセキュリティ設定を開き、[ウイルスと脅威の保護]をクリックします。
- [ウイルスと脅威の保護設定]で、[設定の管理]をクリックします。
- 下にスクロールして、[除外の追加または削除]をクリックします
- [除外を追加]をクリックし、[ファイル]をクリックします。
- ファイルを選択します
C: Windows System32 drivers etc HOSTS
そしてそれを追加します。
注意: 除外リストにHOSTSを追加すると、マルウェアが将来HOSTSファイルを改ざんした場合、Windows Defenderは静止し、HOSTSファイルについて何もしません。 Windows Defenderの除外は、慎重に使用する必要があります。
オプション2:WindowsDefenderによるPUA / PUPスキャンを無効にする
PUA / PUP(望ましくない可能性のあるアプリケーション/プログラム)は、アドウェアを含む、ツールバーをインストールする、または動機が不明確なプログラムです。の中に バージョン Windows 10 2004より前のバージョンでは、WindowsDefenderはデフォルトでPUAまたはPUPをスキャンしませんでした。 PUA / PUP検出はオプトイン機能でした PowerShellまたはレジストリエディターを使用して有効にする必要がありました。
ザ・ Win32 / HostsFileHijack
Windows Defenderによって発生する脅威は、PUA / PUPカテゴリに分類されます。つまり、 PUA / PUPスキャンを無効にする オプション、あなたはバイパスすることができます Win32 / HostsFileHijack
HOSTSファイルにテレメトリエントリがあるにもかかわらず、ファイルの警告。
注意: PUA / PUPを無効にすることの欠点は、Windows Defenderが、誤ってダウンロードしたアドウェアにバンドルされたセットアップ/インストーラーに対して何も実行しないことです。
ヒント: あなたが持つことができます Malwarebytes Premium (リアルタイムスキャンを含む)WindowsDefenderと一緒に実行されます。そうすれば、MalwarebytesはPUA / PUPのものを処理できます。
オプション3:Pi-holeやpfSenseファイアウォールなどのカスタムDNSサーバーを使用する
技術に精通したユーザーは、Pi-Hole DNSサーバーシステムをセットアップし、アドウェアとMicrosoftテレメトリドメインをブロックできます。 DNSレベルのブロッキングには、通常、個別のハードウェア(Raspberry Piや低コストのコンピューターなど)またはOpenDNSファミリーフィルターなどのサードパーティサービスが必要です。 OpenDNSファミリーフィルターアカウントは、アドウェアをフィルターし、カスタムドメインをブロックするための無料のオプションを提供します。
あるいは、pfSenseのようなハードウェアファイアウォール(およびpfBlockerNGパッケージ)はこれを簡単に実現できます。 DNSまたはファイアウォールレベルでサーバーをフィルタリングすることは非常に効果的です。 pfSenseファイアウォールを使用してテレメトリサーバーをブロックする方法を説明するリンクを次に示します。
PFSenseでのMicrosoftトラフィックのブロック| Adobo構文:https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/pfsenseを使用してWindows10テレメトリでブロックする方法| Netgateフォーラム:https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows 10の追跡をブロックする:http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10テレメトリはVPN接続をバイパスしています:VPN: コメント 議論から ディスカッションからのTzunamiiのコメント「Windows10テレメトリはVPN接続をバイパスしています」 。 Windows 10Enterpriseバージョン2004の接続エンドポイント-Windowsプライバシー| Microsoftドキュメント:https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
編集者注: システムでテレメトリまたはMicrosoftUpdateサーバーをブロックしたことはありません。プライバシーが非常に心配な場合は、上記の回避策のいずれかを使用して、WindowsDefenderアラートを受信せずにテレメトリサーバーをブロックできます。
1つの小さなリクエスト:この投稿が気に入ったら、共有してください。
あなたからの1つの「小さな」共有はこのブログの成長に真剣に大いに役立つでしょう。いくつかの素晴らしい提案:- ピンする!
- お気に入りのブログ+ Facebook、Redditに共有してください
- ツイートしてください!