منذ يوليو من الأسبوع الماضي ، بدأ إصدار Windows Defender Win32 / HostsFileHijack تنبيهات 'السلوك غير المرغوب فيه' إذا كنت قد حظرت خوادم القياس عن بُعد من Microsoft باستخدام ملف HOSTS.
خارج ال SettingsModifier: Win32 / HostsFileHijack تم الإبلاغ عن الحالات عبر الإنترنت ، تم الإبلاغ عن أقرب حالة في منتديات إجابات مايكروسوفت حيث ذكر المستخدم:
أتلقى رسالة جدية 'يحتمل أن تكون غير مرغوب فيها'. لدي Windows 10 2004 الحالي (1904.388) و Defender فقط كحماية دائمة.
كيف يتم تقييم ذلك ، حيث لم يتغير شيء عند مضيفي ، أعرف ذلك. أم أن هذه رسالة إيجابية خاطئة؟ يُظهر الفحص الثاني باستخدام AdwCleaner أو Malwarebytes أو SUPERAntiSpyware عدم وجود إصابة.
تنبيه 'HostsFileHijack' إذا تم حظر التتبع عن بعد
بعد فحص مستضيف من هذا النظام ، فقد لوحظ أن المستخدم قد أضاف خوادم Microsoft Telemetry إلى ملف HOSTS وقام بتوجيهه إلى 0.0.0.0 (المعروف باسم 'التوجيه الفارغ') لحظر هذه العناوين. فيما يلي قائمة بعناوين القياس عن بُعد التي تم توجيهها بدون توجيه بواسطة هذا المستخدم.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 حديث. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
ورد الخبير روب كوخ قائلاً:
نظرًا لأنك تقوم بتوجيه Microsoft.com ومواقع الويب الأخرى ذات السمعة الطيبة إلى ثقب أسود ، فمن الواضح أن Microsoft سترى هذا على أنه نشاط غير مرغوب فيه ، لذلك بالطبع يكتشفون ذلك على أنه نشاط PUA (ليس بالضرورة ضارًا ، ولكنه غير مرغوب فيه) ، يتعلق بالمضيفين ملف الاختطاف.
إن كنت قد قررت أنه شيء ترغب في القيام به هو أمر غير ذي صلة في الأساس.
كما أوضحت بوضوح في مشاركتي الأولى ، تم تمكين التغيير لأداء اكتشافات PUA افتراضيًا مع إصدار Windows 10 الإصدار 2004 ، وهذا هو السبب الكامل لمشكلتك المفاجئة. لا يوجد شيء خاطئ إلا أنك لا تفضل تشغيل Windows بالطريقة التي قصدها المطور Microsoft.
ومع ذلك ، نظرًا لأن رغبتك هي الاحتفاظ بهذه التعديلات غير المدعومة في ملف Hosts ، على الرغم من حقيقة أنها ستؤدي بوضوح إلى كسر العديد من وظائف Windows المصممة لهذه المواقع لدعمها ، فمن المحتمل أن يكون من الأفضل لك التراجع عن جزء اكتشاف PUA من تم تعطيل Windows Defender كما كان في الإصدارات السابقة من Windows.
كانت ولد جونتر من قام بالتدوين حول هذه المشكلة أولاً. تحقق من منصبه الممتاز يضع Defender علامة على ملف Windows Hosts على أنه ملف ضار ومنصبه اللاحق حول هذا الموضوع. كان Günter أيضًا أول من كتب عن اكتشاف Windows Defender / CCleaner PUP.
في مدونته ، لاحظ جونتر أن هذا يحدث منذ 28 يوليو 2020. ومع ذلك ، تم إنشاء منشور إجابات Microsoft الذي تمت مناقشته أعلاه في 23 يوليو 2020 ، على الرغم من ذلك. لذلك ، لا نعرف إصدار Windows Defender Engine / العميل الذي قدم ملف Win32 / HostsFileHijack الكشف عن كتلة القياس عن بعد بالضبط.
تعتبر تعريفات Windows Defender الأخيرة (الصادرة من الأسبوع الثالث من يوليو فصاعدًا) تلك الإدخالات 'التي تم التلاعب بها' في ملف HOSTS غير مرغوب فيها وتحذر المستخدم من 'السلوك غير المرغوب فيه المحتمل' - مع الإشارة إلى مستوى التهديد على أنه 'خطير'.
أي إدخال ملف HOSTS يحتوي على مجال Microsoft (على سبيل المثال ، microsoft.com) مثل ذلك أدناه ، سيؤدي إلى تنبيه:
0.0.0.0 www.microsoft.com (أو) 127.0.0.1 www.microsoft.com
سيوفر Windows Defender بعد ذلك ثلاثة خيارات للمستخدم:
- إزالة
- الحجر الصحي
- السماح على الجهاز.
اختيار إزالة إعادة تعيين ملف HOSTS إلى إعدادات Windows الافتراضية ، وبالتالي مسح إدخالاتك المخصصة تمامًا إن وجدت.
لذا ، كيف يمكنني حظر خوادم القياس عن بُعد من Microsoft؟
إذا أراد فريق Windows Defender الاستمرار في منطق الكشف أعلاه ، فلديك ثلاثة خيارات لحظر التتبع عن بُعد دون الحصول على تنبيهات من Windows Defender.
الخيار 1: إضافة ملف HOSTS إلى استثناءات Windows Defender
يمكنك إخبار Windows Defender بتجاهل ملف مستضيف ملف بإضافته إلى الاستثناءات.
- افتح إعدادات أمان Windows Defender ، وانقر فوق الحماية من الفيروسات والمخاطر.
- ضمن إعدادات الحماية من الفيروسات والمخاطر ، انقر فوق إدارة الإعدادات.
- قم بالتمرير لأسفل وانقر فوق إضافة أو إزالة الاستبعادات
- انقر فوق إضافة استثناء ، وانقر فوق ملف.
- حدد الملف
C: Windows System32 السائقين الخ HOSTSوقم بإضافته.
ملحوظة: تعني إضافة HOSTS إلى قائمة الاستثناءات أنه إذا عبث برنامج ضار بملف HOSTS في المستقبل ، فسيظل Windows Defender ثابتًا ولن يفعل شيئًا بشأن ملف HOSTS. يجب استخدام استثناءات Windows Defender بحذر.
الخيار 2: تعطيل فحص PUA / PUP بواسطة Windows Defender
PUA / PUP (تطبيق / برنامج غير مرغوب فيه) هو برنامج يحتوي على برامج إعلانية أو يثبت أشرطة أدوات أو لديه دوافع غير واضحة. في ال الإصدارات قبل Windows 10 2004 ، لم يكن Windows Defender يفحص PUA أو PUPs افتراضيًا. كان اكتشاف PUA / PUP ميزة اختيار التي يلزم تمكينها باستخدام PowerShell أو محرر التسجيل.
ال Win32 / HostsFileHijack يأتي التهديد الذي يثيره Windows Defender ضمن فئة PUA / PUP. هذا يعني ، من خلال تعطيل فحص PUA / PUP الخيار ، يمكنك تجاوز Win32 / HostsFileHijack ملف تحذير على الرغم من وجود إدخالات القياس عن بعد في ملف HOSTS.
ملحوظة: يتمثل الجانب السلبي لتعطيل PUA / PUP في أن Windows Defender لن يفعل شيئًا حيال الإعداد / المثبتات المجمعة من البرامج الإعلانية التي تقوم بتنزيلها دون قصد.
تلميح: بإمكانك أن تأخذ برنامج Malwarebytes Premium (والذي يتضمن الفحص في الوقت الحقيقي) يعمل جنبًا إلى جنب مع Windows Defender. بهذه الطريقة ، يمكن أن تعتني Malwarebytes بأشياء PUA / PUP.
الخيار 3: استخدم خادم DNS مخصصًا مثل Pi-hole أو pfSense firewall
يمكن للمستخدمين المتمرسين في مجال التكنولوجيا إعداد نظام خادم Pi-Hole DNS وحظر برامج الإعلانات ومجالات القياس عن بُعد من Microsoft. عادةً ما يتطلب الحظر على مستوى DNS أجهزة منفصلة (مثل Raspberry Pi أو كمبيوتر منخفض التكلفة) أو خدمة جهة خارجية مثل مرشح عائلة OpenDNS. يوفر حساب مرشح عائلة OpenDNS خيارًا مجانيًا لتصفية البرامج الإعلانية وحظر المجالات المخصصة.
بالتناوب ، يمكن لجدار حماية للأجهزة مثل pfSense (جنبًا إلى جنب مع حزمة pfBlockerNG) تحقيق ذلك بسهولة. تعد تصفية الخوادم على مستوى DNS أو جدار الحماية فعالة للغاية. فيما يلي بعض الروابط التي تخبرك بكيفية حظر خوادم القياس عن بُعد باستخدام جدار الحماية pfSense:
حظر مرور Microsoft في PFSense | Adobo Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ كيفية الحظر في القياس عن بعد Windows10 باستخدام pfsense | منتدى Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense منع Windows 10 من تعقبك: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 يتجاوز القياس عن بُعد اتصال VPN: VPN: تعليق من المناقشة تعليق Tzunamii من المناقشة 'Windows 10 Telemetry يتجاوز اتصال VPN' . نقاط نهاية الاتصال لـ Windows 10 Enterprise ، الإصدار 2004 - خصوصية Windows | مُحرر مستندات Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
ملحوظة المحرر: لم أقم مطلقًا بحظر التتبع عن بُعد أو خوادم Microsoft Update في أنظمتي. إذا كنت مهتمًا جدًا بالخصوصية ، فيمكنك استخدام أحد الحلول المذكورة أعلاه لحظر خوادم التتبع عن بُعد دون الحصول على تنبيهات Windows Defender.
طلب واحد صغير: إذا أعجبك هذا المنشور ، فيرجى مشاركة هذا؟
مشاركة واحدة 'صغيرة' منك ستساعد كثيرًا في نمو هذه المدونة. بعض الاقتراحات الرائعة:- يعلق!
- شاركه على مدونتك المفضلة + Facebook ، Reddit
- غردها!