Peringatan 'HostsFileHijack' Windows Defender muncul jika Telemetri diblokir - Winhelponline

Sejak Juli pekan lalu, Windows Defender mulai mengeluarkan Win32 / HostsFileHijack Peringatan 'perilaku yang mungkin tidak diinginkan' jika Anda telah memblokir server Telemetri Microsoft menggunakan file HOSTS.

Diluar SettingsModifier: Win32 / HostsFileHijack kasus dilaporkan online, yang paling awal dilaporkan di Forum Jawaban Microsoft dimana pengguna menyatakan:

Saya mendapatkan pesan serius yang “mungkin tidak diinginkan”. Saya memiliki Windows 10 2004 (1904.388) saat ini dan hanya Defender sebagai perlindungan permanen.
Bagaimana cara mengevaluasi, karena tidak ada yang berubah di tuan rumah saya, saya tahu itu. Atau apakah ini pesan positif palsu? Pemeriksaan kedua dengan AdwCleaner atau Malwarebytes atau SUPERAntiSpyware tidak menunjukkan adanya infeksi.

Peringatan “HostsFileHijack” jika Telemetri diblokir

Setelah memeriksa HOSTS file dari sistem itu, diamati bahwa pengguna telah menambahkan server Microsoft Telemetry ke file HOSTS dan mengarahkannya ke 0.0.0.0 (dikenal sebagai 'null-routing') untuk memblokir alamat tersebut. Berikut adalah daftar alamat telemetri yang dirutekan null oleh pengguna tersebut.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostik.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 pengaturan- sandbox.data.microsoft.com 0.0.0.0 pengaturan-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Dan pakar Rob Koch menanggapi dengan mengatakan:

Karena Anda tidak merutekan Microsoft.com dan situs web terkemuka lainnya ke dalam lubang hitam, Microsoft jelas akan melihat ini sebagai aktivitas yang mungkin tidak diinginkan, jadi tentu saja mereka mendeteksi ini sebagai aktivitas PUA (tidak harus berbahaya, tetapi tidak diinginkan), terkait dengan Host File Hijack.

Bahwa Anda telah memutuskan bahwa sesuatu yang ingin Anda lakukan pada dasarnya tidak relevan.

Seperti yang saya jelaskan dengan jelas di posting pertama saya, perubahan untuk melakukan deteksi PUA diaktifkan secara default dengan rilis Windows 10 Versi 2004, jadi itulah seluruh alasan untuk masalah mendadak Anda. Tidak ada yang salah kecuali Anda tidak memilih untuk mengoperasikan Windows dengan cara yang diinginkan oleh pengembang Microsoft.

Namun, karena keinginan Anda adalah untuk mempertahankan modifikasi yang tidak didukung ini di file Host, meskipun faktanya mereka jelas akan merusak banyak fungsi Windows yang dirancang untuk didukung oleh situs tersebut, Anda mungkin lebih baik mengembalikan bagian deteksi PUA dari Windows Defender untuk dinonaktifkan seperti dulu di versi Windows sebelumnya.

Dulu Günter Born yang membuat blog tentang masalah ini terlebih dahulu. Lihat postingannya yang luar biasa Pembela menandai file Windows Host sebagai berbahaya dan posting selanjutnya tentang topik ini. Günter juga orang pertama yang menulis tentang deteksi PUP Windows Defender / CCleaner.

Dalam blognya, Günter mencatat hal ini telah terjadi sejak 28 Juli 2020. Namun, postingan Microsoft Answers yang dibahas di atas, dibuat pada 23 Juli 2020. Jadi, kami tidak tahu versi Windows Defender Engine / klien mana yang memperkenalkan Win32 / HostsFileHijack deteksi blok telemetri dengan tepat.

Definisi Windows Defender baru-baru ini (dikeluarkan dari minggu 3 Juli dan seterusnya) menganggap entri yang 'dirusak' dalam file HOSTS sebagai tidak diinginkan dan memperingatkan pengguna tentang 'perilaku yang mungkin tidak diinginkan' - dengan tingkat ancaman yang dilambangkan sebagai 'parah'.

Entri file HOSTS apa pun yang berisi domain Microsoft (misalnya microsoft.com) seperti di bawah ini, akan memicu peringatan:

0.0.0.0 www.microsoft.com (atau) 127.0.0.1 www.microsoft.com

Windows Defender kemudian akan memberikan tiga opsi kepada pengguna:

• Menghapus
• Karantina
• Izinkan di perangkat.

Memilih Menghapus akan mengatur ulang file HOSTS ke pengaturan default Windows, sehingga sepenuhnya menghapus entri kustom Anda jika ada.

Jadi, bagaimana cara memblokir server telemetri Microsoft?

Jika tim Windows Defender ingin melanjutkan dengan logika deteksi di atas, Anda memiliki tiga opsi untuk memblokir telemetri tanpa mendapatkan peringatan dari Windows Defender.

Opsi 1: Tambahkan file HOSTS ke pengecualian Windows Defender

Anda dapat memberi tahu Windows Defender untuk mengabaikan file HOSTS file dengan menambahkannya ke pengecualian.

1. Buka pengaturan Keamanan Windows Defender, klik Perlindungan virus & ancaman.
2. Di bawah pengaturan Virus & perlindungan ancaman, klik Kelola pengaturan.
3. Gulir ke bawah dan klik Tambahkan atau hapus pengecualian
4. Klik Tambahkan pengecualian, dan klik File.
5. Pilih file C: Windows System32 drivers etc HOSTS dan tambahkan.
   

catatan: Menambahkan HOSTS ke daftar pengecualian berarti bahwa jika malware merusak file HOSTS Anda di masa mendatang, Windows Defender akan diam dan tidak melakukan apa-apa terhadap file HOSTS. Pengecualian Windows Defender harus digunakan dengan hati-hati.

Opsi 2: Nonaktifkan pemindaian PUA / PUP oleh Windows Defender

PUA / PUP (aplikasi / program yang mungkin tidak diinginkan) adalah program yang berisi adware, menginstal toolbar, atau memiliki motif yang tidak jelas. Dalam versi lebih awal dari Windows 10 2004, Windows Defender tidak memindai PUA atau PUP secara default. Deteksi PUA / PUP adalah fitur keikutsertaan yang perlu diaktifkan menggunakan PowerShell atau Editor Registri.

Itu Win32 / HostsFileHijack Ancaman yang ditimbulkan oleh Windows Defender berada di bawah kategori PUA / PUP. Artinya, dengan menonaktifkan pemindaian PUA / PUP opsi, Anda dapat melewati Win32 / HostsFileHijack peringatan file meskipun memiliki entri telemetri dalam file HOSTS.

catatan: Kelemahan dari menonaktifkan PUA / PUP adalah bahwa Windows Defender tidak akan melakukan apa pun tentang penyiapan / pemasang yang dibundel adware yang Anda unduh secara tidak sengaja.

Tip: Kamu bisa memiliki Malwarebytes Premium (yang mencakup pemindaian waktu nyata) yang berjalan bersama Windows Defender. Dengan begitu, Malwarebytes dapat menangani hal-hal PUA / PUP.

Opsi 3: Gunakan server DNS khusus seperti Pi-hole atau firewall pfSense

Pengguna yang paham teknologi dapat mengatur sistem server DNS Pi-Hole dan memblokir adware dan domain telemetri Microsoft. Pemblokiran tingkat DNS biasanya memerlukan perangkat keras terpisah (seperti Raspberry Pi atau komputer berbiaya rendah) atau layanan pihak ketiga seperti filter keluarga OpenDNS. Akun filter keluarga OpenDNS menyediakan opsi gratis untuk memfilter adware dan memblokir domain kustom.

Bergantian, firewall perangkat keras seperti pfSense (bersama dengan paket pfBlockerNG) dapat melakukannya dengan mudah. Memfilter server di tingkat DNS atau firewall sangat efektif. Berikut adalah beberapa tautan yang memberi tahu Anda cara memblokir server telemetri menggunakan firewall pfSense:

Memblokir Lalu Lintas Microsoft di PFSense | Adobo Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cara memblokir Telemetri Windows10 dengan pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokir Windows 10 Dari Melacak Anda: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry melewati koneksi VPN: VPN: Komentar dari diskusi Komentar Tzunamii dari diskusi 'Telemetri Windows 10 melewati koneksi VPN' . Titik akhir koneksi untuk Windows 10 Enterprise, versi 2004 - Privasi Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Catatan Editor: Saya tidak pernah memblokir telemetri atau server Pembaruan Microsoft di sistem saya. Jika Anda sangat mengkhawatirkan privasi, Anda dapat menggunakan salah satu solusi di atas untuk memblokir server telemetri tanpa mendapatkan peringatan Windows Defender.

Satu permintaan kecil: Jika Anda menyukai posting ini, tolong bagikan ini?

• Sematkan!
• Bagikan ke blog favorit Anda + Facebook, Reddit
• Tweet itu!