Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10
Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если там прописаны блокировки для серверов телеметрии ОС.
Антивирусная программа Microsoft Defender и ранее классифицировала подобный инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины, например, там появлялись строки в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности системы.
В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.
Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:
После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
Куда и для чего передает данные Windows 10? Конечные точки подключения системы
В 2015 году мы опубликовали статью Конфиденциальность в Windows 10, чтобы подчеркнуть основные проблемы конфиденциальности системы, в частности невозможность отключить сбор телеметрических данных через пользовательский интерфейс.
Из-за проблем с конфиденциальностью Windows 10 Microsoft подверглась жесткой критике со стороны государственных учреждений в различных странах, в частности во Франции и в Нидерландах. С выходом Windows 10 сразу стало появляться множество инструментов защиты приватности, например O&O ShutUp10 и Blackbird, которые обещают ограничить Microsoft доступ к персональным данным.
У пользователей и системных администраторов Windows всегда остается возможность заблокировать конечные точки, чтобы соединения для передачи данных даже не устанавливались. Данный метод требует расширенного тестирования, потому что при блокировке соединения может нарушиться критически важная функциональность.
Если вы блокируете конечные точки службы обновления Windows, тогда не удивляйтесь, что система перестанет автоматически обновляться.
Стандартные системы Windows 10 выполняют огромное число подключения в автоматическом режиме для различных нужд. Windows 10 постоянно проверяет обновления, проверяет файлы в рамках сканирований Защитника Windows или передает телеметрические данные на сервера Microsoft.
В то время, как некоторые подключения требуются для нормальной работы системы, другие соединения можно спокойно отключить без существенного влияния на функциональность. Особенно это актуально, если какая-либо функция не используется в системе.
Microsoft опубликовала контрольный список конечных точек подключения Windows 10. Список конечных точек для потребительских версий доступен для Windows 10 версий 1709 и 1803, а список для Windows 10 Корпоративная доступен для версии 1709.
Конечные точки подключения для выпусков Windows 10 версии 1803
Ниже приведен список конечных точек подключения Windows 10 версии 1803 для выпусков, отличных от Windows 10 Корпоративная:
#PiHole – ✅ Enable self.events.data.microsoft.com if you use Office �� (and you probably are!)
New house is in progress and that also means bring back PiHole running in a Raspberry Pi. If you don’t know PiHole, this may help:
Pi-hole or Pihole is a Linux network-level advertisement and Internet tracker blocking application which acts as a DNS sinkhole and optionally a DHCP server, intended for use on a private network. It is designed for low-power embedded devices with network capability, such as the Raspberry Pi, but supports any Linux machines.
PiHole
I turned this on yesterday and after a few hours of use, I got more than 40% of blocked queries in my network.
And one of the domains was going up fast in the top 3: self.events.data.microsoft.com
The domain is in one of the blocked url lists, however it seems to be crucial to work with office. The official documentation shares more details about this endpoint:
The following endpoints are used to connect to the Microsoft 365 admin center’s shared infrastructure, including Office in a browser. For more info, see Office 365 URLs and IP address ranges. You can turn this off by removing all Microsoft Office apps and the Mail and Calendar apps. If you turn off traffic for these endpoints, users won’t be able to save documents to the cloud or see their recently used documents.
Similar behavior affects to the 2nd and 3rd endpoint, so I decided to enable them in PiHole. I’ll keep an eye on them, and let’s see how my home network works !
More posts in my blog ElBruno.com.
¿Con ganas de ponerte al día?
En Lemoncode te ofrecemos formación online impartida por profesionales que se baten el cobre en consultoría:
Веб-сайты к которым подключается Windows 10 после чистой установки
Начиная с самых первых выпусков Windows 10, Microsoft часто подвергалась критике со стороны огромного числа пользователей, и даже со стороны правительственных учреждений в некоторых странах, таких как Нидерланды, за интенсивный сбор данных с помощью встроенных служб диагностики и телеметрии. В ответ Microsoft опубликовала список конечных точек, к которым Windows 10 подключается после чистой установки.
Список конечных точек для недавно выпущенной Windows 10 версии 1809.
Имея этот список в своих руках, опытные пользователи и администраторы могут заблокировать их, настроив сеть так, чтобы соединения с этими адресами не были установлены. Этот метод может иметь и отрицательный эффект, так как он может нарушить некоторые онлайн-функции ОС. Помимо серверов телеметрии, Windows 10 подключается к большому количеству сайтов различного назначения, включая OneDrive, службы Outlook, Microsoft Store, Windows Update и т. Д.
Microsoft опубликовала сведения о том, к каким адресам в сети Windows 10 1809 подключается после чистой установки. Это огромный список.