원격 분석이 차단 된 경우 Windows Defender 'HostsFileHijack'경고가 표시됨-Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline

지난주 7 월부터 Windows Defender는 Win32 / HostsFileHijack HOSTS 파일을 사용하여 Microsoft의 Telemetry 서버를 차단 한 경우 '잠재적으로 원치 않는 동작'경고가 표시됩니다.

호스트 방어

밖으로 SettingsModifier : Win32 / HostsFileHijack 온라인으로보고 된 사례 중 가장 빠른 사례는 Microsoft Answers 포럼 사용자가 언급 한 곳 :



심각한 '잠재적으로 원치 않는'메시지를 받았습니다. 현재 Windows 10 2004 (1904.388)와 Defender 만 영구적 인 보호 기능을 가지고 있습니다.
호스트에서 아무것도 변경되지 않았기 때문에 어떻게 평가할 수 있습니까? 아니면 이것은 오 탐지 메시지입니까? AdwCleaner 또는 Malwarebytes 또는 SUPERAntiSpyware를 사용한 두 번째 검사에서는 감염이 없음을 보여줍니다.



Telemetry가 차단 된 경우 'HostsFileHijack'경고

검사 후 호스트 사용자가 Microsoft Telemetry 서버를 HOSTS 파일에 추가하고 0.0.0.0 ( 'null-routing'이라고 함)으로 라우팅하여 해당 주소를 차단 한 것으로 나타났습니다. 다음은 해당 사용자가 널 라우팅 한 원격 분석 주소 목록입니다.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 최신. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

그리고 전문가 Rob Koch는 다음과 같이 대답했습니다.

Microsoft.com 및 기타 평판이 좋은 웹 사이트를 블랙홀로 라우팅하지 않기 때문에 Microsoft는이를 잠재적으로 원치 않는 활동으로 간주하므로 물론 호스트와 관련된 PUA (악의적 일 필요는 없지만 바람직하지 않은) 활동으로 감지합니다. 파일 도용.



하고 싶은 일이라고 결정했다는 것은 기본적으로 관련이 없습니다.

첫 번째 게시물에서 명확하게 설명했듯이 PUA 검색을 수행하기위한 변경 사항은 Windows 10 버전 2004 릴리스에서 기본적으로 활성화되었으므로 갑작스러운 문제의 전체 이유입니다. 개발자 Microsoft가 의도 한 방식으로 Windows를 운영하는 것을 선호하지 않는다는 점을 제외하면 잘못된 것은 없습니다.

그러나 이러한 지원되지 않는 수정 사항을 Hosts 파일에 유지하는 것이 바람직하기 때문에 해당 사이트에서 지원하도록 설계된 많은 Windows 기능이 분명히 중단된다는 사실에도 불구하고 PUA 탐지 부분을 되 돌리는 것이 좋습니다. Windows Defender는 이전 버전의 Windows에서와 같이 비활성화되었습니다.

그것은 귄터 본 이 문제에 대해 먼저 블로그에 올린 사람. 그의 우수한 게시물을 확인하십시오. Defender는 Windows Hosts 파일을 악성으로 플래그 지정 이 주제에 대한 그의 후속 게시물. Günter는 Windows Defender / CCleaner PUP 탐지에 대해 처음으로 작성했습니다.

Günter는 자신의 블로그에서 2020 년 7 월 28 일 이후로 이런 일이 발생했다고 언급했습니다. 그러나 위에서 논의한 Microsoft Answers 게시물은 2020 년 7 월 23 일에 작성되었습니다. 따라서 어떤 Windows Defender 엔진 / 클라이언트 버전이 Win32 / HostsFileHijack 원격 측정 블록 감지.

최근 Windows Defender 정의 (7 월 3 주 이후 발행)는 HOSTS 파일의 '변조 된'항목을 바람직하지 않은 것으로 간주하고 사용자에게 '잠재적으로 원치 않는 동작'을 경고합니다. 위협 수준은 '심각'으로 표시됩니다.

아래와 같이 Microsoft 도메인 (예 : microsoft.com)이 포함 된 HOSTS 파일 항목은 경고를 트리거합니다.

0.0.0.0 www.microsoft.com (또는) 127.0.0.1 www.microsoft.com

그러면 Windows Defender는 사용자에게 세 가지 옵션을 제공합니다.

  • 없애다
  • 건강 격리
  • 기기에서 허용합니다.

호스트 방어

선택 없애다 HOSTS 파일을 Windows 기본 설정으로 재설정하여 사용자 지정 항목이있는 경우 완전히 지 웁니다.

호스트 방어

그렇다면 Microsoft의 원격 분석 서버를 어떻게 차단합니까?

Windows Defender 팀이 위의 검색 논리를 계속 사용하려는 경우 Windows Defender에서 경고를받지 않고 원격 분석을 차단하는 세 가지 옵션이 있습니다.

옵션 1 : Windows Defender 제외에 HOSTS 파일 추가

Windows Defender에 다음을 무시하도록 지시 할 수 있습니다. 호스트 제외에 추가하여 파일.

  1. Windows Defender 보안 설정을 열고 바이러스 및 위협 보호를 클릭합니다.
  2. 바이러스 및 위협 방지 설정에서 설정 관리를 클릭합니다.
  3. 아래로 스크롤하여 제외 추가 또는 제거를 클릭합니다.
  4. 제외 추가를 클릭하고 파일을 클릭합니다.
  5. 파일 선택 C : Windows System32 drivers etc HOSTS 추가하십시오.
    호스트 방어

노트 : 제외 목록에 HOSTS를 추가하면 향후 맬웨어가 HOSTS 파일을 조작 할 경우 Windows Defender가 가만히 있고 HOSTS 파일에 대해 아무 작업도 수행하지 않습니다. Windows Defender 제외는 신중하게 사용해야합니다.

옵션 2 : Windows Defender에서 PUA / PUP 검색 비활성화

PUA / PUP (잠재적으로 원하지 않는 응용 프로그램 / 프로그램)는 애드웨어를 포함하거나 도구 모음을 설치하거나 동기가 명확하지 않은 프로그램입니다. 에서 버전 Windows 10 2004 이전 버전에서는 Windows Defender가 기본적으로 PUA 또는 PUP를 검색하지 않았습니다. PUA / PUP 감지는 옵트 인 기능이었습니다. PowerShell 또는 레지스트리 편집기를 사용하여 활성화해야합니다.

손 포인트 아이콘그만큼 Win32 / HostsFileHijack Windows Defender에 의해 제기 된 위협은 PUA / PUP 범주에 속합니다. 즉, PUA / PUP 스캔 비활성화 옵션, 당신은 우회 할 수 있습니다 Win32 / HostsFileHijack HOSTS 파일에 원격 분석 항목이 있어도 파일 경고가 발생합니다.

수비수 pua 블록 창 10

노트 : PUA / PUP 비활성화의 단점은 Windows Defender가 실수로 다운로드 한 애드웨어 번들 설치 / 설치 프로그램에 대해 아무 작업도 수행하지 않는다는 것입니다.

팁 전구 아이콘 팁: 당신은 가질 수 있습니다 Malwarebytes 프리미엄 (실시간 검사 포함) Windows Defender와 함께 실행됩니다. 이런 식으로 Malwarebytes는 PUA / PUP 항목을 처리 할 수 ​​있습니다.

옵션 3 : Pi-hole 또는 pfSense 방화벽과 같은 사용자 지정 DNS 서버 사용

기술에 정통한 사용자는 Pi-Hole DNS 서버 시스템을 설정하고 애드웨어 및 Microsoft 원격 측정 도메인을 차단할 수 있습니다. DNS 수준 차단에는 일반적으로 별도의 하드웨어 (예 : Raspberry Pi 또는 저렴한 컴퓨터) 또는 OpenDNS 제품군 필터와 같은 타사 서비스가 필요합니다. OpenDNS 제품군 필터 계정은 애드웨어를 필터링하고 사용자 지정 도메인을 차단하는 무료 옵션을 제공합니다.

또는 pfSense (pfBlockerNG 패키지와 함께)와 같은 하드웨어 방화벽이이를 쉽게 수행 할 수 있습니다. DNS 또는 방화벽 수준에서 서버를 필터링하는 것은 매우 효과적입니다. 다음은 pfSense 방화벽을 사용하여 원격 분석 서버를 차단하는 방법을 알려주는 링크입니다.

PFSense에서 Microsoft 트래픽 차단 | Adobo 구문 : https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ pfsense를 사용하여 Windows10 원격 분석에서 차단하는 방법 | Netgate 포럼 : https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows 10이 당신을 추적하지 못하도록 차단 : http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry가 VPN 연결을 우회합니다 : VPN : 논평 토론에서 'Windows 10 Telemetry가 VPN 연결을 우회하고 있습니다'토론에서 Tzunamii의 의견 . Windows 10 Enterprise, 버전 2004의 연결 끝점-Windows 개인 정보 | Microsoft 문서 : https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

편집자 주 : 내 시스템에서 원격 분석 또는 Microsoft Update 서버를 차단 한 적이 없습니다. 개인 정보에 대해 매우 우려되는 경우 위의 해결 방법 중 하나를 사용하여 Windows Defender 경고를받지 않고 원격 분석 서버를 차단할 수 있습니다.


작은 요청 하나 :이 게시물이 마음에 드 셨다면 공유해주세요.

여러분의 '작은'공유는이 블로그의 성장에 많은 도움이 될 것입니다. 몇 가지 훌륭한 제안 :
  • 그것을 핀!
  • 좋아하는 블로그 + Facebook, Reddit에 공유
  • 트윗하세요!
독자 여러분의 지원에 감사드립니다. 10 초 이상 걸리지 않습니다. 공유 버튼은 바로 아래에 있습니다. :)