Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10 / forpes.ru

Главная
Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10

Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10 +47

05.08.2020 12:21

denis-19 102 21800 Источник

Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если там прописаны блокировки для серверов телеметрии ОС.

Антивирусная программа Microsoft Defender и ранее классифицировала подобный инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины, например, там появлялись строки в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности системы.

В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.

Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:

После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:

(www).microsoft.com;
microsoft.com;
telemetry.microsoft.com;
wns.notify.windows.com.akadns.net;
v10-win.vortex.data.microsoft.com.akadns.net;
us.vortex-win.data.microsoft.com;
us-v10.events.data.microsoft.com;
urs.microsoft.com.nsatc.net;
watson.telemetry.microsoft.com;
watson.ppe.telemetry.microsoft.com;
vsgallery.com;
watson.live.com;
watson.microsoft.com;
telemetry.remoteapp.windowsazure.com;
telemetry.urs.microsoft.com.

Файл hosts находится в директории C:\Windows\system32\driver\etc\. Чтобы его изменить, например, резолвить имена хостов в IP-адреса в обход Domain Name System (DNS) или для блокировки конкретных веб-сайтов путем «направления» их на 127.0.0.1 или 0.0.0.0, пользователь должен вносить изменения в этот файл с правами администратора. Аналогичные изменения файла hosts могут делаться с помощью вредоносного ПО, например, чтобы перенаправлять пользователя на поддельные веб-сайты.

Комментарии (102)

anonymous
05.08.2020 15:47
#21925882
+7
Будем на роутере блокировать.
1. artemlight
  05.08.2020 16:06
  #21925956
  +3
  Не очень понятно как именно.
  Да и блокировка телеметрии через вырезание зоны microsoft.com — это из пушки по воробьям. Слишком дохрена всего полезного отваливается.
  Все эти дестрой-виндвс-спаи — это ерунда. Нужен системный хук, который запрещает инициировать tcp-соединения определенным сервисам. Чтобы браузер мог ходить на микрософт.ком, а сервис телеметрии — нет.
  1. BobbieZi
    05.08.2020 16:24
    #21926016
    Не очень понятно как именно.
    
    google:// Pi-hole
    
    bopoh13
    05.08.2020 16:55
    #21926128
    Ещё в семёрке при блокировке ответа с некоторых адресов (могу даже неполный список поискать) отключалось сетевое подключение. Как обстоят дела в десятке?
    
    Iv38
    05.08.2020 17:25
    #21926218
    Не уверен, что мы говорим об одном и том же, но соединение не отключается, а помечается как "без доступа в интернет". А дальше некоторые программы действительно могут перестать работать, это зависит от того, как именно они получают доступ к сети.
    
    1dNDN
    05.08.2020 21:45
    #21927076
    могу даже неполный список поискать
    Его даже изменять можно.
  1. kma21
    05.08.2020 16:29
    #21926026
    ну если на роутере, то может для телеметрии используются порты какие-то особенные. и можно лочить подключение к конкретному сайту по конкретному порту.
    
    если на компе непосредственно, то вероятно софтварные файерволлы могут запретить конкретным приложениям доступ в интернет (весело будет, если кто-то сделает это через стандартный Windows файерволл)
  1. Massacre
    05.08.2020 16:30
    #21926032
    Фаервол приложений (типа Comodo) так и работает, вот только кто знает, что там решат ещё сделать, пустить телеметрию и прочее в обход фаерволов через ядро?
    
    artemlight
    05.08.2020 16:35
    #21926050
    Я ставил комод — так вот он был слишком тяжелый, да и на серверные окна не вставал.
    Нужна крохотная безгуёвая тулза на С.
    Сейчас сдам проект и займусь, если время будет…
    
    Massacre
    05.08.2020 16:36
    #21926056
    Там просто надо было без антивируса ставить — и всё было бы гораздо легче. Удачи в написании :)
    
    Главное, реализовать ключевые фичи — отдельные разрешения на уровне приложений и мониторинг соединения этих приложений (список коннектов приложений в реальном времени).
    
    А без GUI это будет не очень… Ни предупреждения о соединении в реальном времени, ни мониторинга.
    
    artemlight
    05.08.2020 16:40
    #21926072
    Дефендер неплохо работает, кстати.
    Проактивка у него никакая, конечно, но от массового заражения бинарниками по почте оно спасает.
    
    AH89
    05.08.2020 17:34
    #21926236
    Оно конечно верно. Большинство заражений компьютеров пользователей происходит на уровне кликов файлов из почты, отправителями которых являются знакомые незнакомцы, либо кликов по ссылкам в браузере на малознакомых сайтах, что нередко приводит к срабатыванию зловредных джава-скриптов. Но и последнее легко предотвратить если начать пользоваться блокираторами джава-скриптов типа ScriptSafe, ScriptBlock, ну и конечно фильтрацией малварных DNS-доменов на уровене рутера или опять таки браузерных расширений типа Adguard.
    
    dartraiden
    06.08.2020 03:02
    #21927680
    срабатыванию зловредных джава-скриптов
    
    JS-скрипты за пределы браузера не выберутся, современные браузеры давно имеют песочницы. Для пробития песочницы требуются эксплоиты. Если ПО своевременно обновляется, то шанс, что вас пробьют каким-нибудь 0-деем, плещутся в районе нуля (если атака не таргетированная, но это уже совсем отдельный разговор).
    
    vladimir_yatselenko
    05.08.2020 20:09
    #21926732
    Самая большая беда что он очень грузит периодами процессор и его никак не отключить.
    
    BoreaAlex
    06.08.2020 06:52
    #21927814
    Через политики очень даже отключается, правда, с каждым новым выпуском все замороченнее. Года два назад вовсе склепал .reg файлик, чтобы в два клика отключать навсегда, но с 1909 перестал работать.
    
    RaphZak
    05.08.2020 16:40
    #21926078
    А TinyWall не подойдет? Не совсем без гуя, но маленькая.
    
    artemlight
    05.08.2020 16:57
    #21926132
    хм, выглядит отлично.
    
    TitovVN1974
    06.08.2020 08:38
    #21927988
    опыт использования TinyWall — хороший
    {Не программист, только вычислитель}
    
    Irgen
    06.08.2020 00:00
    #21927436
    Есть хоть и старый, ныне заброшенный, но тем не менее вполне рабочий Privatefirewall. Лёгкий, с гуем, немного неудобный в настройке, но тем не менее вполне хорош
    
    manmaxun
    06.08.2020 06:52
    #21927816
    Тогда сразу с постом на хабре, чтобы можно было себе прихватить тоже.
    
    JTG
    06.08.2020 19:52
    #21930506
    github.com/henrypp/simplewall (обёртка над виндовым файрволом)
    
    bvvbvv
    06.08.2020 09:56
    #21928214
    У Comodo IS заметил проблему. Службы MS даже при наличии запрета соединений на определенный IP адрес умудряются вести с этим адресом обмен.
  1. zzzzzzzzzzzz
    05.08.2020 19:14
    #21926562
    Есть софтина Windows Firewall Control, как раз это делает. Можно блокировать все приложения, кроме белого списка. Только иногда забываешь про неё и долго разбираешься, почему же какая-то программа не может к серверу подсоединиться.
    
    Насчёт же файла hosts тоже проблема не особо велика — у меня дефендер его описанным образом испортил, но я добавил штатными средствами исключение, и всё ок. Единственно, он испортил молча (видимо, уведомление всплыло и уплыло), поэтому проблема тоже не сразу нашлась.
    
    dartraiden
    06.08.2020 03:05
    #21927684
    Весь смех в том, что Windows Firewall Control это просто GUI к штатному брандмауэру.
    
    zzzzzzzzzzzz
    07.08.2020 12:21
    #21932746
    А почему «смех»? Штатным брандмауэром вручную задолбаешься правила создавать, а с WFC это становится более-менее удобным и, как следствие, применимым в реальной жизни.
    
    А вот радоваться внесению в исключения дефендера я поторопился. Вчера он «забыл» об этом и опять «исправил» файл. Внёс ещё раз, посмотрим, что будет дальше.
  1. crackedmind
    06.08.2020 03:09
    #21927688
    github.com/jthuraisamy/TelemetrySourcerer
1. AH89
  05.08.2020 17:42
  #21926258
  На рутере обычно по IP блокируют, а блокировку по доменному имени не всякий рутер из стареньких моделек ещё и поддерживает. Домены ведь, как известно, иногда переезжают, меняя свой IP. Так что и список заблокированных IP в рутере придётся время от времени тогда обновлять тоже. С хост-файлом в Виндах в принципе ничего страшного, если просто дать в явном виде Разрешение на изменение. Зловредам через хост-файл едва ли интерес кого-то блокировать, даже если шутки ради это будет Майкрософт или Гугл.
  1. ShadowTheAge
    05.08.2020 17:59
    #21926336
    Зловреды через hosts отправляют на фишинговые страницы. Или на рекламо-помойку. С набором популярности https это стало сделать сложнее, но сказать что файл зловредам неинтересен нельзя
    
    willyd
    05.08.2020 23:40
    #21927392
    Если хватит привилегий заменить hosts, то и свой сертификат можно добавить.
  1. DaemonGloom
    05.08.2020 18:38
    #21926464
    Блокировку по доменному имени поддерживает даже антиквариат, если за разрешением имён по dns компьютер обращается именно к роутеру.
    Если же нет — то это уже гораздо сложнее, да. Впрочем, Микротик позволяет фильтровать по доменам (и сам обновляет их адреса).
    
    AH89
    05.08.2020 18:46
    #21926484
    Включите тогда на рутере какую-нибудь пре-фильтрацию через Яндекс.DNS, либо установите Adguard, в котором тоже можно активировать DNS фильтрацию вместе со списком малварных DNS. И будет счастье.
1. a1ex322
  05.08.2020 18:01
  #21926346
  подскажите, что там такого ценного передается? Из беглого гугления сложилось впечатление, что только версии ПО, но это я бы и сам расшарил, так как это первое что требуется, когда заводишь баг в любом трекере
  1. dartraiden
    06.08.2020 03:07
    #21927686
    Всё, что передаётся, вы можете посмотреть в настройках системы.
    
    По моему опыту пользователи делятся на две категории:
    — которые туда даже не заглядывали
    — которые заглядывали, но не могут сказать, что именно из перечисленного там они бы не хотели отправлять
    
    Я неоднократно наблюдал в чатике @winsiders попытки выведать у противников телеметрии конкретику по этому вопросу. Все (!) сливались, отделываясь общими фразами.
    
    lanseg
    06.08.2020 09:25
    #21928106
    А не имеет значения, просто не хотят и всё — этого должно быть достаточно, чтобы дать возможность отключать сбор данных.
    К тому же, на системе это не отразится.
    
    sumanai
    06.08.2020 10:16
    #21928298
    Всё, что передаётся, вы можете посмотреть в настройках системы.
    
    Для хранения требуется около 1ГБ на жёстком диске
    
    Спасибо, не нужно.

artemlight
05.08.2020 15:59
#21925920
+1
Под десятку пора уже писать опенсорсный персональный файрвол с поддержкой бампинга ссл для системных служб (ключи всё равно есть в памяти), чтобы закрыть проблему раз и навсегда.
Собрать бы под это дело на кикстартере хотя бы тысяч 20 — можно было бы какое-то значимое время этому уделить.
1. staticmain
  05.08.2020 16:01
  #21925930
  +2
  И майкрософт тут же дружно засудит тех, кто это сделает, потому что «пользователь обязуется не нарушать работу системы, бла-бла-бла».
  1. artemlight
    05.08.2020 16:02
    #21925938
    так для этого даже кернелмод не нужен, давно windows filtering platform есть.
    
    staticmain
    05.08.2020 16:12
    #21925980
    Не нужен. Но отключение или блокировка телеметрии = вмешательство в работу системы, поскольку телеметрия часть системы.
    
    BobbieZi
    05.08.2020 16:29
    #21926030
    Это как автомобиль и видеорегистратор в нём с отправкой информации ~~товарищу майору~~ агенту правительства
    часть системы? формально — да.
    Но без неё автомобиль прекрасно обходится.
    
    artemlight
    05.08.2020 16:37
    #21926062
    +1
    Не нужно нести дичь.
    Вы вольны делать с вашим виндовсом что угодно, до тех пор, пока это не нарушает действующее законодательство. Реально можно словить штраф только за нарушение еулы в части лицензирования ПО, претензии по всем остальным вопросам можно смело игнорировать (да и не слышал я ни разу о таких историях.).
    
    sumanai
    06.08.2020 10:17
    #21928304
    Как будто ядро не может пустить трафик мимо всех фильтров, «для вашей же безопасности».
  1. Jogger
    05.08.2020 21:04
    #21926924
    Пользователь соглашается, что винда собирает телеметрию. Такое есть в соглашении. А то что пользователь обязуется обеспечивать возможность сбора телеметрии — этого нет. Поэтому пусть сами, как хотят, в рамках закона, обеспечивают возможность. Я им такой возможности не обязан предоставлять — и не буду.

uhf
05.08.2020 16:13
#21925982
+1
Скоро они юзера будут помечать, как зловредного

arrakisfremen
05.08.2020 16:25
#21926018
-1
"Вы либо крестик снимите, либо трусы наденьте".

Либо не используйте проприетарную ОС, поставляемую по модели SaaS, либо не удивляйтесь, что попытка закрыть ей доступ к серверам хозяина, приводит к ругательствам с её стороны.
1. Massacre
  05.08.2020 16:35
  #21926052
  Оно пока ещё не SaaS. Т.е. можно купить и использовать автономно. Сливаемая на сторону информация — это уже другой вопрос…
  1. nikolayv81
    06.08.2020 21:24
    #21930742
    Формально можно но работать если вы не примете соглашение — не будет. А после подписания соглашения вы в какой-то момент получаете рекламу (пока вредко и в виде рекомендаций и, вроде, отключается… это очень радует особенно в про версии) и по факту таки выходит saas.
1. SINOD
  05.08.2020 17:36
  #21926240
  +1
  Стоп! Система бесплатная, как линупс или денег стоит? Если бесплатная — это один вопрос. Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению. И, да, плюя на копирастические законы. Ведь копирасты считают, что копирование — это воровство. Ну вот я честно купил, значит оно моё — могу делать, что хочу. А то бабки платишь, а оно не твоё, тебе попользоваться дали.
  1. bazil
    05.08.2020 17:56
    #21926324
    +1
    Ваше желание сделать "купленный товар" своей собственностью может расходится с тем, за что вы заплатили деньги Майкрософту и что Майкрософт сделал за ваши деньги. Возможно это не покупка товара, а покупка услуги.
    
    SINOD
    05.08.2020 20:14
    #21926752
    Я купил не хлеб в магазине, а услугу. Ведь копирасты именно на это упирают — уравнивание 0 и 1 с реальными материальными предметами. Называют копирование воровством. Ну тогда го до конца — винда — это продукт. Если честно купленный, то имеет все свойства материальной буханки хлеба, грубо говоря.
    
    MacIn
    06.08.2020 02:06
    #21927648
    Называют копирование воровством
    
    Здесь нет противоречия. Покупая винду, вы покупаете не товар, о право пользования на определенных условиях. Причем одним из условий является 1 платеж-1пользователь (условно, простите за каламбур). Так же как в кино — купив билет, вы покупаете право единоразового просмотра, а не фильм. И скопировать билет — получить услугу дважды за ту же цену. Представьте, что вы пришли в парикмахерскую, расплатились, а из-за некоего мошенничества с вашей стороны постригли вас и вашего приятеля — двоих, но за те же деньги.
    
    vinny496
    
    А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?
    
    Это стандартизированная ошибка Windows:
    
    // // MessageId: ERROR_VIRUS_INFECTED // // MessageText: // // Operation did not complete successfully because the file contains a virus or potentially unwanted software. // #define ERROR_VIRUS_INFECTED 225L
  1. deepform
    05.08.2020 18:50
    #21926492
    Еще скажите, что вы вольны распоряжаться купленными вами играми в том же steam.
    sarcasm
    
    anonymous
    05.08.2020 18:58
    #21926512
    del — вот почему редактировать можно, а удалить — нельзя?
    
    Massacre
    05.08.2020 22:43
    #21927272
    Зато вольны в GOG (скачал — и она твоя).
    
    daggert
    06.08.2020 00:14
    #21927468
    Конечно-же нет. Лицензия в ГОГе ничем не отличается от стима, прочитайте пользовательское соглашение. Никто вам не передает права на игру, вы точно так-же покупаете право на ее использование.
    
    Massacre
    06.08.2020 09:19
    #21928092
    Там есть разница. В случае стима у вас как бы подписка (с прекращением ваших отношений со стимом вы теряете всё «купленное»). А в ГОГ вы покупаете копию для личного использования (которая потом может работать вне зависимости от существования ГОГ).
    
    daggert
    06.08.2020 12:44
    #21928860
    Вы привязываетесь конкретно к носителю, в данном случае это не важно. Да, у вас есть DRM-free копия дистрибутива и безвременная лицензия, но нет, игра не стала принадлежать вам, вы не можете ее передавать и продавать. У вас есть право устанавливать ее у себя, возможно модифицировать и играть, но не более.
    
    Kriminalist
    06.08.2020 17:57
    #21930166
    А что вы называете игрой? Исходный код конечно не мой, но лицензия-то моя, ее я и могу продать или передать, в чем проблема?
    
    daggert
    06.08.2020 21:08
    #21930702
    Покажите пожалуйста лицензию на приобретенную игру в ГОГе где вам даны права на ее перепродажу или передачу?
    Пока я вижу только эти пункты, где я позволил себе выделить основное в нашей беседе:
    
    2.1. Мы предоставляем вам и другим пользователям GOG личное право (юридически оно называется «лицензия») на использование услуг GOG.COM, на загрузку, доступ и/или на стриминг (в зависимости от ситуации) материалов GOG и других Услуг GOG. Эта лицензия предназначена исключительно для вашего личного пользования. Мы можем приостановить действие этой лицензии или отменить её в некоторых случаях, которые разъяснены ниже.
    
    2.2. Когда вы покупаете, получаете доступ или устанавливаете игры GOG, вам иногда придется соглашаться с дополнительными условиями разработчиков или издателей игры (например, они могут попросить вас согласиться с лицензионным соглашением для конечного пользователя конкретной игры). Если между такими лицензионными соглашениями и нашим Соглашением наблюдаются противоречия, то важнее оказывается наше Соглашение.
    
    3.3 Ваша учетная запись GOG и контент GOG предназначены только для вас и не могут быть разделены, проданы, подарены или переданы третьим лицам. Ваш доступ к ним и возможность их использования обусловлены правилами GOG, которые приведены здесь, по необходимости в правила вносятся дополнения и поправки.
    
    Kriminalist
    07.08.2020 10:07
    #21932158
    Ну так ниже по ветке этот вопрос уже обсуждался, вопрос юрисдикции.
    habr.com/ru/news/t/513934/#comment_21928980
    Все эти ограничения передачи противоречат природным правам, и адекватный суд это признает.
    
    daggert
    07.08.2020 12:04
    #21932662
    Это все домыслы на основе случаев связанных с софтом с ДРМ. В случае со стимом все просто, есть ДРМ и ключ активации, подтверждающий факт продажи, однако с DRM-free, где нет возможности удостоверится что игра была передана, а не скопирована — покажите мне прецеденты с ГОГом? Пока что EULA сайта GOG.com говорит об обратном, хотя они в ЕС.
  1. anonymous
    05.08.2020 18:58
    #21926516
    Ха! Уже давно нет.
  1. DrPass
    05.08.2020 19:03
    #21926528
    Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.
    
    Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав? Если первое, то там вообще широчайший простор возможностей. Многие из нас могут и не покупать, и при этом делать «что хочу», и не испытывать ни малейших угрызений совести. Если с позиции ваших законных прав, то нет, не вольны распоряжаться, т.к. у вас там договорчик есть, EULA называется. Вот на что по договору вы согласились за свои деньги, вот только то и можете.
    
    Fenzales
    06.08.2020 00:43
    #21927514
    +1
    Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав?
    Пока эти штуки вообще находятся в полусерой зоне в плане законов. Несколько лет назад, например, суд ЕС признал право на владение экземпляром купленного софта; а верховный суд США принял обратное решение.
    
    EULA
    Есть мнение, что EULA зачастую не соответствуют законам стран, в которых впариваются, и единственная причина, что их не оспаривают — это тупо слишком дорого. В итоге единственным реальным вариантом остаётся коллективный иск, что достаточно сложно организовать.
    
    Murmand
    06.08.2020 08:38
    #21927982
    EULA — пишется исходя из законов страны в которой зарегистрирован разработчик, но это не самое главное, главнее лицензионный договор который регулирует права и обязанности поставщика/покупателя и вот в этом договоре как правило указывается то, что покупатель имеет право использовать софт но не имеет прав его изменять/перепродавать.
    Вообще благодаря юристам мы ничем не владеем, мы только получаем право использовать некий скомпилированный код и зачастую право использовать этот код стоит овер 9000 американских денег
  1. Tangeman
    05.08.2020 19:06
    #21926544
    Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.
    В случае софта вы не покупаете товар, вы покупаете право его использования, на ограниченное (или нет) время. И точно также как в случае с арендой чего-либо (материального) — вы не вольны делать с ним что угодно, а только то о чём договорились с арендодателем.
    
    С другой стороны, будучи законным пользователем, вы не ограничены в своём праве делать с этим самым софтом всё что угодно, как минимум до тех пор ваши действия не наносят вред кому-то кроме вас самих (и не направлены на это), в том числе отключать телеметрию, при этом совершенно неважно что прописано в лицензионном соглашении на эту тему.
    
    Murmand
    06.08.2020 08:44
    #21928012
    Готов с вами поспорить, далеко не каждый производитель софта при продаже вам права его использовать дает вам право делать с этим софтом все, что угодно, вам ведь Майкрософт при покупке лицензии винды не дает ее исходники со словами: — на Tangeman, развлекайся!
    
    Tangeman
    06.08.2020 13:10
    #21928980
    Во-первых, если закон мне это позволяет — то EULA идёт лесом, что бы там не было написано, ибо закон имеет приоритет. Т.е. к примеру в Евросоюзе я могу делать реверс-инжиниринг софта для того чтобы он работал с тем что мне нужно или так как мне нужно (на моём устройстве) — и никакой EULA это мне не запретит, пусть там хоть смертная казнь за это предусмотрена. Да, я не могу публиковать результаты — но для себя — могу делать что угодно.
    
    Во-вторых, если (не)выполнение чего-то прописанного в EULA невозможно проверить или обнаружить, то EULA снова идёт лесом. К примеру, вы можете прописать там мою обязанность танцевать с бубном перед каждым запуском программы (формально имеете право), но вот как вы это проконтролируете? С телеметрией всё проще — представьте что я плачу за траффик, 1 доллар за 1 байт, поэтому режу всё что мне не нужно, и заставить меня платить за траффик генерируемой телеметрией вы не можете, а любой пункт типа "вы обязаны обеспечить постоянное подключение к сети и передачу данных телеметрии, а не то штраф" будет недействительным практически во всех адекватных странах.
    
    Так что с одной стороны да, покупка лицензии не даёт права делать что угодно, но с другой стороны не наделяет владельца прав на софт абсолютным правом (и способами) требовать выполнения от меня чего угодно — либо в силу противоречия законодательству, или в силу невозможности проконтролировать и заставить.
    
    drWhy
    06.08.2020 15:05
    #21929424
    Ещё в Германии разрешили перепродавать ПО несмотря на явный запрет в EULA.
    
    vis_inet
    06.08.2020 20:05
    #21930544
    Весьма прогрессивный шаг.

dartraiden
05.08.2020 16:39
#21926066
+1
Вангую, что сбор телеметрии тут не главное. Оно реагирует на наличие доменов Microsoft в файле. Это излюбленный трюк всякой вирусни. Кто их туда поместил, вирусня или пользователь, и с какой целью, Microsoft знать не может.

Проще говоря, там, очень вероятно, тупо вписано правило «если в hosts есть *.microsoft.com», то". Разумеется, это сработает и на и на telemetry.microsoft.com, и на habr.microsoft.com.

Ну и, конечно, заблокировать доступ к microsoft.com это всё равно что в ногу себе выстрелить.
1. hellamps
  05.08.2020 17:15
  #21926190
  Именно. Вероятно вирусня подставляет туда свои нужные адреса, чтобы зараженные апдейты ставить в дальнейшем, даже если этого вируса вычистят.
  
  Все-таки блокировка с помощью hosts это такой костыль
  1. dartraiden
    05.08.2020 20:35
    #21926808
    Обновления имеют цифровую подпись, так что это не вариант.
    
    FreeNickname
    05.08.2020 21:48
    #21927084
    Система уже заражена вирусом, а вирус может располагать 0-day уязвимостями, которые, теоретически, могут компрометировать проверку подписи, например. Ну это так, умозрительно.
    
    hellamps
    06.08.2020 04:54
    #21927742
    Кто мешал вирусу еще и сертификат подкинуть в root ca? Заодно чтоб и всякие пароли потырить...
    
    sumanai
    06.08.2020 10:20
    #21928310
    Это не работает, сертификаты для подписи системных файлов прошиты глубоко где-то в файлах.
1. v1000
  05.08.2020 23:33
  #21927384
  Я еще понимаю, если реагирует на 127.0.0.1 — можно локально веб сервер поднять чтобы всякую ерунду подсовывать. Но 0.0.0.0 каким боком может помешать?
  А все от того, что кто-то очень заботится о своей телеметрии.
  И упорно не хочет дать возможность ее отключить.
  И пользователям приходится извращаться.
  1. dartraiden
    06.08.2020 02:34
    #21927664
    +1
    Оно реагирует на домен, не на IP. Причины я описал — вместо 0.0.0.0 там может быть адрес сервера, контролируемого злоумышленником. На IP Защитник не смотрит при проверке. Вы можете вписать туда хоть IP-адреса Microsoft, всё равно это будет расценено, как угроза.
    
    Лет 10 назад был мощный вой «Microsoft начала бороться с нелегальным активатором Windows 7», распространяемый пользователями, не владеющими матчастью. На самом же деле, Microsoft синхронно пропатчила уязвимости в ядре и окружении. И те рукожопы, у которых стояли чудовищные активаторы а-ля «копируем ядро в другой файл, патчим и прописываем это кастомное ядро в загрузчик» (мне даже писать такое больно, это даже не костыль, это втыкание себе кривого ржавого протеза вместо отпиленной ноги) резко обломались, потому что новое окружение со старым ядром бсодилось. Претензий к Microsoft не могло быть никаких, потому что официально такие выкрутасы не поддерживаются и никто, естественно, не тестирует обновления на совместимость с этим ужасом. Но вместо того, чтобы разбираться, гораздо проще оказалось распространять выдумки о том, что это было сделано именно ради борьбы с «пиратами».
    
    С телеметрией вышло аналогично. Такой способ её контроля не поддерживается, поэтому Защитник обнаруживает в hosts «microsoft.com» и бьёт тревогу, полагая, что это проделки вирусни. Если бы такой способ контроля телеметрии поддерживался официально, то добавили бы проверку на IP-адрес (если там 0.0.0.0 microsoft.com или 127.0.0.1 microsoft.com, то это, вероятно, дело рук пользователя, а если что-то иное, то злоумышленника).
    
    Пользователю никто не обещает, что используемые им недокументированные и неподдерживаемые практики будут работать всегда. Впрочем, у пользователя остаётся масса других способов ~~выстрелить себе в ногу~~, например, заблокировать те же самые IP-адреса через брандмауэр, либо прописав маршруты вникуда, либо воспользовавшись файерволлом на маршрутизаторе, и т.д.
    
    v1000
    06.08.2020 06:58
    #21927824
    Пираты они такие — их хлебом не корми, дай ядрами пожонглировать. В этом плане я немного удивляюсь майкрософту-они иногда любители «позакручивать гайки», а иногда словно живут в стране розовых пони-умудряются выпустить патч для ХР, который проверяет пиратскую активацию, но легко блокируется штатной командой не устанавливать конкретный патч. А по поводу реакции антивируса на хост файл — как всегда забыли сделать one more thing и сделать проверку на адрес, куда их сайт перенаправляется. Или опять живут в стране розовых пони, и не знают (или знают, но игнорируют) что пользователи так блокируют ненавистную им телеметрию. А затем вдруг узнают, и винда начнет БСОДиться, если ее адреса будут блокирваться на роутере.

bugdesigner
05.08.2020 18:15
#21926402
+1
Попытка блокировать потенциально нежелательное поведение (слежку) — признана «потенциально нежелательным поведением». Иронично.
1. Firz
  06.08.2020 11:38
  #21928620
  «Все в мире относительно». С позиции microsoft, слежка — желательное поведение, блокировка — нежелательное. С позиции юзера, слежка — нежелательное поведение, блокировка — желательное.

sterr
05.08.2020 19:15
#21926570
Это произошло только при последнем обновлении. Ну и ничего страшного — «Разрешить» и все.
Вангую, что в следующем обновлении файл host для телеметрии учитываться не будет.

LeRR62

05.08.2020 20:13

#21926748

на 6 машинах стоит W7
файл host… стоит пустой ибо всё там удалил.
четыре года уже так.

arrakisfremen

05.08.2020 22:38

#21927258

И… к чему ты это? Он же по умолчанию пустой.

LeRR62

06.08.2020 21:06

#21930690

в статье он пустой? см выше.

arrakisfremen

07.08.2020 00:32

#21931274

На какой именно скриншот смотреть или куда? У меня он выглядит вот так (т.е. одни комментарии):

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

wmgeek
05.08.2020 21:02
#21926914
Спасибо за «официальный» перечень адресов для блокировки телеметрии от Майкрософт.
1. AH89
  05.08.2020 22:32
  #21927242
  Некоторые программы типа Spybot Search and Destroy так вообще себе имя на рынке сделали только благодаря тому, что активно «иммунизировали» файл hosts, пихая в него всё что не попадя… И что теперь если Майкрософт изменила политику пользователи должны перестать пользоваться Spybot Search and Destroy?
1. dartraiden
  06.08.2020 02:58
  #21927676
  Официальный перечень уже года три как официально публикуется.
  
  docs.microsoft.com/windows/privacy/manage-windows-2004-endpoints
  1. drWhy
    06.08.2020 10:03
    #21928248
    Компонент: «Кортана и живые плитки», Destination: «www.bing.com», Используемый протокол: «TLSv1.2»
    
    Компонент: «Автоматическое обновление корневых сертификатов», Destination: «ctldl.windowsupdate.com», Используемый протокол: «HTTP»
    
    Чудесно.
1. ifap
  09.08.2020 22:38
  #21940344
  Да он давно уже официально объявлен так-то docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

vinny496
05.08.2020 21:14
#21926960
А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?

arrakisfremen
05.08.2020 22:40
#21927262
-1
Раз такая пьянка пошла, позволю себе у вас поинтересоваться. Утечки какой именно информации с вашей машины вы боитесь? Мне просто любопытно.
1. Dr_Faksov
  06.08.2020 00:25
  #21927480
  Тут дело принципа. Либо кто-то смотрит мне через плечо, либо нет.
  1. arrakisfremen
    06.08.2020 20:03
    #21930536
    Если это дело принципа, то, как по мне, давно можно и нужно было перейти на свободные ос.
    Но ежели человек продолжает пользоваться виндой, то всё же любопытно, что конкретно он хочет уберечь от майкрософта.
    Мне в голову приходят только реквизиты банковских карт, которые с тем же успехом может у меня увести не майкрософт, но гугль, потому что я ввожу их в браузере и работаю с банковскими приложениями на андроиде. Но гугль этого делать не будет, потому что ему его репутация дороже, чем мои копейки.
    Так же, вряд ли какая-то из крупных корпораций захочет у меня украсть домашнюю эротику или стим аккаунт. А если и украдут, то чёрт с ними.
1. tzlom
  06.08.2020 01:22
  #21927576
  Может у меня оплата интернета по трафику, и я не хочу оплачивать причуды которые мне не нужны.
  1. nsmcan
    06.08.2020 03:44
    #21927708
    Объявите сетевое соединение тарифицируемым (metered) — телеметрия отправляться не будет. Правда, много чего другого полезного происходить автоматически тоже не будет.
    
    Есть много вариантов отключить телеметрию. Зачем корячить hosts?
1. v1000
  06.08.2020 07:03
  #21927828
  а еще вроде бы винда по ощущениям быстрее работает без телеметрии, возможно потому, что на это шуршание в системе может реагировать сторонний антивирус и фаервол. да и вообще, это какой-то аналог денуво в системе, который пользователю пользы не несет, но ресурсы системы на себя оттягивает.
1. sumanai
  06.08.2020 10:23
  #21928330
  Любой. Не хочу, чтобы кто-то знал, какими программами я пользуюсь. А то ещё объявят террористом за то, что у меня TOR стоит.

Neusser
06.08.2020 08:24
#21927946
Не только системный файл, но и, похоже, любой другой hosts (или как минимум которые находятся в системных папках). Я на выходных прогнал дефендер в полном режиме, и он выдал такую же угрозу («SettingsModifier:Win32/HostsFileHijack») на hosts в папке ПрограмФайлс/Гит, положив его в карантин. Открыть файл, чтобы посмотреть что там такого, я не смог (видимо из-за карантина доступ был закрыт), разбираться в чем дело было неохота. Теперь понятно в чем причина.

anonymous

06.08.2020 10:02

#21928238

Добавляем в конфиг dnsmasq'а на роутере

address=/www.microsoft.com/127.127.127.127
address=/microsoft.com/127.127.127.127
address=/telemetry.microsoft.com/127.127.127.127
address=/wns.notify.windows.com.akadns.net/127.127.127.127
address=/v10-win.vortex.data.microsoft.com.akadns.net/127.127.127.127
address=/us.vortex-win.data.microsoft.com/127.127.127.127
address=/us-v10.events.data.microsoft.com/127.127.127.127
address=/urs.microsoft.com.nsatc.net/127.127.127.127
address=/watson.telemetry.microsoft.com/127.127.127.127
address=/watson.ppe.telemetry.microsoft.com/127.127.127.127
address=/vsgallery.com/127.127.127.127
address=/watson.live.com/127.127.127.127
address=/watson.microsoft.com/127.127.127.127
address=/telemetry.remoteapp.windowsazure.com/127.127.127.127
address=/telemetry.urs.microsoft.com/127.127.127.127

рестартим dnsmasq и наслаждаемся жизнью
При чем если дома больше одного виндового компа это и проще, чем на каждом менять hosts все равно.

sumanai
06.08.2020 10:24
#21928336
Как хорошо, что я вырубил дефендер (и любой другой антивирус). На ядре NT резидентные антивирусы не нужны, не пользуюсь ими со времён XP.