Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10

[Xeldos]

Будем на роутере блокировать.

[artemlight]

Не очень понятно как именно.
Да и блокировка телеметрии через вырезание зоны microsoft.com — это из пушки по воробьям. Слишком дохрена всего полезного отваливается.
Все эти дестрой-виндвс-спаи — это ерунда. Нужен системный хук, который запрещает инициировать tcp-соединения определенным сервисам. Чтобы браузер мог ходить на микрософт.ком, а сервис телеметрии — нет.

[BobbieZi]

Не очень понятно как именно.

google:// Pi-hole

[honor8]

Ещё в семёрке при блокировке ответа с некоторых адресов (могу даже неполный список поискать) отключалось сетевое подключение. Как обстоят дела в десятке?

[Iv38]

Не уверен, что мы говорим об одном и том же, но соединение не отключается, а помечается как "без доступа в интернет". А дальше некоторые программы действительно могут перестать работать, это зависит от того, как именно они получают доступ к сети.

[1dNDN]

могу даже неполный список поискать

Его даже изменять можно.

[kma21]

ну если на роутере, то может для телеметрии используются порты какие-то особенные. и можно лочить подключение к конкретному сайту по конкретному порту.

если на компе непосредственно, то вероятно софтварные файерволлы могут запретить конкретным приложениям доступ в интернет (весело будет, если кто-то сделает это через стандартный Windows файерволл)

[Massacre]

Фаервол приложений (типа Comodo) так и работает, вот только кто знает, что там решат ещё сделать, пустить телеметрию и прочее в обход фаерволов через ядро?

[artemlight]

Я ставил комод — так вот он был слишком тяжелый, да и на серверные окна не вставал.
Нужна крохотная безгуёвая тулза на С.
Сейчас сдам проект и займусь, если время будет…

[Massacre]

Там просто надо было без антивируса ставить — и всё было бы гораздо легче. Удачи в написании :)

Главное, реализовать ключевые фичи — отдельные разрешения на уровне приложений и мониторинг соединения этих приложений (список коннектов приложений в реальном времени).

А без GUI это будет не очень… Ни предупреждения о соединении в реальном времени, ни мониторинга.

[artemlight]

Дефендер неплохо работает, кстати.
Проактивка у него никакая, конечно, но от массового заражения бинарниками по почте оно спасает.

[AH89]

Оно конечно верно. Большинство заражений компьютеров пользователей происходит на уровне кликов файлов из почты, отправителями которых являются знакомые незнакомцы, либо кликов по ссылкам в браузере на малознакомых сайтах, что нередко приводит к срабатыванию зловредных джава-скриптов. Но и последнее легко предотвратить если начать пользоваться блокираторами джава-скриптов типа ScriptSafe, ScriptBlock, ну и конечно фильтрацией малварных DNS-доменов на уровене рутера или опять таки браузерных расширений типа Adguard.

[dartraiden]

срабатыванию зловредных джава-скриптов

JS-скрипты за пределы браузера не выберутся, современные браузеры давно имеют песочницы. Для пробития песочницы требуются эксплоиты. Если ПО своевременно обновляется, то шанс, что вас пробьют каким-нибудь 0-деем, плещутся в районе нуля (если атака не таргетированная, но это уже совсем отдельный разговор).

[vladimir_yatselenko]

Самая большая беда что он очень грузит периодами процессор и его никак не отключить.

[BoreaAlex]

Через политики очень даже отключается, правда, с каждым новым выпуском все замороченнее. Года два назад вовсе склепал .reg файлик, чтобы в два клика отключать навсегда, но с 1909 перестал работать.

[RaphZak]

А TinyWall не подойдет? Не совсем без гуя, но маленькая.

[artemlight]

хм, выглядит отлично.

[TitovVN1974]

опыт использования TinyWall — хороший
{Не программист, только вычислитель}

[FluD]

мне больше simplewall нравиться

[Irgen]

Есть хоть и старый, ныне заброшенный, но тем не менее вполне рабочий Privatefirewall. Лёгкий, с гуем, немного неудобный в настройке, но тем не менее вполне хорош

[manmaxun]

Тогда сразу с постом на хабре, чтобы можно было себе прихватить тоже.

[JTG]

github.com/henrypp/simplewall (обёртка над виндовым файрволом)

[bvvbvv]

У Comodo IS заметил проблему. Службы MS даже при наличии запрета соединений на определенный IP адрес умудряются вести с этим адресом обмен.

[zzzzzzzzzzzz]

Есть софтина Windows Firewall Control, как раз это делает. Можно блокировать все приложения, кроме белого списка. Только иногда забываешь про неё и долго разбираешься, почему же какая-то программа не может к серверу подсоединиться.

Насчёт же файла hosts тоже проблема не особо велика — у меня дефендер его описанным образом испортил, но я добавил штатными средствами исключение, и всё ок. Единственно, он испортил молча (видимо, уведомление всплыло и уплыло), поэтому проблема тоже не сразу нашлась.

[dartraiden]

Весь смех в том, что Windows Firewall Control это просто GUI к штатному брандмауэру.

[zzzzzzzzzzzz]

А почему «смех»? Штатным брандмауэром вручную задолбаешься правила создавать, а с WFC это становится более-менее удобным и, как следствие, применимым в реальной жизни.

А вот радоваться внесению в исключения дефендера я поторопился. Вчера он «забыл» об этом и опять «исправил» файл. Внёс ещё раз, посмотрим, что будет дальше.

[crackedmind]

github.com/jthuraisamy/TelemetrySourcerer

[AH89]

На рутере обычно по IP блокируют, а блокировку по доменному имени не всякий рутер из стареньких моделек ещё и поддерживает. Домены ведь, как известно, иногда переезжают, меняя свой IP. Так что и список заблокированных IP в рутере придётся время от времени тогда обновлять тоже. С хост-файлом в Виндах в принципе ничего страшного, если просто дать в явном виде Разрешение на изменение. Зловредам через хост-файл едва ли интерес кого-то блокировать, даже если шутки ради это будет Майкрософт или Гугл.

[ShadowTheAge]

Зловреды через hosts отправляют на фишинговые страницы. Или на рекламо-помойку. С набором популярности https это стало сделать сложнее, но сказать что файл зловредам неинтересен нельзя

[willyd]

Если хватит привилегий заменить hosts, то и свой сертификат можно добавить.

[DaemonGloom]

Блокировку по доменному имени поддерживает даже антиквариат, если за разрешением имён по dns компьютер обращается именно к роутеру.
Если же нет — то это уже гораздо сложнее, да. Впрочем, Микротик позволяет фильтровать по доменам (и сам обновляет их адреса).

[AH89]

Включите тогда на рутере какую-нибудь пре-фильтрацию через Яндекс.DNS, либо установите Adguard, в котором тоже можно активировать DNS фильтрацию вместе со списком малварных DNS. И будет счастье.

[a1ex322]

подскажите, что там такого ценного передается? Из беглого гугления сложилось впечатление, что только версии ПО, но это я бы и сам расшарил, так как это первое что требуется, когда заводишь баг в любом трекере

[dartraiden]

Всё, что передаётся, вы можете посмотреть в настройках системы.

По моему опыту пользователи делятся на две категории:
— которые туда даже не заглядывали
— которые заглядывали, но не могут сказать, что именно из перечисленного там они бы не хотели отправлять

Я неоднократно наблюдал в чатике @winsiders попытки выведать у противников телеметрии конкретику по этому вопросу. Все (!) сливались, отделываясь общими фразами.

[lanseg]

А не имеет значения, просто не хотят и всё — этого должно быть достаточно, чтобы дать возможность отключать сбор данных.
К тому же, на системе это не отразится.

[artemlight]

Под десятку пора уже писать опенсорсный персональный файрвол с поддержкой бампинга ссл для системных служб (ключи всё равно есть в памяти), чтобы закрыть проблему раз и навсегда.
Собрать бы под это дело на кикстартере хотя бы тысяч 20 — можно было бы какое-то значимое время этому уделить.

[artemlight]

так для этого даже кернелмод не нужен, давно windows filtering platform есть.

[BobbieZi]

Это как автомобиль и видеорегистратор в нём с отправкой информации товарищу майору агенту правительства
часть системы? формально — да.
Но без неё автомобиль прекрасно обходится.

[artemlight]

Не нужно нести дичь.
Вы вольны делать с вашим виндовсом что угодно, до тех пор, пока это не нарушает действующее законодательство. Реально можно словить штраф только за нарушение еулы в части лицензирования ПО, претензии по всем остальным вопросам можно смело игнорировать (да и не слышал я ни разу о таких историях.).

[Jogger]

Пользователь соглашается, что винда собирает телеметрию. Такое есть в соглашении. А то что пользователь обязуется обеспечивать возможность сбора телеметрии — этого нет. Поэтому пусть сами, как хотят, в рамках закона, обеспечивают возможность. Я им такой возможности не обязан предоставлять — и не буду.

[uhf]

Скоро они юзера будут помечать, как зловредного

[arrakisfremen]

"Вы либо крестик снимите, либо трусы наденьте".

Либо не используйте проприетарную ОС, поставляемую по модели SaaS, либо не удивляйтесь, что попытка закрыть ей доступ к серверам хозяина, приводит к ругательствам с её стороны.

[Massacre]

Оно пока ещё не SaaS. Т.е. можно купить и использовать автономно. Сливаемая на сторону информация — это уже другой вопрос…

[nikolayv81]

Формально можно но работать если вы не примете соглашение — не будет. А после подписания соглашения вы в какой-то момент получаете рекламу (пока вредко и в виде рекомендаций и, вроде, отключается… это очень радует особенно в про версии) и по факту таки выходит saas.

[SINOD]

Стоп! Система бесплатная, как линупс или денег стоит? Если бесплатная — это один вопрос. Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению. И, да, плюя на копирастические законы. Ведь копирасты считают, что копирование — это воровство. Ну вот я честно купил, значит оно моё — могу делать, что хочу. А то бабки платишь, а оно не твоё, тебе попользоваться дали.

[SINOD]

Я купил не хлеб в магазине, а услугу. Ведь копирасты именно на это упирают — уравнивание 0 и 1 с реальными материальными предметами. Называют копирование воровством. Ну тогда го до конца — винда — это продукт. Если честно купленный, то имеет все свойства материальной буханки хлеба, грубо говоря.

[MacIn]

Называют копирование воровством

Здесь нет противоречия. Покупая винду, вы покупаете не товар, о право пользования на определенных условиях. Причем одним из условий является 1 платеж-1пользователь (условно, простите за каламбур). Так же как в кино — купив билет, вы покупаете право единоразового просмотра, а не фильм. И скопировать билет — получить услугу дважды за ту же цену. Представьте, что вы пришли в парикмахерскую, расплатились, а из-за некоего мошенничества с вашей стороны постригли вас и вашего приятеля — двоих, но за те же деньги.

vinny496

А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?

Это стандартизированная ошибка Windows:

//
// MessageId: ERROR_VIRUS_INFECTED
//
// MessageText:
//
// Operation did not complete successfully because the file contains a virus or potentially unwanted software.
//
#define ERROR_VIRUS_INFECTED             225L

[deepform]

Еще скажите, что вы вольны распоряжаться купленными вами играми в том же steam.
sarcasm

[0xC0CAC01A]

del — вот почему редактировать можно, а удалить — нельзя?

[Massacre]

Зато вольны в GOG (скачал — и она твоя).

[daggert]

Конечно-же нет. Лицензия в ГОГе ничем не отличается от стима, прочитайте пользовательское соглашение. Никто вам не передает права на игру, вы точно так-же покупаете право на ее использование.

[Massacre]

Там есть разница. В случае стима у вас как бы подписка (с прекращением ваших отношений со стимом вы теряете всё «купленное»). А в ГОГ вы покупаете копию для личного использования (которая потом может работать вне зависимости от существования ГОГ).

[daggert]

Вы привязываетесь конкретно к носителю, в данном случае это не важно. Да, у вас есть DRM-free копия дистрибутива и безвременная лицензия, но нет, игра не стала принадлежать вам, вы не можете ее передавать и продавать. У вас есть право устанавливать ее у себя, возможно модифицировать и играть, но не более.

[Kriminalist]

А что вы называете игрой? Исходный код конечно не мой, но лицензия-то моя, ее я и могу продать или передать, в чем проблема?

[daggert]

Покажите пожалуйста лицензию на приобретенную игру в ГОГе где вам даны права на ее перепродажу или передачу?
Пока я вижу только эти пункты, где я позволил себе выделить основное в нашей беседе:

2.1. Мы предоставляем вам и другим пользователям GOG личное право (юридически оно называется «лицензия») на использование услуг GOG.COM, на загрузку, доступ и/или на стриминг (в зависимости от ситуации) материалов GOG и других Услуг GOG. Эта лицензия предназначена исключительно для вашего личного пользования. Мы можем приостановить действие этой лицензии или отменить её в некоторых случаях, которые разъяснены ниже.

2.2. Когда вы покупаете, получаете доступ или устанавливаете игры GOG, вам иногда придется соглашаться с дополнительными условиями разработчиков или издателей игры (например, они могут попросить вас согласиться с лицензионным соглашением для конечного пользователя конкретной игры). Если между такими лицензионными соглашениями и нашим Соглашением наблюдаются противоречия, то важнее оказывается наше Соглашение.

3.3 Ваша учетная запись GOG и контент GOG предназначены только для вас и не могут быть разделены, проданы, подарены или переданы третьим лицам. Ваш доступ к ним и возможность их использования обусловлены правилами GOG, которые приведены здесь, по необходимости в правила вносятся дополнения и поправки.

[Kriminalist]

Ну так ниже по ветке этот вопрос уже обсуждался, вопрос юрисдикции.
habr.com/ru/news/t/513934/#comment_21928980
Все эти ограничения передачи противоречат природным правам, и адекватный суд это признает.

[daggert]

Это все домыслы на основе случаев связанных с софтом с ДРМ. В случае со стимом все просто, есть ДРМ и ключ активации, подтверждающий факт продажи, однако с DRM-free, где нет возможности удостоверится что игра была передана, а не скопирована — покажите мне прецеденты с ГОГом? Пока что EULA сайта GOG.com говорит об обратном, хотя они в ЕС.

[0xC0CAC01A]

Ха! Уже давно нет.

[DrPass]

Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.

Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав? Если первое, то там вообще широчайший простор возможностей. Многие из нас могут и не покупать, и при этом делать «что хочу», и не испытывать ни малейших угрызений совести. Если с позиции ваших законных прав, то нет, не вольны распоряжаться, т.к. у вас там договорчик есть, EULA называется. Вот на что по договору вы согласились за свои деньги, вот только то и можете.

[Fenzales]

Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав?

Пока эти штуки вообще находятся в полусерой зоне в плане законов. Несколько лет назад, например, суд ЕС признал право на владение экземпляром купленного софта; а верховный суд США принял обратное решение.

EULA

Есть мнение, что EULA зачастую не соответствуют законам стран, в которых впариваются, и единственная причина, что их не оспаривают — это тупо слишком дорого. В итоге единственным реальным вариантом остаётся коллективный иск, что достаточно сложно организовать.

[Murmand]

EULA — пишется исходя из законов страны в которой зарегистрирован разработчик, но это не самое главное, главнее лицензионный договор который регулирует права и обязанности поставщика/покупателя и вот в этом договоре как правило указывается то, что покупатель имеет право использовать софт но не имеет прав его изменять/перепродавать.
Вообще благодаря юристам мы ничем не владеем, мы только получаем право использовать некий скомпилированный код и зачастую право использовать этот код стоит овер 9000 американских денег

[Tangeman]

Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.

В случае софта вы не покупаете товар, вы покупаете право его использования, на ограниченное (или нет) время. И точно также как в случае с арендой чего-либо (материального) — вы не вольны делать с ним что угодно, а только то о чём договорились с арендодателем.

С другой стороны, будучи законным пользователем, вы не ограничены в своём праве делать с этим самым софтом всё что угодно, как минимум до тех пор ваши действия не наносят вред кому-то кроме вас самих (и не направлены на это), в том числе отключать телеметрию, при этом совершенно неважно что прописано в лицензионном соглашении на эту тему.

[Murmand]

Готов с вами поспорить, далеко не каждый производитель софта при продаже вам права его использовать дает вам право делать с этим софтом все, что угодно, вам ведь Майкрософт при покупке лицензии винды не дает ее исходники со словами: — на Tangeman, развлекайся!

[Tangeman]

Во-первых, если закон мне это позволяет — то EULA идёт лесом, что бы там не было написано, ибо закон имеет приоритет. Т.е. к примеру в Евросоюзе я могу делать реверс-инжиниринг софта для того чтобы он работал с тем что мне нужно или так как мне нужно (на моём устройстве) — и никакой EULA это мне не запретит, пусть там хоть смертная казнь за это предусмотрена. Да, я не могу публиковать результаты — но для себя — могу делать что угодно.

Во-вторых, если (не)выполнение чего-то прописанного в EULA невозможно проверить или обнаружить, то EULA снова идёт лесом. К примеру, вы можете прописать там мою обязанность танцевать с бубном перед каждым запуском программы (формально имеете право), но вот как вы это проконтролируете? С телеметрией всё проще — представьте что я плачу за траффик, 1 доллар за 1 байт, поэтому режу всё что мне не нужно, и заставить меня платить за траффик генерируемой телеметрией вы не можете, а любой пункт типа "вы обязаны обеспечить постоянное подключение к сети и передачу данных телеметрии, а не то штраф" будет недействительным практически во всех адекватных странах.

Так что с одной стороны да, покупка лицензии не даёт права делать что угодно, но с другой стороны не наделяет владельца прав на софт абсолютным правом (и способами) требовать выполнения от меня чего угодно — либо в силу противоречия законодательству, или в силу невозможности проконтролировать и заставить.

[drWhy]

Ещё в Германии разрешили перепродавать ПО несмотря на явный запрет в EULA.

[vis_inet]

Весьма прогрессивный шаг.

[dartraiden]

Вангую, что сбор телеметрии тут не главное. Оно реагирует на наличие доменов Microsoft в файле. Это излюбленный трюк всякой вирусни. Кто их туда поместил, вирусня или пользователь, и с какой целью, Microsoft знать не может.

Проще говоря, там, очень вероятно, тупо вписано правило «если в hosts есть *.microsoft.com», то". Разумеется, это сработает и на и на telemetry.microsoft.com, и на habr.microsoft.com.

Ну и, конечно, заблокировать доступ к microsoft.com это всё равно что в ногу себе выстрелить.

[hellamps]

Именно. Вероятно вирусня подставляет туда свои нужные адреса, чтобы зараженные апдейты ставить в дальнейшем, даже если этого вируса вычистят.

Все-таки блокировка с помощью hosts это такой костыль

[dartraiden]

Обновления имеют цифровую подпись, так что это не вариант.

[FreeNickname]

Система уже заражена вирусом, а вирус может располагать 0-day уязвимостями, которые, теоретически, могут компрометировать проверку подписи, например. Ну это так, умозрительно.

[hellamps]

Кто мешал вирусу еще и сертификат подкинуть в root ca? Заодно чтоб и всякие пароли потырить...

[v1000]

Я еще понимаю, если реагирует на 127.0.0.1 — можно локально веб сервер поднять чтобы всякую ерунду подсовывать. Но 0.0.0.0 каким боком может помешать?
А все от того, что кто-то очень заботится о своей телеметрии.
И упорно не хочет дать возможность ее отключить.
И пользователям приходится извращаться.

[dartraiden]

Оно реагирует на домен, не на IP. Причины я описал — вместо 0.0.0.0 там может быть адрес сервера, контролируемого злоумышленником. На IP Защитник не смотрит при проверке. Вы можете вписать туда хоть IP-адреса Microsoft, всё равно это будет расценено, как угроза.

Лет 10 назад был мощный вой «Microsoft начала бороться с нелегальным активатором Windows 7», распространяемый пользователями, не владеющими матчастью. На самом же деле, Microsoft синхронно пропатчила уязвимости в ядре и окружении. И те рукожопы, у которых стояли чудовищные активаторы а-ля «копируем ядро в другой файл, патчим и прописываем это кастомное ядро в загрузчик» (мне даже писать такое больно, это даже не костыль, это втыкание себе кривого ржавого протеза вместо отпиленной ноги) резко обломались, потому что новое окружение со старым ядром бсодилось. Претензий к Microsoft не могло быть никаких, потому что официально такие выкрутасы не поддерживаются и никто, естественно, не тестирует обновления на совместимость с этим ужасом. Но вместо того, чтобы разбираться, гораздо проще оказалось распространять выдумки о том, что это было сделано именно ради борьбы с «пиратами».

С телеметрией вышло аналогично. Такой способ её контроля не поддерживается, поэтому Защитник обнаруживает в hosts «microsoft.com» и бьёт тревогу, полагая, что это проделки вирусни. Если бы такой способ контроля телеметрии поддерживался официально, то добавили бы проверку на IP-адрес (если там 0.0.0.0 microsoft.com или 127.0.0.1 microsoft.com, то это, вероятно, дело рук пользователя, а если что-то иное, то злоумышленника).

Пользователю никто не обещает, что используемые им недокументированные и неподдерживаемые практики будут работать всегда. Впрочем, у пользователя остаётся масса других способов выстрелить себе в ногу, например, заблокировать те же самые IP-адреса через брандмауэр, либо прописав маршруты вникуда, либо воспользовавшись файерволлом на маршрутизаторе, и т.д.

[v1000]

Пираты они такие — их хлебом не корми, дай ядрами пожонглировать. В этом плане я немного удивляюсь майкрософту-они иногда любители «позакручивать гайки», а иногда словно живут в стране розовых пони-умудряются выпустить патч для ХР, который проверяет пиратскую активацию, но легко блокируется штатной командой не устанавливать конкретный патч. А по поводу реакции антивируса на хост файл — как всегда забыли сделать one more thing и сделать проверку на адрес, куда их сайт перенаправляется. Или опять живут в стране розовых пони, и не знают (или знают, но игнорируют) что пользователи так блокируют ненавистную им телеметрию. А затем вдруг узнают, и винда начнет БСОДиться, если ее адреса будут блокирваться на роутере.

[bugdesigner]

Попытка блокировать потенциально нежелательное поведение (слежку) — признана «потенциально нежелательным поведением». Иронично.

[Firz]

«Все в мире относительно». С позиции microsoft, слежка — желательное поведение, блокировка — нежелательное. С позиции юзера, слежка — нежелательное поведение, блокировка — желательное.

[sterr]

Это произошло только при последнем обновлении. Ну и ничего страшного — «Разрешить» и все.
Вангую, что в следующем обновлении файл host для телеметрии учитываться не будет.

[LeRR62]

на 6 машинах стоит W7
файл host… стоит пустой ибо всё там удалил.
четыре года уже так.

[arrakisfremen]

И… к чему ты это? Он же по умолчанию пустой.

[LeRR62]

в статье он пустой? см выше.

[arrakisfremen]

На какой именно скриншот смотреть или куда? У меня он выглядит вот так (т.е. одни комментарии):

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

[wmgeek]

Спасибо за «официальный» перечень адресов для блокировки телеметрии от Майкрософт.

[AH89]

Некоторые программы типа Spybot Search and Destroy так вообще себе имя на рынке сделали только благодаря тому, что активно «иммунизировали» файл hosts, пихая в него всё что не попадя… И что теперь если Майкрософт изменила политику пользователи должны перестать пользоваться Spybot Search and Destroy?

[dartraiden]

Официальный перечень уже года три как официально публикуется.

docs.microsoft.com/windows/privacy/manage-windows-2004-endpoints

[drWhy]

Компонент: «Кортана и живые плитки», Destination: «www.bing.com», Используемый протокол: «TLSv1.2»

Компонент: «Автоматическое обновление корневых сертификатов», Destination: «ctldl.windowsupdate.com», Используемый протокол: «HTTP»

Чудесно.

[ifap]

Да он давно уже официально объявлен так-то docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

[vinny496]

А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?

[arrakisfremen]

Раз такая пьянка пошла, позволю себе у вас поинтересоваться. Утечки какой именно информации с вашей машины вы боитесь? Мне просто любопытно.

[Dr_Faksov]

Тут дело принципа. Либо кто-то смотрит мне через плечо, либо нет.

[arrakisfremen]

Если это дело принципа, то, как по мне, давно можно и нужно было перейти на свободные ос.
Но ежели человек продолжает пользоваться виндой, то всё же любопытно, что конкретно он хочет уберечь от майкрософта.
Мне в голову приходят только реквизиты банковских карт, которые с тем же успехом может у меня увести не майкрософт, но гугль, потому что я ввожу их в браузере и работаю с банковскими приложениями на андроиде. Но гугль этого делать не будет, потому что ему его репутация дороже, чем мои копейки.
Так же, вряд ли какая-то из крупных корпораций захочет у меня украсть домашнюю эротику или стим аккаунт. А если и украдут, то чёрт с ними.

[tzlom]

Может у меня оплата интернета по трафику, и я не хочу оплачивать причуды которые мне не нужны.

[nsmcan]

Объявите сетевое соединение тарифицируемым (metered) — телеметрия отправляться не будет. Правда, много чего другого полезного происходить автоматически тоже не будет.

Есть много вариантов отключить телеметрию. Зачем корячить hosts?

[v1000]

а еще вроде бы винда по ощущениям быстрее работает без телеметрии, возможно потому, что на это шуршание в системе может реагировать сторонний антивирус и фаервол. да и вообще, это какой-то аналог денуво в системе, который пользователю пользы не несет, но ресурсы системы на себя оттягивает.

[Neusser]

Не только системный файл, но и, похоже, любой другой hosts (или как минимум которые находятся в системных папках). Я на выходных прогнал дефендер в полном режиме, и он выдал такую же угрозу («SettingsModifier:Win32/HostsFileHijack») на hosts в папке ПрограмФайлс/Гит, положив его в карантин. Открыть файл, чтобы посмотреть что там такого, я не смог (видимо из-за карантина доступ был закрыт), разбираться в чем дело было неохота. Теперь понятно в чем причина.

[rinovnill]

Добавляем в конфиг dnsmasq'а на роутере

address=/www.microsoft.com/127.127.127.127
address=/microsoft.com/127.127.127.127
address=/telemetry.microsoft.com/127.127.127.127
address=/wns.notify.windows.com.akadns.net/127.127.127.127
address=/v10-win.vortex.data.microsoft.com.akadns.net/127.127.127.127
address=/us.vortex-win.data.microsoft.com/127.127.127.127
address=/us-v10.events.data.microsoft.com/127.127.127.127
address=/urs.microsoft.com.nsatc.net/127.127.127.127
address=/watson.telemetry.microsoft.com/127.127.127.127
address=/watson.ppe.telemetry.microsoft.com/127.127.127.127
address=/vsgallery.com/127.127.127.127
address=/watson.live.com/127.127.127.127
address=/watson.microsoft.com/127.127.127.127
address=/telemetry.remoteapp.windowsazure.com/127.127.127.127
address=/telemetry.urs.microsoft.com/127.127.127.127

рестартим dnsmasq и наслаждаемся жизнью
При чем если дома больше одного виндового компа это и проще, чем на каждом менять hosts все равно.

[rvt]

Добавил файл c:\Windows\SYSTEM32\drivers\etc\hosts в исключения (в Defender). Сработало! Больше не напоминает.