Ergebnis 1 bis 3 von 3

MS Defender setzt hosts Datei zurück, wenn ihm die Einträge nicht passen

  1. #1 Zitieren
    Forenkater Avatar von Matteo
    Registriert seit
    Dec 2003
    Ort
    Khorinis
    Beiträge
    16.620
    https://www.heise.de/news/Windows-De...i-4863355.html

    Von Microsoft ist man ja allerlei Dreistigkeiten gewohnt, aber das lässt mich dann doch entsetzt und sprachlos zurück.

    Das Blockieren von Microsofts Telemtrieservern ist übrigens eine offizielle Empfehlung des BSI. (Seite 16)
    Werde mal sehen ob ich die entsprechenden Adressen nun stattdessen in meinem Router auf die schwarze Liste setzen kann.
    Matteo ist offline

  2. #2 Zitieren
    Held Avatar von Illuminatum
    Registriert seit
    Mar 2007
    Ort
    In BW
    Beiträge
    5.203
    Jup.
    Versuche mal die Hosts-Datei beim Defender in die Ausnahmen zu setzen, geht das?

    Edit: Nur um das klar zu stellen, das Dreiste ist nicht, dass der Defender die hosts-Datei überwacht per se, sondern dass er gezielte Einträge als "Virus" einstuft, u.a. eben auch Microsoft Telemetrie-Daten.
    Pi-hole wird immer verlockender
    Illuminatum ist offline Geändert von Illuminatum (06.08.2020 um 19:06 Uhr)

  3. #3 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    23.996
    Also ich kann in meiner Test-VM mit 1903, wenn die „Bedrohung” gemeldet wird, einfach die Option „Auf Gerät zulassen” auswählen. Dann wird automatisch eine Ausnahmeregel erstellt und die hosts bleibt bestehen. Geht das bei euch nicht?

    Im Zweifel mal dem Konto, unter welchem der Defender läuft, die Schreibrechte an der Datei entziehen. Das dürfte „System” sein. Ein Teil des Defenders läuft zwar auch unter „LocalService”, aber das ist ein eingeschränktes Konto und darf vermutlich nicht an Systemdateien herum spielen.

    Ansonsten:

    • Es gibt schon seit Jahren eine weiße Liste von Servern in der dnsapi.dll, bei denen die hosts nicht ausgewertet wird. Darunter u.a. auch Hostnamen wie microsoft.com oder windowsupdate.com. Wollte MS hier heimlich die Telemetrie aufbohren, würden sie die Server IMHO eher dort mit reinschreiben. Es ist also vermutlich eher ein gut gemeinter Schutz vor vermeintlichen DNS-Manipulationen durch Trojaner.
    • Allgemein ist das Blockieren von Gegenstellen über die hosts-Datei sowieso nicht wirklich sicher, siehe auch ersten Punkt sowie hier. Auch die vom OP verlinkte Heise-Meldung nennt das Blockieren über die hosts einen „eher zweifelhafte[n] Windows-Tipp”.
    • Was spricht gegen das Abschalten der Telemetrie über die Systemeinstellungen? Wenn man MS nicht vertraut und glaubt, sie umgehen diese Einstellungen, warum sollten sie dann nicht auch die hosts-Datei und Firewall-Regeln umgehen? Siehe oben.
    • Woher weiß man, dass die blockierten Server wirklich nur der Telemetrie dienen? Es kursieren diverse Listen unterschiedlicher Länge im Netz. Welche ist jetzt richtig?
    • Es gibt auch Listen der IP-Bereiche, die von den Telemetrie-Servern benutzt werden. Die kann man über die normale Firewall blockieren. Alle genannten Einschränkungen bleiben natürlich bestehen.
    • Dass der Defender Manipulationen von MS-Servern an der hosts-Datei beanstandet, ist nicht neu. Hier ist ein Artikel aus dem Jahr 2016 (da hatte der Defender noch seine alte Optik auf dem Screenshot) mit einem entsprechen Bericht. Eventuell hat MS nun nur die Liste der überwachten Domainnamen ausgeweitet.
    foobar ist offline Geändert von foobar (07.08.2020 um 01:21 Uhr)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •