[English]Microsoft hat damit begonnen, in seinen Antivirus-Produkten wie dem Microsoft Defender Umleitungen in der Windows-eigenen hosts-Datei, die Microsoft-Seiten betreffen, als schädlich einzustufen, als HostFileHijack zu kategorisieren und zu blockieren. Ich hatte das bereits in Teil 2 der Artikelserie angesprochen – jetzt ergibt sich aber ein vollständigeres Bild.
Anzeige
Die hosts-Datei in Windows
In Windows gibt es die hosts-Datei, eine einfache Textdatei, die sich in folgendem Ordner befindet.
C:\Windows\System32\drivers\etc\hosts
Windows ermöglicht Administratoren über die hosts-Datei recht einfach Umleitungen von Host-Namen auf IP-Adressen einzurichten. Einige Nutzer verwenden Einträge in der hosts, um Microsoft Netzwerkadressen, an die Telemetriedaten übertragen werden, auf die lokale IP-Adresse 127.0.0.0 umzuleiten. Dann kann der betreffende Microsoft-Server nicht mehr erreicht werden.
Microsoft schiebt einen Riegel vor
Dieser Ansatz wird jetzt durch Microsoft auf Systemen, auf denen der Windows Defender (oder eine andere Microsoft Antivirus-Lösung) läuft, wohl unterbunden. Ich hatte im Blog-Beitrag Windows Defender bemängelt Windows Hosts-Datei – Teil 2 berichtet, dass der Microsoft Defender die Windows-eigene hosts-Datei als schädlich betrachtet und als HostFileHijack bemeckert. Das Ganze passiert seit dem 28. Juli 2020 mit folgenden Komponenten:
Anzeige
Antimalware-Clientversion: 4.18.2006.10
Modulversion: 1.1.17300.4
Antiviren-Version: 1.321.144.0
Antispyware-Version: 1.321.144.0
Der Blog-Leser, der das beobachtet hat und einen Tipp gab, schrieb dazu noch: Da hat wohl erst jetzt jemand bemerkt das Statistik, Telemetrie, Bing… gewisser Clients nicht mehr zuverlässig ankommt. Die letzte Information war für mich noch nicht so ganz fassbar, auch wenn Blog-Leser Info inzwischen diesen Kommentar in Teil 2 nachgetragen hat. Das Gleiche gilt für die Bemerkungen von Mark Heitbrink in seinem gestrigen Kommentar. Das ist mir erst nachträglich bewusst geworden, als die nachfolgenden Puzzleteile ins Bild fielen. Daher fasse ich das nachfolgend nochmals zusammen.
Defender blockt bei umgeleiteten Microsoft-Seiten
Ich habe die Nacht auf Twitter mit Lawrence Abrams von Bleeping Computer in einer privaten Kommunikation über das Thema diskutiert. Er war über die englischsprachige Fassung meines Beitrags auf den Sachverhalt aufmerksam geworden. Also hat er sich das Ganze nochmals vorgenommen, getestet und ist auf einige Zusammenhänge gestoßen. Dazu hat Lawrence nun einige ergänzende Informationen auf Bleeping Computer veröffentlicht.
After learning about this today from @etguenni, BleepingComputer performed some tests to see if this was a false positive or something else triggering the detections.
— BleepingComputer (@BleepinComputer) August 3, 2020
Der obige Tweet fasst den Sachverhalt schon zusammen. Stößt der Microsoft Virenscanner auf eine Manipulation in der Datei hosts und erlaubt man dem Microsoft Defender die Datei zu löschen, wird deren Inhalt auf default-Einstellungen zurückgesetzt. Dann hat Lawrence Abrams meinen Hinweis, dass einige Nutzer die hosts-Datei nutzen, um Microsoft-URLs zu blockieren, getestet.
Now when you try to add a Microsoft privacy HOSTS file, Windows Defender will not allow you to save the file as it "contains a virus or potentially unwanted software." pic.twitter.com/RWrjjBSWEY
— BleepingComputer (@BleepinComputer) August 3, 2020
Der obige Tweet legt dann die Erkenntnis offen. Versucht ein Administrator Microsoft-Webseiten über die hosts-Datei zu blockieren, schlägt der Defender an und meldet ein Risiko. Das Speichern der Änderungen wird im Editor mit einer Fehlermeldung abgelehnt.
(Fehlermeldung beim Speichern der hosts-Datei, Quelle: Bleeping Computer)
Die Meldung besagt, dass die Datei ein Virus oder eine potentiell unerwünschte Software enthalte – dabei ist die hosts eine Textdatei. Jedenfalls können die Änderungen nicht gespeichert werden. Lawrence Abrams hat unter anderem folgende Microsoft-Seiten gefunden, die nicht in die hosts eingetragen werden dürfen.
www.microsoft.com microsoft.com telemetry.microsoft.com wns.notify.windows.com.akadns.net v10-win.vortex.data.microsoft.com.akadns.net us.vortex-win.data.microsoft.com us-v10.events.data.microsoft.com urs.microsoft.com.nsatc.net watson.telemetry.microsoft.com watson.ppe.telemetry.microsoft.com vsgallery.com watson.live.com watson.microsoft.com telemetry.remoteapp.windowsazure.com telemetry.urs.microsoft.com
Denn dann schlägt der Defender Alarm und verhindert das Speichern. Nutzer, die diese URLs in der hosts-Datei pflegen möchten, müssen dann die Datei im Defender als Ausnahme definieren und von der Prüfung ausnehmen (siehe auch Teil 2). Dann überwacht der Defender aber auch keine Manipulationen der hosts-Datei durch Malware. Und damit fällt mein fehlendes Puzzleteil aus obiger Nutzeranmerkung ins Bild. Microsoft geht gezielt dagegen vor, dass bestimmte URLs über die hosts-Datei geblockt werden.
Anmerkung: Es gibt einen alten Support-Beitrag 2764944 zu Windows 8, wo Microsoft anmerkt, dass so etwas 'unbeabsichtigt' im Defender passieren könne. Das trifft aber den aktuellen Fall nur unzureichend.
Ergänzung: Es gibt ja den Verdacht, dass Microsoft das Blockieren von Telemetriedaten unterbinden will – ich bin mir da nicht mehr so sicher (siehe auch die nachfolgenden Diskussionen). Wer Telemetrie im Enterprise-Umfeld konfigurieren will, den verweise ich auf den Artikel Windows 10 Telemetrie und Diagnosedaten richtig abschalten von Mark Heitbrink. Der hat den Stand Ende Juli 2020 und räumt mit einigen Mythen auf. Vielleicht hilft es weiter.
Ergänzung 2: Blog-Leser Andreas E. hat mich zudem noch auf diesen Microsoft-Beitrag hingewiesen, wo die Einstellungen zur Konfiguration der Verbindungen zwischen Clients und Microsoft-Servern dokumentiert sind – danke dafür.
Ähnliche Artikel:
Windows Defender markiert CCleaner als PUP – Teil 1
Windows Defender löscht Windows Hosts-Datei – Teil 2
Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3
Anzeige
Bei mir wird ohne jede Fehlermeldung,
wenn ich eine der oben genannten URLs eintrage,
die host neu angelegt!
Der Text "meiner" Datei ist deutsch!
"# Copyright (c) 1993-2009 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird."
Der Text der "Neuen" ist dann Englisch.
Das ist nicht die feine Art!
Das ist wirklich nicht schön. Auch wenn ich die Telemtrie als etwas gutes bewerten würde, wenn ich genau wüsste, dass sie wirklich nur Diagnosedaten (Hardware-Config, Fehler im Eventlog, Logs von Bluescreens, etc.) sendet, um damit Windows zu verbessern, es bleibt immer noch mein PC und ich bestimme darüber, was die Kiste macht, und was nicht. Ich hoffe, mehr Portale greifen das Thema auf und Microsoft rudert hier zurück.
MS kann diese Funktion aber gerne benutzen, um wirklich schädliche hosts Einträge zu erkennen, oder um dynamisch aktuelle Command&Control/Download-Server für Emotet & Co dort auf eine Warnseite zu verbiegen, wenn die Funktion schon mal da ist.
Der Punkt, der mir bei dem Ganzen so auf den Sack geht: Microsoft kann ja vieles ändern – aber transparent, mit Vorankündigung und dokumentiert sowie begründet. War mal deren Anspruch (in diversen Blog-Posts des Windows-Managements rund um Windows Updates, siehe auch bei askwoody.com). MVP-Kollegin Susan Bradley (Patchlady) hat dann den Pinoccio-Meter definiert – hier mal zur Ansicht.
(Credits: Susan Bradley askwoody.com)
Und das Ganze zieht sich wie Mehltau durch den ganzen Laden – egal wo Du hin fasst.
Schon schlimm genug das Microsoft bestimmte URLs in der dnsapi.dll implementiert hat, die über die Hosts Datei nicht geblockt werden.
Nun wird auch noch die Hosts Datei selbst, gegen Eintragungen von Telemetrie URLs geschützt. Aber da ich mittlerweile ein Pihole bei mir laufen habe, hat Microsoft trotzdem Pech. :D
Pi-hole ist gut, es reicht aber alleine nicht, da eben nur DNS geblockt wird. Des weiteren brauchst Du eine "externe" Firewall, die den direkten Aufruf von IP-Adressen sperrt.
Also das bestärkt mich nur in meiner Überzeugung das der MSFT Deffender nicht dazu da ist den Benutzer vor Malware zu schützen sondern die Software vor dem Benutzer.
Das dabei auch so manche Malware auf der strecke bleibt und der Benutzer auch was davon hat ist lediglich ein Beiprodukt.
Ganz ehrlich ein Antivirus sollte nur vor Malware schützen, aber doch nicht brauchbare Tools (ProcessHacker & alike) oder Patches/key-gens blockieren.
Ein Patches/key-gen ist für den Benutzer sofern er/es nur das macht was es soll absolut keine Unwanted Software oder Malware, ganz im Gegenteil!
Und in wie fern der Einsatz solcher Tools legalst ist ist des Benutzers privat sache.
Spätestens wen er eine legal erworbene Software wegen abgeschalteter Aktivierungs-Server dazu bringen muss wieder zu funktionieren, wozu er ein recht hat, kann der Einsatz solcher Tools nicht mehr beanstandet werden.
Dank an Lawrence Abrams für die Aktualisierung der MS-eigenen "Schnüffelware" (siehe Liste oben im Text)!
Indem man die hosts-Datei nach Eintragung der Schnüffelseiten auf "schreibgeschützt" setzt, müßte doch ein Eindringen "pöhser" Malware verhindert werden, auch wenn man sie für Defender unter Ausnahme laufen läßt oder sehe ich das falsch?
(Habe leider gerade keine Zeit, das zu testen, weil ich gleich wegmuß.)
Gruß an Günter und an alle Tüftler!
Ein Schreibschutzattribut, wie niedlich… Die Hosts-Datei kann ja generell nur von einem lokalen Admin geändert werden, für den ist es ja auch kein Problem, den Schreibschutz temporär mal rauszunehmen…
Wie 1St1 anmerkt: Wer administrative Berechtigungen hat, kann das Attribut wieder zurücksetzen – und normale Benutzer haben keine Schreibberechtigung auf die hosts. Malware kann das also aushebeln. Was man mit dem Schreibschutz ausbügeln kann, ist das 'well behaved' software da nix reinschreibt.
@Günter Born
Die Blockierung bzw. Umleitung von Microsoft Adressen allein in der hosts Datei reicht leider nicht aus da die dnsapi.dll die Microsoft Adressen dennoch "durchwinkt".
https://www.forum-3dcenter.org/vbulletin/showpost.php?p=10732341&postcount=75
2016 habe ich mir mal die Arbeit mit einem Hexeditor gemacht und die Einträge aus der dnsapi.dll gelöscht. Erst danach wurden keine Daten mehr an Microsoft gesendet.
Ich löste mein Problem seinerzeit damit, dass ich dem System alle Berechtigungen an der hosts-Datei entzog. Beim Microsoft Defender geht es einfacher. In der App „Windows-Sicherheit" kann man in den Einstellungen des Virenschutz unter „Ausschlüsse" eine Ausnahme für die hosts-Datei erstellen, dann bleiben die manuellen Anpassungen erhalten. Wird sie anschließend tatsächlich von einem bösartigen Programm manipuliert, bleibt das selbstverständlich unentdeckt. Für die tapferen Ritter der Telemetriedatenbekämpfung dürfte das allerdings unkritisch sein, denn sie beherrschen ihre Systeme perfekt und benötigen keine fremde Hilfe.
Also der Defender ist meines Erachtens nicht konsequent genug. Normalerweise ist das ganze Windows in der jetzigen Version eh ein "Virus" und wenn MS meint den User an die Leine legen zu müssen, nun es gibt andere Systeme.
Und ja, mir geht MS zur Zeit fürchterlich auf den Sxxx.
Und ja, ohne diesem Blog hier würde ich manchmal ziemlich dumm aus der Wäsche schauen. Dafür mein Dank an Herrn Born.
Noch so eine blashphemische Bemerkung zu Windows und wir holen den Good Modus raus ;-)
Auch wenn der Aufschrei hier groß ist, so sollte man berücksichtigen das es wirklich Schadsoftware gab die durch editieren der Host Datei dafür gesorgt hat das das System keine Windows Updates mehr bekommt. Und mit entfernen der Schadsoftware war garantiert nicht sichergestellt das auch die Host Datei wieder in den Ursprungszustand versetzt wurde.
Und neben Schadsoftware gab es auch diverse Wareztools die gerne mal die Host Datei umgebogen haben um bei gecrackter Software die Kommunikation zum Hersteller zu unterbinden. Und genau diese Fälle poppen dann negativ in Foren auf das die Windows Updates nicht funktionieren und wie schlecht Windows doch ist…..
Daher finde ich es durchaus ein richtigen, wenn auch sehr späten Schritt den MS hier geht, allerdings hätte MS sich beim blocken nur auf' die URLs für die reine Updatefunktion Beschränken und Telemetrie außen vor lassen sollen.
MS hätte a. den Nutzer informieren sollen, b. den Nutzer Fragen können und sollen. Es ist Scheiße, wenn grundlegende Dinge von MS an meinem System einfach so geändert werden!
wieviel Prozent der Benutzer hätten mit dieser Nachfrage etwas anfangen können?
Die allermeisten Benutzer hättest Du damit noch mehr Richtung "einfach alles abnicken" erzogen……
Die Aufstellung der MS-Seiten ist interessant, kann man ja auch woanders sperren, auch ohne Hosts-Datei.
Was soll es…
Das ganze Theater zeigt doch wie es ist!
◾Microsoft hat hierbei kein großes Interesse eine schadhafte Malware Attacke abzuwehren…
◾Will nur die allseits fragwürdigen Windows-Funktionen möglichst erhalten…
Bei "richtiger Funktion" würde der "Echtzeit-Scanner" einen "Veränderungsversuch" an der "aktuell bestehenden Datei" registrieren und diesen Versuch vorerst mit Meldung blockieren. Dann aber auch eine Möglichkeit bieten die Änderung zu übernehmen – wenn die Rechte vorliegen!
Der Inhalt ist da erst einmal zweitrangig und evtl. ein Hinweis-Kriterium.
Nicht grundsätzlich nur den Schutz zu deaktivieren – bullshit. Aber das hieße ja dem Nutzer eigene Optionen zu lassen und das ist alles Andere als die Philosophie von W10.
Unglaublich 00:00 Uhr – 05.08!
Am 28.07 "HostFileHiJack", nicht direkt die Aktion auf der Hauptseite bestätigt sondern über den Schutzverlauf die Aktion zulassen gewählt – deswegen wurde die HOSTS nicht zurückgesetzt!
Am 05.08 00:00 Uhr erneut – soll das jetzt so weiter gehen und werden die Optionen des Schutzverlauf ignoriert!!!
Die spinnen… (so nebenbei, gibt es hier noch andere Vorkehrungen…)
——————————
Damit wirft es Heutzutage grundsätzlich die Frage auf – darf man ein Betriebssystem mit dem Schutzprogramm und der Software-Firewall des Herstellers betreiben? – wohl eher nicht mehr.
Weiter geht's – die Antimalware-Clientversion erhielt ein Update.
Antimalware-Clientversion: 4.18.2007.8
Das hat die übliche wiederkehrende Bevormundung ausgelöst Dinge einzuschalten die vorsätzlich deaktiviert sind. Dazu gehört jetzt wohl auch regelmäßig das Thema "HostFileHiJack".
◾Cloudbasierter Schutz
◾Automatische Übermittlung von Beispielen
◾Manipulationsschutz
◾HostFileHiJack
Man könnte darüber lachen wenn es nicht so jämmerlich wäre…
Es wird wohl jetzt täglich bei einer Schnellprüfung(Manuelle/Automatische) "HostFileHiJack" trotz [VORIGER ZULASSUNG] im Schutzverlauf(Angebotene Standard Aktion ist zurücksetzen der Host) moniert! …🚽
Bei einer so unzulänglichen Schutz-Software die bei einer angepassten HOSTS Datei nur einen RESET oder manuellen [GENERELEN AUSSCHLUSS] dieser Datei von der Prüfung zulässt – ist es wohl Zeit auf eine Andere Schutz-Lösung auszuweichen.
Bei einem Ausschluss findet kein Malware-Schutz für diese Datei mehr statt. Wobei ich die Funktion mit dem "Generellen Ausschluss", ohne erneute Meldung, jetzt noch nicht einmal bestätigen kann – abwarten…
Hatte gestern Abend die Meldung eines Lesers, der meinte:
Hab auf meiner Maschine getestet – ein Update kam, die obigen Versionsstände habe ich unter Win 10 V1909 – aber der Defender meckert weiter. Irgendjemand, bei dem nichts mehr bemängelt wird?
Das ist die von mir angesprochene Version.
…möglicherweise hatte er aus versehen vorher einmal "AKTION" bestätigt und die HOSTS wurde bereits unbemerkt einem RESET unterzogen.
Es ist ja auch auffallend – das "Sicherheitsdashboard" ist hinterhältig in der Auslegung der Bedienung. Wenn man auf der Hauptseite(Niemals tun!) nach einer Prüfung oder Versions-Update einen AKTION Knopf drückt wird alles wieder eingeschaltet oder eben resettet.
Moin Herr Born!
Ist zwar nur Microsoft Security Essentials unter Windows 7, aber aktuell ist das Feature "HostFileHiJack" wieder deaktiviert.
Antimalware-Clientversion: 4.10.209.0
Modulversion: 1.1.17300.4
Virendefinition: 1.321.732.0
Antispywaredefinition: 1.321.732.0
Version des Moduls des Netzwerkinspektionssystems: 2.1.14600.4
Version der Definition des Netzwerkinspektionssystems: 119.0.0.0
>Wobei ich die Funktion mit dem "Generellen >Ausschluss", ohne erneute Meldung, jetzt noch nicht >einmal bestätigen kann – abwarten…
Bei der Prüfung gibt es dann "nur" jedes mal eine Benachrichtigung im Info-Center – so wie die Meldung für die nicht stattgefundene Freigabe-Prüfung,,,
[Während der Prüfung übersprungene Elemente]
Das ändert aber nichts an der Tatsache der unzulänglichen Schutz-Software!
reichte es nicht, in dem Moment, wo defender auf die 'hosts' zuschnappt, die betreffende Datei zu zu lasssen unter 'alles gefundene' (oder wie das heißt) – und danach diese Datei sofort aus der Quarantäne wiederherzustellen?!
Sollte doch, wenn zugelassen, dauerhaft sein oder verfällt das Attribut iwann? Und es würde die Überwachung des ganzen Ordners nicht abgeschaltet, was, insgesamt betrachtet, ja eig. keine so wirklich gute Idee ist?!
Moin @ All!
Unter Windows 7 Systemen sind die Microsoft Security Essentials ebenfalls mit dem Feature "HostFileHiJack" gesegnet…
hier die Liste, die W10Privacy in die host schreibt:
alpha.telemetry.microsft.com
alpha.telemetry.microsoft.com
asimov-win.settings.data.microsoft.com.akadns.net
candycrushsoda.king.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
choice.microsoft.com
choice.microsoft.com.nsatc.net
co4.telecommand.telemetry.microsoft.com
cs11.wpc.v0cdn.net
cs1137.wpc.gammacdn.net
cy2.settings.data.microsoft.com.akadns.net
cy2.vortex.data.microsoft.com.akadns.net
db5.settings-win.data.microsoft.com.akadns.net
db5.vortex.data.microsoft.com.akadns.net
db5-eap.settings-win.data.microsoft.com.akadns.net
df.telemetry.microsoft.com
diagnostics.support.microsoft.com
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
eu.vortex-win.data.microsft.com
eu.vortex-win.data.microsoft.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
feedback.windows.com
geo.settings-win.data.microsoft.com.akadns.net
geo.vortex.data.microsoft.com.akadns.net
modern.watson.data.microsoft.com
modern.watson.data.microsoft.com.akadns.net
oca.telemetry.microsft.com
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
onecollector.cloudapp.aria.akadns.net
onesettings-bn2.metron.live.com.nsatc.net
onesettings-cy2.metron.live.com.nsatc.net
onesettings-db5.metron.live.com.nsatc.net
onesettings-hk2.metron.live.com.nsatc.net
reports.wes.df.telemetry.microsoft.com
self.events.data.microsoft.com
settings.data.microsoft.com
services.wes.df.telemetry.microsoft.com
settings.data.glbdns2.microsoft.com
settings-sandbox.data.microsoft.com
settings-win.data.microsoft.com
sqm.df.telemetry.microsoft.com
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
statsfe1.ws.microsoft.com
statsfe2.update.microsoft.com.akadns.net
statsfe2.ws.microsoft.com
survey.watson.microsoft.com
tele.trafficmanager.net
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
telecommand.telemetry.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
us.vortex-win.data.microsft.com
us.vortex-win.data.microsoft.com
v10.events.data.microsoft.com
v10.vortex-win.data.microsft.com
v10.vortex-win.data.microsoft.com
v10-win.vortex.data.microsft.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
v10.vortex-win.data.metron.live.com.nsatc.net
v10c.events.data.microsoft.com
v10c.vortex-win.data.microsoft.com
v20.events.data.microsoft.com
v20.vortex-win.data.microsoft.com
vortex.data.glbdns2.microsoft.com
vortex.data.microsoft.com
vortex.data.metron.live.com.nsatc.net
vortex-bn2.metron.live.com.nsatc.net
vortex-cy2.metron.live.com.nsatc.net
vortex-db5.metron.live.com.nsatc.net
vortex-hk2.metron.live.com.nsatc.net
vortex-sandbox.data.microsoft.com
vortex-win-sandbox.data.microsoft.com
vortex-win.data.microsoft.com
vortex-win.data.metron.live.com.nsatc.net
watson.live.com
watson.microsoft.com
watson.ppe.telemetry.microsoft.com
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
wes.df.telemetry.microsoft.com
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
nicht dass dieser Blog-Post auch vom Windows Defender blockiert wird…
there is a very simple solution to that if you're so paranoid with telemetry…. simply install Bitdefender total security or any other security suite which general do better than Microsoft…. they still will scan and protect the host file and yet allow you to modify it. What Microsoft is doing is understandable… the average PC user wants flawless and secure PC experience and Microsoft is doing a great job doing it. You will always find a minority of annoyed PC enthusiasts in Microsoft… Linux and MacOS…. the world we live in 😁
Amen …
As a nasty guy: You aware, that Bitdefender has issues? Und you aware, the telemetry not necessary have something to do with paranoia, especially, if you run a business in European Union and you are operating unter GDPR? Won't answer to your illusion of a 'flawless and secure PC' delivered by MS. But don't mention the war (Monty Pyton).
wasn't "don't mention the war" a Fawlty Towers episode, and therefore "only" John Cleese?
Warum die hosts Datei editieren?
Eigenen DNS Server nutzen (beispielsweise pi-hole.net) und somit auch für andere existierende Geräte im Netz derartige Kommunikation unterbinden.
Was in der HOSTS steht gilt (unter Windows) für WINDOWS/BROWSER/PROGRAMME/SONSTIGES primär, abgesehen anderer Tricks von denen ich jetzt einmal absehe.
Weil das der einfachste Weg ist einen Rechner den Du durch die Gegend schleppst, und beispielsweise Mobil verwendest, dieses bereits beizubiegen bevor du eine "Mobile Verbindung" herstellst oder anderweitig mit einem Netz verbindest! Fraglich ob auf dem Gerät lokal ein DNS Proy-Server oder Anderes, mit System-Rechten und Blocklisten, bereits als erstes läuft – vor der Anmeldung.
Oder bevor du dich überhaupt anmeldest, W10 für die Verwaltung der Mobilverbindung(NIC-Modus) autorisiert ist, bereits automatisch die Verbindung hergestellt wurde. Da ist noch kein anderer DNS in der Verbindung(NIC-Modus) händisch eingetragen.
Mobile Verbindungen im "NIC-Modus" lesen die Daten der SIM und Verbinden dann zwangsläufig mit dem Provider DNS Servern. In den Verbindungen kannst Du unter Windows dauerhaft keine andere DNS Nutzung eintragen – die ist beim nächsten Neustart oder an/abstecken verschwunden! Das war bereits unter W7 so, in W10 noch viel unangenehmer seit Gerätemanager / Softwaregerät / Mobilfunk…
Da sind sich Regierung/Provider/Microsoft oder wer auch immer, weitere Ausführungen spare ich mir jetzt, einig.
Helfen tut da bei einer Mobil-Verbindung(SIM) nur der Aufbau als DFÜ/MODEM Verbindung – dort kannst du dauerhaft auf DNS-Server/"lokale DNS-Proxy-Server" konfigurieren. Nicht nötige Protokolle wie NetBios/WINS dauerhaft deaktivieren. ABER Microsoft hat für DFÜ-Verbindungen böswillig die "automatische Verbindungsmöglichkeit" unter W10 enfernt! Und – ob heutige externe Mobilfunk-Hardware noch den Modem-Modus unterstützen ist bereits immer fragwürdiger. Da kommen wir wieder zum vorigen Absatz.
——————————–
Haken – DNS-Auflösung schön und gut. Letztendlich blockieren funktioniert im Härtefall nur über die bekannten IPs. Und so weiter – lästiges Thema bei dem verschiedene Gegebenheiten bedacht werden müssen…
——————————–
Ist das warm…, keine Meinung mehr.
[MICROSOFT IGNORIERT ANWENDER-EINSTELLUGEN]
26.08.2020
Antimalware-Clientversion: 4.18.2007.8
Modulversion: 1.1.17300.4
Antiviren-Version: 1.321.2222.0
Antispyware-Version: 1.321.2222.0
Obwohl die "HOSTS" als Ausschluss definiert wurde – verschiebt die "Schnellprüfung" Sie Heute in Quarantäne, nur mit Hintergrundmeldung im Info-Center – unglaublich dieses penetrante gehabe!
Was für eine Firma…🚽
Unter "WINDOWS 10" kann man sich endgültig keiner Einstellung eines lokalen System mehr sicher sein.
Meine Meinung:
Ein untragbares Betriebssystem, was die Sicherung lokaler Gegebenheiten angeht, die ändern was Ihnen gerade in den Kram passt – aber das ist ja nichts neues.
Von mir auch ein Erfahrungsbericht zur Datei 'hosts'. Ich hatte am 19.8. (also bereits nach Veröffentlichung dieses Artikels) eine Vorabversion von Windows 10 (20197, also die zukünftige '21H1' und damit ziemlich 'frisch') testhalber installiert. Ich benutze eine modifizierte hosts-Datei. Seither hat mich der Defender im August noch zweimal, im September dreimal und jetzt zum 1.10. erneut daran erinnert, dass die hosts-Datei eine schwere Bedrohung darstellt. Jedesmal muß ich ihm sagen, dass er diese 'Bedrohung' zulassen kann und er versichert mir, dass ich diese Bedrohung zugelassen habe und diese zukünftig nicht behoben werden wird. Dazu erscheint dann im Verlauf immer die vorwurfsvolle Bezeichnung 'Wartung unvollständig'. Mir kann doch niemand erzählen, dass sowas nur ein zufälliger Bug sein soll. Noch nie wurde ich wegen einer sonstigen 'Bedrohung' vom Defender nochmal bedrängt. Hier bereits zum 7. mal seit Installation (wobei ich dieses System seither nur an ca. 20-25 Tagen benutzte). Microsoft scheint sich sehr daran zu stören, dass in der hosts-Datei auch Microsoft-Adressen stehen und hat wohl den Defender entsprechend präpariert.
Dieser "Fehler" existiert wohl nicht in alles Windows 10 Versionen.
Unter LTSC 2019 Build 17763.1637 mit allen Updates (auch Defender) kann die Hosts Datei normal editiert und gespeichert werden. Auch mit den URL's aus dem Artikel.
Defender hat nichts zu meckern. Vielleicht ist dies für einige interessant.
MfG