Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3

[English]Microsoft hat damit begonnen, in seinen Antivirus-Produkten wie dem Microsoft Defender Umleitungen in der Windows-eigenen hosts-Datei, die Microsoft-Seiten betreffen, als schädlich einzustufen, als  HostFileHijack zu kategorisieren und zu blockieren. Ich hatte das bereits in Teil 2 der Artikelserie angesprochen – jetzt ergibt sich aber ein vollständigeres Bild.


Anzeige

Die hosts-Datei in Windows

In Windows gibt es die hosts-Datei, eine einfache Textdatei, die sich in folgendem Ordner befindet.

C:\Windows\System32\drivers\etc\hosts

Windows ermöglicht Administratoren über die hosts-Datei recht einfach Umleitungen von Host-Namen auf IP-Adressen einzurichten. Einige Nutzer verwenden Einträge in der hosts, um Microsoft Netzwerkadressen, an die Telemetriedaten übertragen werden, auf die lokale IP-Adresse 127.0.0.0 umzuleiten. Dann kann der betreffende Microsoft-Server nicht mehr erreicht werden.

Microsoft schiebt einen Riegel vor

Dieser Ansatz wird jetzt durch Microsoft auf Systemen, auf denen der Windows Defender (oder eine andere Microsoft Antivirus-Lösung) läuft, wohl unterbunden. Ich hatte im Blog-Beitrag Windows Defender bemängelt Windows Hosts-Datei – Teil 2 berichtet, dass der Microsoft Defender die Windows-eigene hosts-Datei als schädlich betrachtet und als  HostFileHijack bemeckert. Das Ganze passiert seit dem 28. Juli 2020 mit folgenden Komponenten:

Antimalware-Clientversion: 4.18.2006.10
Modulversion: 1.1.17300.4
Antiviren-Version: 1.321.144.0
Antispyware-Version: 1.321.144.0

Der Blog-Leser, der das beobachtet hat und einen Tipp gab, schrieb dazu noch: Da hat wohl erst jetzt jemand bemerkt das Statistik, Telemetrie, Bing… gewisser Clients nicht mehr zuverlässig ankommt. Die letzte Information war für mich noch nicht so ganz fassbar, auch wenn Blog-Leser Info inzwischen diesen Kommentar in Teil 2 nachgetragen hat. Das Gleiche gilt für die Bemerkungen von Mark Heitbrink in seinem gestrigen Kommentar. Das ist mir erst nachträglich bewusst geworden, als die nachfolgenden Puzzleteile ins Bild fielen. Daher fasse ich das nachfolgend nochmals zusammen.

Defender blockt bei umgeleiteten Microsoft-Seiten

Ich habe die Nacht auf Twitter mit Lawrence Abrams von Bleeping Computer in einer privaten Kommunikation über das Thema diskutiert. Er war über die englischsprachige Fassung meines Beitrags auf den Sachverhalt aufmerksam geworden. Also hat er sich das Ganze nochmals vorgenommen, getestet und ist auf einige Zusammenhänge gestoßen. Dazu hat Lawrence nun einige ergänzende Informationen auf Bleeping Computer veröffentlicht.


Anzeige

Der obige Tweet fasst den Sachverhalt schon zusammen. Stößt der Microsoft Virenscanner auf eine Manipulation in der Datei hosts und erlaubt man dem Microsoft Defender die Datei zu löschen, wird deren Inhalt auf default-Einstellungen zurückgesetzt. Dann hat Lawrence Abrams meinen Hinweis, dass einige Nutzer die hosts-Datei nutzen, um Microsoft-URLs zu blockieren, getestet.

Der obige Tweet legt dann die Erkenntnis offen. Versucht ein Administrator Microsoft-Webseiten über die hosts-Datei zu blockieren, schlägt der Defender an und meldet ein Risiko. Das Speichern der Änderungen wird im Editor mit einer Fehlermeldung abgelehnt.

Fehlermeldung beim Speichern der hosts-Datei
(Fehlermeldung beim Speichern der hosts-Datei, Quelle: Bleeping Computer)

Die Meldung besagt, dass die Datei ein Virus oder eine potentiell unerwünschte Software enthalte – dabei ist die hosts eine Textdatei. Jedenfalls können die Änderungen nicht gespeichert werden. Lawrence Abrams hat unter anderem folgende Microsoft-Seiten gefunden, die nicht in die hosts eingetragen werden dürfen.

www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com

Denn dann schlägt der Defender Alarm und verhindert das Speichern. Nutzer, die diese URLs in der hosts-Datei pflegen möchten, müssen dann die Datei im Defender als Ausnahme definieren und von der Prüfung ausnehmen (siehe auch Teil 2). Dann überwacht der Defender aber auch keine Manipulationen der hosts-Datei durch Malware. Und damit fällt mein fehlendes Puzzleteil aus obiger Nutzeranmerkung ins Bild. Microsoft geht gezielt dagegen vor, dass bestimmte URLs über die hosts-Datei geblockt werden.

Anmerkung: Es gibt einen alten Support-Beitrag 2764944 zu Windows 8, wo Microsoft anmerkt, dass so etwas 'unbeabsichtigt' im Defender passieren könne. Das trifft aber den aktuellen Fall nur unzureichend.

Ergänzung: Es gibt ja den Verdacht, dass Microsoft das Blockieren von Telemetriedaten unterbinden will – ich bin mir da nicht mehr so sicher (siehe auch die nachfolgenden Diskussionen). Wer Telemetrie im Enterprise-Umfeld konfigurieren will, den verweise ich auf den Artikel Windows 10 Telemetrie und Diagnosedaten richtig abschalten von Mark Heitbrink. Der hat den Stand Ende Juli 2020 und räumt mit einigen Mythen auf. Vielleicht hilft es weiter.

Ergänzung 2: Blog-Leser Andreas E. hat mich zudem noch auf diesen Microsoft-Beitrag hingewiesen, wo die Einstellungen zur Konfiguration der Verbindungen zwischen Clients und Microsoft-Servern dokumentiert sind – danke dafür.

Ähnliche Artikel:
Windows Defender markiert CCleaner als PUP – Teil 1
Windows Defender löscht Windows Hosts-Datei – Teil 2
Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

40 Antworten zu Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3

  1. Mira Bellenbaum sagt:

    Bei mir wird ohne jede Fehlermeldung,
    wenn ich eine der oben genannten URLs eintrage,
    die host neu angelegt!

    Der Text "meiner" Datei ist deutsch!
    "# Copyright (c) 1993-2009 Microsoft Corp.
    #
    # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
    # für Windows 2000 verwendet wird."

    Der Text der "Neuen" ist dann Englisch.

    Das ist nicht die feine Art!

  2. 1ST1 sagt:

    Das ist wirklich nicht schön. Auch wenn ich die Telemtrie als etwas gutes bewerten würde, wenn ich genau wüsste, dass sie wirklich nur Diagnosedaten (Hardware-Config, Fehler im Eventlog, Logs von Bluescreens, etc.) sendet, um damit Windows zu verbessern, es bleibt immer noch mein PC und ich bestimme darüber, was die Kiste macht, und was nicht. Ich hoffe, mehr Portale greifen das Thema auf und Microsoft rudert hier zurück.

    MS kann diese Funktion aber gerne benutzen, um wirklich schädliche hosts Einträge zu erkennen, oder um dynamisch aktuelle Command&Control/Download-Server für Emotet & Co dort auf eine Warnseite zu verbiegen, wenn die Funktion schon mal da ist.

    • Günter Born sagt:

      Der Punkt, der mir bei dem Ganzen so auf den Sack geht: Microsoft kann ja vieles ändern – aber transparent, mit Vorankündigung und dokumentiert sowie begründet. War mal deren Anspruch (in diversen Blog-Posts des Windows-Managements rund um Windows Updates, siehe auch bei askwoody.com). MVP-Kollegin Susan Bradley (Patchlady) hat dann den Pinoccio-Meter definiert – hier mal zur Ansicht.

      Pinoccio meter - not transparent
      (Credits: Susan Bradley askwoody.com)

      Und das Ganze zieht sich wie Mehltau durch den ganzen Laden – egal wo Du hin fasst.

  3. Matthias sagt:

    Schon schlimm genug das Microsoft bestimmte URLs in der dnsapi.dll implementiert hat, die über die Hosts Datei nicht geblockt werden.
    Nun wird auch noch die Hosts Datei selbst, gegen Eintragungen von Telemetrie URLs geschützt. Aber da ich mittlerweile ein Pihole bei mir laufen habe, hat Microsoft trotzdem Pech. :D

    • Dat Bundesferkel sagt:

      Pi-hole ist gut, es reicht aber alleine nicht, da eben nur DNS geblockt wird. Des weiteren brauchst Du eine "externe" Firewall, die den direkten Aufruf von IP-Adressen sperrt.

  4. OwenBurnett sagt:

    Also das bestärkt mich nur in meiner Überzeugung das der MSFT Deffender nicht dazu da ist den Benutzer vor Malware zu schützen sondern die Software vor dem Benutzer.
    Das dabei auch so manche Malware auf der strecke bleibt und der Benutzer auch was davon hat ist lediglich ein Beiprodukt.

    Ganz ehrlich ein Antivirus sollte nur vor Malware schützen, aber doch nicht brauchbare Tools (ProcessHacker & alike) oder Patches/key-gens blockieren.

    Ein Patches/key-gen ist für den Benutzer sofern er/es nur das macht was es soll absolut keine Unwanted Software oder Malware, ganz im Gegenteil!
    Und in wie fern der Einsatz solcher Tools legalst ist ist des Benutzers privat sache.
    Spätestens wen er eine legal erworbene Software wegen abgeschalteter Aktivierungs-Server dazu bringen muss wieder zu funktionieren, wozu er ein recht hat, kann der Einsatz solcher Tools nicht mehr beanstandet werden.

  5. ibbsy sagt:

    Dank an Lawrence Abrams für die Aktualisierung der MS-eigenen "Schnüffelware" (siehe Liste oben im Text)!
    Indem man die hosts-Datei nach Eintragung der Schnüffelseiten auf "schreibgeschützt" setzt, müßte doch ein Eindringen "pöhser" Malware verhindert werden, auch wenn man sie für Defender unter Ausnahme laufen läßt oder sehe ich das falsch?
    (Habe leider gerade keine Zeit, das zu testen, weil ich gleich wegmuß.)

    Gruß an Günter und an alle Tüftler!

    • 1ST1 sagt:

      Ein Schreibschutzattribut, wie niedlich… Die Hosts-Datei kann ja generell nur von einem lokalen Admin geändert werden, für den ist es ja auch kein Problem, den Schreibschutz temporär mal rauszunehmen…

    • Günter Born sagt:

      Wie 1St1 anmerkt: Wer administrative Berechtigungen hat, kann das Attribut wieder zurücksetzen – und normale Benutzer haben keine Schreibberechtigung auf die hosts. Malware kann das also aushebeln. Was man mit dem Schreibschutz ausbügeln kann, ist das 'well behaved' software da nix reinschreibt.

  6. Stefan sagt:

    @Günter Born

    Die Blockierung bzw. Umleitung von Microsoft Adressen allein in der hosts Datei reicht leider nicht aus da die dnsapi.dll die Microsoft Adressen dennoch "durchwinkt".

    https://www.forum-3dcenter.org/vbulletin/showpost.php?p=10732341&postcount=75

    2016 habe ich mir mal die Arbeit mit einem Hexeditor gemacht und die Einträge aus der dnsapi.dll gelöscht. Erst danach wurden keine Daten mehr an Microsoft gesendet.

  7. konr002 sagt:

    Ich löste mein Problem seinerzeit damit, dass ich dem System alle Berechtigungen an der hosts-Datei entzog. Beim Microsoft Defender geht es einfacher. In der App „Windows-Sicherheit" kann man in den Einstellungen des Virenschutz unter „Ausschlüsse" eine Ausnahme für die hosts-Datei erstellen, dann bleiben die manuellen Anpassungen erhalten. Wird sie anschließend tatsächlich von einem bösartigen Programm manipuliert, bleibt das selbstverständlich unentdeckt. Für die tapferen Ritter der Telemetriedatenbekämpfung dürfte das allerdings unkritisch sein, denn sie beherrschen ihre Systeme perfekt und benötigen keine fremde Hilfe.

  8. HerrGott sagt:

    Also der Defender ist meines Erachtens nicht konsequent genug. Normalerweise ist das ganze Windows in der jetzigen Version eh ein "Virus" und wenn MS meint den User an die Leine legen zu müssen, nun es gibt andere Systeme.
    Und ja, mir geht MS zur Zeit fürchterlich auf den Sxxx.
    Und ja, ohne diesem Blog hier würde ich manchmal ziemlich dumm aus der Wäsche schauen. Dafür mein Dank an Herrn Born.

  9. Chris sagt:

    Auch wenn der Aufschrei hier groß ist, so sollte man berücksichtigen das es wirklich Schadsoftware gab die durch editieren der Host Datei dafür gesorgt hat das das System keine Windows Updates mehr bekommt. Und mit entfernen der Schadsoftware war garantiert nicht sichergestellt das auch die Host Datei wieder in den Ursprungszustand versetzt wurde.

    Und neben Schadsoftware gab es auch diverse Wareztools die gerne mal die Host Datei umgebogen haben um bei gecrackter Software die Kommunikation zum Hersteller zu unterbinden. Und genau diese Fälle poppen dann negativ in Foren auf das die Windows Updates nicht funktionieren und wie schlecht Windows doch ist…..

    Daher finde ich es durchaus ein richtigen, wenn auch sehr späten Schritt den MS hier geht, allerdings hätte MS sich beim blocken nur auf' die URLs für die reine Updatefunktion Beschränken und Telemetrie außen vor lassen sollen.

    • Mira Bellenbaum sagt:

      MS hätte a. den Nutzer informieren sollen, b. den Nutzer Fragen können und sollen. Es ist Scheiße, wenn grundlegende Dinge von MS an meinem System einfach so geändert werden!

      • gpburth sagt:

        wieviel Prozent der Benutzer hätten mit dieser Nachfrage etwas anfangen können?
        Die allermeisten Benutzer hättest Du damit noch mehr Richtung "einfach alles abnicken" erzogen……

  10. Herr IngoW sagt:

    Die Aufstellung der MS-Seiten ist interessant, kann man ja auch woanders sperren, auch ohne Hosts-Datei.

  11. Info sagt:

    Was soll es…

    Das ganze Theater zeigt doch wie es ist!
    ◾Microsoft hat hierbei kein großes Interesse eine schadhafte Malware Attacke abzuwehren…
    ◾Will nur die allseits fragwürdigen Windows-Funktionen möglichst erhalten…

    Bei "richtiger Funktion" würde der "Echtzeit-Scanner" einen "Veränderungsversuch" an der "aktuell bestehenden Datei" registrieren und diesen Versuch vorerst mit Meldung blockieren. Dann aber auch eine Möglichkeit bieten die Änderung zu übernehmen – wenn die Rechte vorliegen!

    Der Inhalt ist da erst einmal zweitrangig und evtl. ein Hinweis-Kriterium.

    Nicht grundsätzlich nur den Schutz zu deaktivieren – bullshit. Aber das hieße ja dem Nutzer eigene Optionen zu lassen und das ist alles Andere als die Philosophie von W10.

  12. Info sagt:

    Unglaublich 00:00 Uhr – 05.08!

    Am 28.07 "HostFileHiJack", nicht direkt die Aktion auf der Hauptseite bestätigt sondern über den Schutzverlauf die Aktion zulassen gewählt – deswegen wurde die HOSTS nicht zurückgesetzt!

    Am 05.08 00:00 Uhr erneut – soll das jetzt so weiter gehen und werden die Optionen des Schutzverlauf ignoriert!!!

    Die spinnen… (so nebenbei, gibt es hier noch andere Vorkehrungen…)

    ——————————

    Damit wirft es Heutzutage grundsätzlich die Frage auf – darf man ein Betriebssystem mit dem Schutzprogramm und der Software-Firewall des Herstellers betreiben? – wohl eher nicht mehr.

    • Info sagt:

      Weiter geht's – die Antimalware-Clientversion erhielt ein Update.
      Antimalware-Clientversion: 4.18.2007.8

      Das hat die übliche wiederkehrende Bevormundung ausgelöst Dinge einzuschalten die vorsätzlich deaktiviert sind. Dazu gehört jetzt wohl auch regelmäßig das Thema "HostFileHiJack".

      ◾Cloudbasierter Schutz
      ◾Automatische Übermittlung von Beispielen
      ◾Manipulationsschutz
      ◾HostFileHiJack

      Man könnte darüber lachen wenn es nicht so jämmerlich wäre…

      • Info sagt:

        Es wird wohl jetzt täglich bei einer Schnellprüfung(Manuelle/Automatische) "HostFileHiJack" trotz [VORIGER ZULASSUNG] im Schutzverlauf(Angebotene Standard Aktion ist zurücksetzen der Host) moniert! …🚽

        Bei einer so unzulänglichen Schutz-Software die bei einer angepassten HOSTS Datei nur einen RESET oder manuellen [GENERELEN AUSSCHLUSS] dieser Datei von der Prüfung zulässt – ist es wohl Zeit auf eine Andere Schutz-Lösung auszuweichen.

        Bei einem Ausschluss findet kein Malware-Schutz für diese Datei mehr statt. Wobei ich die Funktion mit dem "Generellen Ausschluss", ohne erneute Meldung, jetzt noch nicht einmal bestätigen kann – abwarten…

        • Günter Born sagt:

          Hatte gestern Abend die Meldung eines Lesers, der meinte:

          das Problem mit dem Defender und der Hostsdatei SettingsModifier:Win32/PossibleHostsFileHijack,
          hat sich offensichtlich erledigt.
          Microsoft hat eine neue neue Version Antivirus-Antischadsoftwareplattform – KB4052623 (Version 4.18.2007.8) bereitgestellt. Der Fehler mit der Hosts ist nicht mehr vorhanden.

          Antimalware-Clientversion: 4.18.2007.8
          Modulversion: 1.1.17300.4
          Antiviren-Version: 1.321.679.0
          Antispyware-Version: 1.321.679.0
          am 5.8.2020 8:45 kam folgendes Update
          Installation erfolgreich: Das folgende Update wurde installiert. Update für Microsoft Defender
          Antivirus-Antischadsoftwareplattform – KB4052623 (Version 4.18.2007.8)

          Hab auf meiner Maschine getestet – ein Update kam, die obigen Versionsstände habe ich unter Win 10 V1909 – aber der Defender meckert weiter. Irgendjemand, bei dem nichts mehr bemängelt wird?

          • Info sagt:

            Das ist die von mir angesprochene Version.

            …möglicherweise hatte er aus versehen vorher einmal "AKTION" bestätigt und die HOSTS wurde bereits unbemerkt einem RESET unterzogen.

            Es ist ja auch auffallend – das "Sicherheitsdashboard" ist hinterhältig in der Auslegung der Bedienung. Wenn man auf der Hauptseite(Niemals tun!) nach einer Prüfung oder Versions-Update einen AKTION Knopf drückt wird alles wieder eingeschaltet oder eben resettet.

          • Trillian sagt:

            Moin Herr Born!

            Ist zwar nur Microsoft Security Essentials unter Windows 7, aber aktuell ist das Feature "HostFileHiJack" wieder deaktiviert.

            Antimalware-Clientversion: 4.10.209.0
            Modulversion: 1.1.17300.4
            Virendefinition: 1.321.732.0
            Antispywaredefinition: 1.321.732.0
            Version des Moduls des Netzwerkinspektionssystems: 2.1.14600.4
            Version der Definition des Netzwerkinspektionssystems: 119.0.0.0

        • Info sagt:

          >Wobei ich die Funktion mit dem "Generellen >Ausschluss", ohne erneute Meldung, jetzt noch nicht >einmal bestätigen kann – abwarten…

          Bei der Prüfung gibt es dann "nur" jedes mal eine Benachrichtigung im Info-Center – so wie die Meldung für die nicht stattgefundene Freigabe-Prüfung,,,
          [Während der Prüfung übersprungene Elemente]

          Das ändert aber nichts an der Tatsache der unzulänglichen Schutz-Software!

  13. colnas sagt:

    reichte es nicht, in dem Moment, wo defender auf die 'hosts' zuschnappt, die betreffende Datei zu zu lasssen unter 'alles gefundene' (oder wie das heißt) – und danach diese Datei sofort aus der Quarantäne wiederherzustellen?!
    Sollte doch, wenn zugelassen, dauerhaft sein oder verfällt das Attribut iwann? Und es würde die Überwachung des ganzen Ordners nicht abgeschaltet, was, insgesamt betrachtet, ja eig. keine so wirklich gute Idee ist?!

  14. Trillian sagt:

    Moin @ All!

    Unter Windows 7 Systemen sind die Microsoft Security Essentials ebenfalls mit dem Feature "HostFileHiJack" gesegnet…

  15. kuf sagt:

    hier die Liste, die W10Privacy in die host schreibt:
    alpha.telemetry.microsft.com
    alpha.telemetry.microsoft.com
    asimov-win.settings.data.microsoft.com.akadns.net
    candycrushsoda.king.com
    ceuswatcab01.blob.core.windows.net
    ceuswatcab02.blob.core.windows.net
    choice.microsoft.com
    choice.microsoft.com.nsatc.net
    co4.telecommand.telemetry.microsoft.com
    cs11.wpc.v0cdn.net
    cs1137.wpc.gammacdn.net
    cy2.settings.data.microsoft.com.akadns.net
    cy2.vortex.data.microsoft.com.akadns.net
    db5.settings-win.data.microsoft.com.akadns.net
    db5.vortex.data.microsoft.com.akadns.net
    db5-eap.settings-win.data.microsoft.com.akadns.net
    df.telemetry.microsoft.com
    diagnostics.support.microsoft.com
    eaus2watcab01.blob.core.windows.net
    eaus2watcab02.blob.core.windows.net
    eu.vortex-win.data.microsft.com
    eu.vortex-win.data.microsoft.com
    feedback.microsoft-hohm.com
    feedback.search.microsoft.com
    feedback.windows.com
    geo.settings-win.data.microsoft.com.akadns.net
    geo.vortex.data.microsoft.com.akadns.net
    modern.watson.data.microsoft.com
    modern.watson.data.microsoft.com.akadns.net
    oca.telemetry.microsft.com
    oca.telemetry.microsoft.com
    oca.telemetry.microsoft.com.nsatc.net
    onecollector.cloudapp.aria.akadns.net
    onesettings-bn2.metron.live.com.nsatc.net
    onesettings-cy2.metron.live.com.nsatc.net
    onesettings-db5.metron.live.com.nsatc.net
    onesettings-hk2.metron.live.com.nsatc.net
    reports.wes.df.telemetry.microsoft.com
    self.events.data.microsoft.com
    settings.data.microsoft.com
    services.wes.df.telemetry.microsoft.com
    settings.data.glbdns2.microsoft.com
    settings-sandbox.data.microsoft.com
    settings-win.data.microsoft.com
    sqm.df.telemetry.microsoft.com
    sqm.telemetry.microsoft.com
    sqm.telemetry.microsoft.com.nsatc.net
    statsfe1.ws.microsoft.com
    statsfe2.update.microsoft.com.akadns.net
    statsfe2.ws.microsoft.com
    survey.watson.microsoft.com
    tele.trafficmanager.net
    telecommand.telemetry.microsoft.com
    telecommand.telemetry.microsoft.com.nsat­c.net
    telecommand.telemetry.microsoft.com.nsatc.net
    telemetry.appex.bing.net
    telemetry.microsoft.com
    telemetry.remoteapp.windowsazure.com
    telemetry.urs.microsoft.com
    tsfe.trafficshaping.dsp.mp.microsoft.com
    us.vortex-win.data.microsft.com
    us.vortex-win.data.microsoft.com
    v10.events.data.microsoft.com
    v10.vortex-win.data.microsft.com
    v10.vortex-win.data.microsoft.com
    v10-win.vortex.data.microsft.com.akadns.net
    v10-win.vortex.data.microsoft.com.akadns.net
    v10.vortex-win.data.metron.live.com.nsatc.net
    v10c.events.data.microsoft.com
    v10c.vortex-win.data.microsoft.com
    v20.events.data.microsoft.com
    v20.vortex-win.data.microsoft.com
    vortex.data.glbdns2.microsoft.com
    vortex.data.microsoft.com
    vortex.data.metron.live.com.nsatc.net
    vortex-bn2.metron.live.com.nsatc.net
    vortex-cy2.metron.live.com.nsatc.net
    vortex-db5.metron.live.com.nsatc.net
    vortex-hk2.metron.live.com.nsatc.net
    vortex-sandbox.data.microsoft.com
    vortex-win-sandbox.data.microsoft.com
    vortex-win.data.microsoft.com
    vortex-win.data.metron.live.com.nsatc.net
    watson.live.com
    watson.microsoft.com
    watson.ppe.telemetry.microsoft.com
    watson.telemetry.microsoft.com
    watson.telemetry.microsoft.com.nsatc.net
    wes.df.telemetry.microsoft.com
    weus2watcab01.blob.core.windows.net
    weus2watcab02.blob.core.windows.net

  16. Roman sagt:

    there is a very simple solution to that if you're so paranoid with telemetry…. simply install Bitdefender total security or any other security suite which general do better than Microsoft…. they still will scan and protect the host file and yet allow you to modify it. What Microsoft is doing is understandable… the average PC user wants flawless and secure PC experience and Microsoft is doing a great job doing it. You will always find a minority of annoyed PC enthusiasts in Microsoft… Linux and MacOS…. the world we live in 😁

    • Günter Born sagt:

      Amen …

      As a nasty guy: You aware, that Bitdefender has issues? Und you aware, the telemetry not necessary have something to do with paranoia, especially, if you run a business in European Union and you are operating unter GDPR? Won't answer to your illusion of a 'flawless and secure PC' delivered by MS. But don't mention the war (Monty Pyton).

  17. Volker sagt:

    Warum die hosts Datei editieren?
    Eigenen DNS Server nutzen (beispielsweise pi-hole.net) und somit auch für andere existierende Geräte im Netz derartige Kommunikation unterbinden.

    • Info sagt:

      Was in der HOSTS steht gilt (unter Windows) für WINDOWS/BROWSER/PROGRAMME/SONSTIGES primär, abgesehen anderer Tricks von denen ich jetzt einmal absehe.

      Weil das der einfachste Weg ist einen Rechner den Du durch die Gegend schleppst, und beispielsweise Mobil verwendest, dieses bereits beizubiegen bevor du eine "Mobile Verbindung" herstellst oder anderweitig mit einem Netz verbindest! Fraglich ob auf dem Gerät lokal ein DNS Proy-Server oder Anderes, mit System-Rechten und Blocklisten, bereits als erstes läuft – vor der Anmeldung.

      Oder bevor du dich überhaupt anmeldest, W10 für die Verwaltung der Mobilverbindung(NIC-Modus) autorisiert ist, bereits automatisch die Verbindung hergestellt wurde. Da ist noch kein anderer DNS in der Verbindung(NIC-Modus) händisch eingetragen.

      Mobile Verbindungen im "NIC-Modus" lesen die Daten der SIM und Verbinden dann zwangsläufig mit dem Provider DNS Servern. In den Verbindungen kannst Du unter Windows dauerhaft keine andere DNS Nutzung eintragen – die ist beim nächsten Neustart oder an/abstecken verschwunden! Das war bereits unter W7 so, in W10 noch viel unangenehmer seit Gerätemanager / Softwaregerät / Mobilfunk…

      Da sind sich Regierung/Provider/Microsoft oder wer auch immer, weitere Ausführungen spare ich mir jetzt, einig.

      Helfen tut da bei einer Mobil-Verbindung(SIM) nur der Aufbau als DFÜ/MODEM Verbindung – dort kannst du dauerhaft auf DNS-Server/"lokale DNS-Proxy-Server" konfigurieren. Nicht nötige Protokolle wie NetBios/WINS dauerhaft deaktivieren. ABER Microsoft hat für DFÜ-Verbindungen böswillig die "automatische Verbindungsmöglichkeit" unter W10 enfernt! Und – ob heutige externe Mobilfunk-Hardware noch den Modem-Modus unterstützen ist bereits immer fragwürdiger. Da kommen wir wieder zum vorigen Absatz.

      ——————————–

      Haken – DNS-Auflösung schön und gut. Letztendlich blockieren funktioniert im Härtefall nur über die bekannten IPs. Und so weiter – lästiges Thema bei dem verschiedene Gegebenheiten bedacht werden müssen…

      ——————————–

      Ist das warm…, keine Meinung mehr.

  18. Info sagt:

    [MICROSOFT IGNORIERT ANWENDER-EINSTELLUGEN]
    26.08.2020

    Antimalware-Clientversion: 4.18.2007.8
    Modulversion: 1.1.17300.4
    Antiviren-Version: 1.321.2222.0
    Antispyware-Version: 1.321.2222.0

    Obwohl die "HOSTS" als Ausschluss definiert wurde – verschiebt die "Schnellprüfung" Sie Heute in Quarantäne, nur mit Hintergrundmeldung im Info-Center – unglaublich dieses penetrante gehabe!

    Was für eine Firma…🚽

    • Info sagt:

      Unter "WINDOWS 10" kann man sich endgültig keiner Einstellung eines lokalen System mehr sicher sein.

      Meine Meinung:
      Ein untragbares Betriebssystem, was die Sicherung lokaler Gegebenheiten angeht, die ändern was Ihnen gerade in den Kram passt – aber das ist ja nichts neues.

  19. Karl sagt:

    Von mir auch ein Erfahrungsbericht zur Datei 'hosts'. Ich hatte am 19.8. (also bereits nach Veröffentlichung dieses Artikels) eine Vorabversion von Windows 10 (20197, also die zukünftige '21H1' und damit ziemlich 'frisch') testhalber installiert. Ich benutze eine modifizierte hosts-Datei. Seither hat mich der Defender im August noch zweimal, im September dreimal und jetzt zum 1.10. erneut daran erinnert, dass die hosts-Datei eine schwere Bedrohung darstellt. Jedesmal muß ich ihm sagen, dass er diese 'Bedrohung' zulassen kann und er versichert mir, dass ich diese Bedrohung zugelassen habe und diese zukünftig nicht behoben werden wird. Dazu erscheint dann im Verlauf immer die vorwurfsvolle Bezeichnung 'Wartung unvollständig'. Mir kann doch niemand erzählen, dass sowas nur ein zufälliger Bug sein soll. Noch nie wurde ich wegen einer sonstigen 'Bedrohung' vom Defender nochmal bedrängt. Hier bereits zum 7. mal seit Installation (wobei ich dieses System seither nur an ca. 20-25 Tagen benutzte). Microsoft scheint sich sehr daran zu stören, dass in der hosts-Datei auch Microsoft-Adressen stehen und hat wohl den Defender entsprechend präpariert.

  20. Toto sagt:

    Dieser "Fehler" existiert wohl nicht in alles Windows 10 Versionen.

    Unter LTSC 2019 Build 17763.1637 mit allen Updates (auch Defender) kann die Hosts Datei normal editiert und gespeichert werden. Auch mit den URL's aus dem Artikel.
    Defender hat nichts zu meckern. Vielleicht ist dies für einige interessant.

    MfG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.