Windows 10 считает файл hosts вредоносным, если тот блокирует телеметрию

Слабаки, почему они просто его не игнорят?

В эпоху микросервисов это будет слишком много фич в одном процессе

M$ совсем уже охренел. Все эти обновления, телеметрия и прочие сетевые штуки которые непонятно куда лезут и непонятно что творят в интернете уже сами всё больше ведут себя как типичные трояны.

Дойдёт до того что в службу обновления и телеметрию встроят какой-нибудь VPN или клиент TOR для обхода файрволов и возможных пользовательских блокировок.

Да нет, у меня почему то не считает. Аааа пажжи, это Windows defender так считает? Так это не виндовс, это антивирус такой. Я его сразу выпиливаю

С добрым утром, vpn до серверов MS есть давно. В семёрке уже точно есть.

Всё правильно, надо делиться.

Любой меч, мечтает пробить щит.

Неправильный заголовок, надо «встроенный в винду антивирус стал настолько хорош, что триггерится на одно лишь упоминание встроенной в винду же спайвари».

Уже прогресс. Одно время считал вредоносным любые отличия от дефолтного.

Так это не виндовс, это антивирус такой.

Он должен был бороться со спайварью а не защищать ее)

Не, свой обход - это не дно. Можно ещё из виртуалки за интернетом бегать и в расковыривать линух разделы с целью внедрить троянца

Если уж очень нужно потыкать это палкой, то

qemu ... -netdev user,id=net1,restrict=on ...

Интересно, когда оно перестанет запускаться без доступа в инет? :)

Он должен был бороться со спайварью а не защищать ее)

Антивирусы давно скурвились. Еще когда повадились кряки записывать во вредоносный софт.

Интересно, когда оно перестанет запускаться без доступа в инет? :)

Наверное с Windows 10X, хотя частично уже сейчас могут быть проблемы, если пропустить без доступа в интернет все сроки для обновлений.

Хотел поставить Windows 10 в Xen, чтобы пробросить видеокарту и поиграть в игры. А хрен после этой темы поставлю. Вернее, поставлю, но в интернет не пущу, буду оффлайн играть.

Всё правильно делают.

Вообще на самом деле так «Windows 10 считает файл hosts вредноносным, если он блокирует доступ к серверам MS».

А это же и получение секурных апдейтов и определений для встроенного антивируса.

kek

4.2 не телеметрию а microsoft. И да, в большинстве случаев выглядит имеенно как атака.

Вернее, поставлю, но в интернет не пущу, буду оффлайн играть.

Можешь выкачать список IP адресов серверов сбора телеметрии и блокировать к ним доступ через iptables/nftables.

По ссылке на новость есть этот список, попробую. А вообще для винды проще сделать белые списки, чем чёрные.

выпиливай антивирь мсовский и не ной, с точки зрения дистрибутива, он очень правильно сделан, с точки зрения любителей халявы конечно нет.

и так на заметку, любой другой антивирь тоже потребует создать исключение из правил для модификации хост. увы малварь засрала доступ к этому инструменту давным давно

Можешь выкачать список IP адресов серверов сбора телеметрии и блокировать к ним доступ через iptables/nftables.

Вот всегда было это интересно. Ну заблочил ты определенные айпишники, на которые в данный момент льется телеметрия. А потом прилетела обновка и все, оно шлет уже на другие.

Можно вкорячить свой dns-сервер и заставить его вести ipset с результатами резолвингов неугодных хостов.

Можно вкорячить свой dns-сервер и заставить его вести ipset с результатами резолвингов неугодных хостов.

И все это ради того, чтобы просто пользоваться ОС? Дичь какая-то…

Нет конечно, никто не говорит, что это адекватное решение для данной ситуации.

Еще когда повадились кряки записывать во вредоносный софт

Вроде как не все кряки попадали под раздачу. Учитывая, что в кряках часто были трояны и прочая дрянь, смысл до них докапываться был.

заблочил ты определенные айпишники, на которые в данный момент льется телеметрия

У майкрософта аж своя подсеть. Можно заблочить ее и выборочно разрешить исходящий трафик на сервера обновлений (ip+port).

Пришло в голову, что можно интереснее сделать. Телеметрия ведь передается по зашифрованному каналу. И вряд ли для этого используется туева хуча сертификатов. Совсем хорошо, если телеметрия, апдейты и просто доступы к сайту с разными сертификатами идут.

Следовательно надо настроить проверку с каким сертификатом кто-то ломится и обрывать доступ, если это телеметрический.

Проблема, что я не знаю как это стандартными средствами iptables/nftables, подозреваю, что никак.

В принципе, можно попробовать mitmproxy и sslsplit, а дальше уже смотреть, что там за трафик.

Как там доступность проверяется? Можно ли надурить систему завернув эти адреса на локальный вебсервер, складывающий входящие данные в /dev/null и отвечающий "все ОК, 200"?

Все началось, когда переименовали ярлычок «Мой компьютер»

А потом прилетела обновка и все, оно шлет уже на другие.

А зачем обновки качать?

Можно вкорячить свой dns-сервер

Можно отрубить NAT и вкорячить свой proxy-сервер (с чёрным\белым списком хостов), настроив в него только нужные программы типа браузера.

А зачем обновки качать?

Ну вот тоже хороший вопрос, да. Правда, говорят, что десятка их сама по себе качает.

Она не сможет что бы о ни было качать, если не будет знать откуда это делать. Настраиваете на своём роутере (сервере) проксю и убиваете в 10-ке Default gateway. В проксю запускаете только нужные вам приложения. Если что-то не умеет в проксю самостоятельно, используете проксификаторы типа SocksCap64. В настройках самой 10-ки проксю не указываете.

Не, не считает :) Ты ей воли не давай прост — обновляться автоматом не давай :) И скайпу не давай обновляться :)

Пусть что хочет, то и считает. Все сетевые настройки уносим на сторонее оборудование — роутер, сервер. На прямую в провайдера не пускаем.

Это уже все превозмогание уровня qubes os. Жить так может и можно, но нужно-ли ? Ну и не весь софт так можно обернуть в проксю. Я вот юзаю visual studio и mssql и разрабатываю облачный софт. Без полноценного интернета это делать ой как непросто. А венда все добавляет и добавляет новые проверки и скрытые механизмы для включения выключннных обновлений. Я так месяц назад отошёл в сортир на 20 минут, возвращаюсь а оно мне новую версию венды уже ставит. И вот как тут быть…

Жить так может и можно, но нужно-ли ?

У меня всё ok.

а оно мне новую версию венды уже ставит…

Мне не ставит.

Ну и не весь софт так можно обернуть в проксю.

Почему? В проксе метод CONNECT на каких портах разрешён?

юзаю visual studio и mssql…

Не использую, не знаю. Попробуйте их в SocksCap64+прокся вида Socks5 запустить.

Мне не ставит.

Мне до этого тоже ничего не ставил, т.к я всё поотрубал. Ну или я так думал. Как именно он мне снова включил обновления - я хз, но сделал это в неподходящий момент (а при автоматической установке - подходящих моментов и быть не может).

Поставь себе LTSC или тебе уперлось лицуху иметь?

или тебе уперлось лицуху иметь?

Я не уверен не будет-ли проблем с лицензионным visual studio enterprise который мне даёт работодатель и пиратской вендой LTSC. Вроде ведь они одни и те-же механизмы валидации лицензии используют. Но это не точно.

Гарантии что проблем не будет, конечно никто не даст. Но все же они маловероятны, а вот что где-то зафиксирован будет такой факт - это да. Тут тогда уже или все от MS пиратское или все лицензионное.

Мне до этого тоже ничего не ставил

Если

ping microsoft.com Обмен пакетами с microsoft.com [13.77.161.179] с 32 байтами данных: Общий сбой. Общий сбой. Общий сбой. Общий сбой.

Статистика Ping для 13.77.161.179: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь)

{+redirect{http://localhost/}
} cat /var/log/privoxy/logfile | grep microsoft 2020-08-05 17:31:53.029 804996e00 Crunch: Redirected: https://update.microsoft.com/

то оно точно ни как не сможет. Много лет(!) ни каких попыток. Даже в privoxy правило, не нужно, так просто написано, на всякий случай. ;)

т.к я всё поотрубал. Ну или я так думал.

Если нет механизмов позволяющих отслеживать весь трафик к/от провайдера, то нет оснований считать достоверным, что что-то отключено.

Всё правильно делают.

сделай уж следующий шаг. затребуй эту важную фичу в Linux! неважно, что нет телеметрии, «это же и получение секурных апдейтов».

не нужно. им пользуются красноглазые гики, поэтому приглядывать по безопасности не имеет смысла

В 2020 прокси везде настраивать? проще уж ipset.

Виндузятники должны страдать, не? :)

ну хорошо, уел:) но зачем вы тогда толкаете нам макоподобный интерфейс для гомо-индивидов ака гном3.)

В 2020 прокси везде настраивать?

А их уже отменили? :)

проще уж ipset

Оно же вроде бы по IP блокирует? Не?