Microsoft Defender schützt hosts-Datei vor Manipulation von Microsoft-Adressen

Microsoft Defender schützt hosts-Datei vor Manipulation von Microsoft-Adressen

In Windows steckt eine Datei, die dazu verwendet werden kann, eigene Regeln für die Namensauflösung von Internet-Adressen zu definieren. Erfahrene Nutzer kennen sie, die Datei trägt den schlichten Namen „hosts“ und liegt im Ordner \Windows\System32\drivers\etc.

Wie es scheint, wurde im Microsoft Defender unter Windows 10 in den vergangenen Tagen eine Neuerung eingeführt, welche die hosts-Datei vor der Umleitung von Microsoft-Adressen schützt. Entdeckt wurde diese Änderung von Nutzern, welche die hosts dafür benutzen, die Übertragung von Telemetriedaten an Microsoft zu verhindern. Sie stellten fest, dass die manuell vorgenommenen Änderungen, mit der sie die Adressen von Microsoft-Servern auf die lokale IP-Adresse 127.0.0.1 umleiten, um so die Übertragung der Telemetriedaten zu unterbinden, wieder rückgängig gemacht wurden.

Entsprechend verärgert reagierten die Betroffenen, unter ihnen machte sich auch schnell die Vermutung breit, Microsoft habe zu dieser Maßnahme gegriffen, um damit ganz gezielt die Datenübertragung zu erzwingen. Ich lehne mich mal aus dem Fenster und behaupte, dass Microsoft wegen dieser relativ betrachtet „Handvoll“ Nutzer keine solche Maßnahme ergreift.

Grundsätzlich kann ich an dieser Vorgehensweise auch nur Gutes finden. Microsoft kennt die Adressen seiner Server, wenn diese über die Hosts-Datei manipuliert werden, dann ist das grundsätzlich ein schädliches Verhalten, der vom Defender mit der Meldung „SettingsModifier:Win32/PossibleHostsFileHijack“ quittiert wird.

Kollege Günter Born hat die Thematik in seinem Blog aufgegriffen und ausführlich dokumentiert. Er hat auch die dazu passende Dokumentation bei Microsoft gefunden (hier und hier), die mich zunächst in meinem ersten Gedanken bestätigten: „Das ist doch gar nichts Neues“ dachte ich nämlich, als ich bei ihm davon las. Ich erinnerte mich, dass ich selbst vor Jahren einmal vor dem Problem stand, dass der Systemdateischutz eine gewollte Änderung an der hosts-Datei immer wieder rückgängig machte.

Der Tatsache, dass sich in den letzten Tagen die Meldungen häufen, entnehme ich jedoch, dass sich zumindest am Umfang der Überwachung etwas geändert haben muss. Möglicherweise hat Microsoft tatsächlich neue Adressen in die Liste aufgenommen und dabei eben auch jene integriert, die für die Telemetriedaten zuständig sind. Die hosts-Manipulierer mögen das vielleicht anders sehen, aber auch das finde ich richtig und sogar wichtig, schließlich muss verhindert werden, dass diese Daten möglicherweise unbemerkt an einen ganz anderen Empfänger umgeleitet werden.

Ich löste mein Problem seinerzeit damit, dass ich dem System alle Berechtigungen an der hosts-Datei entzog. Beim Microsoft Defender geht es einfacher. In der App „Windows-Sicherheit“ kann man in den Einstellungen des Virenschutz unter „Ausschlüsse“ eine Ausnahme für die hosts-Datei erstellen, dann bleiben die manuellen Anpassungen erhalten. Wird sie anschließend tatsächlich von einem bösartigen Programm manipuliert, bleibt das selbstverständlich unentdeckt. Für die tapferen Ritter der Telemetriedatenbekämpfung dürfte das allerdings unkritisch sein, denn sie beherrschen ihre Systeme perfekt und benötigen keine fremde Hilfe.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. Kann es sein, dass man im letzten Absatz ein winziges Fünkchen Sarkasmus erkennen kann?
    Das wäre fürchterlich. Ironie oder gar Sarkasmus wäre der Bedeutung des Themas völlig unangemessen ;-)
    Ich verbitte mir diese unverschämten Unterstellungen.
    Ich bin stets seriös und trage das sogar durch meine Kleidung zur Schau.
    Vielleicht sollte man mal grundlegend erklären, dass man mit 127.0.0.1 nur Sicherheitslücken schafft, und stattdessen 0.0.0.0 eintragen sollte. :rolleyes:
    127.0.0.1 ist localhost/loopback, interne Kommunikation. Während 0.0.0.0 als non-routable gilt.
    Neulich erst bei SpyBlöd and Desaster gesehen...
    Hab mich schon gewundert warum hier jeder 127.0.0.1 localhost schreibt, auch gestern schon beim Born hab ich mich gewundert.
    Also ich hab meine hosts Datei Editiert nicht nur um die Telemetrie zu blockieren nein ich Blocke damit auch Werbe Tracker keine Ahnung ob das Sinn macht aber bei Windows XP hat das schon Prima Funktioniert.
    Und mein Defender hat bisher auch nicht gemeckert.
    Auf BornsIT-Seite geht auch eine heftige Diskussion ab. Um 18.49 Uhr war dort der letzte Eintrag, dass es weitere Möglichkeiten gibt, Microsoft zu blockieren. Ich denke da an Einträge im Modem. Wie sinnvoll das ist, ist eine andere Sache.
    Das Problem bei den Leuten, die sich beklagen, ist jedoch: Die haben es nicht besser verstanden. Ich zitiere mal einen von den vernünftigen Stimmen:
    Beim Microsoft Defender geht es einfacher. In der App „Windows-Sicherheit“ kann man in den Einstellungen des Virenschutz unter „Ausschlüsse“ eine Ausnahme für die hosts-Datei erstellen, dann bleiben die manuellen Anpassungen erhalten. Wird sie anschließend tatsächlich von einem bösartigen Programm manipuliert, bleibt das selbstverständlich unentdeckt. Für die tapferen Ritter der Telemetriedatenbekämpfung dürfte das allerdings unkritisch sein, denn sie beherrschen ihre Systeme perfekt und benötigen keine fremde Hilfe.

    Und die Liste, die Born da anbietet, sorry, das ist ein Witz, ich hab hier gesammelte 162, die sind allerdings allesamt auskommentiert - und unbekannt, ob die überhaupt alle benötigt werden.
    Telemetrie hat seine Berechtigung, es gibt sogar vom Landesamt Bayern einenbericht zur Enterprise (1909), welche Inhalte da genau übermittelt werden. Allesamt pillepalle. Die müssen allerdings ihre Systeme DSGVO-konform gestalten, daher überhaupt diese Untersuchung.
    Wie auch angemerkt wäre es toller gewesen, man hätte dieses Feature besser oder früher angekündigt, und eine Option spendiert. So gibt es eben die bekannte Lösung und die funktioniert in jedem Windows 10. Viel Lärm um nichts bei den Verschwörungstheoretikern.
    Und Henry hat vor längerem mal herausgearbeitet, dass über die Telemetrie auch Mikropatches angewendet werden können. Fehler werden übermittelt, gesichtet, bearbeitet und die Insider als Versuchsgelände missbraucht. Und wenn funktioniert, wird das als Patch übermittelt. Wer Fehler hat und die Telemetrie abwürgt, tja - selbst schuld.
    Und aus meiner Sicht , ganz ehrlich - wer Microsoft - Official Home Page abwürgt, ist irgendwo selten dämlich.
    Ich stimme dir, .Bernd, zu. Die Telemetriedaten sind wichtig. Wie wichtig, weiß ich nicht. Interessant wäre es zu wissen, ob und wo es Abweichungen der Telemetrie in der Enterprise und Home Version gibt.
    Verschwörungstheoretiker: Irgendeiner würde immer meckern aber so müssen wir alle raten, was nach Redmond geht und was nicht. Ich kann das Ergebnis aus der Bayrischen Studie nicht in Frage stellen aber es stützt meinen Wunsch, dass Microsoft sich hier keine Schnitzer erlauben sollte. Immerhin ist es auf unser Vertrauen angewiesen.
    Also die Hosts-Datei nutze ich schon "ewig" als Werbeblocker. Da muß man
    keine Browsererweiterungen installieren und hat trotzdem seine Ruhe vor
    dem Werbemüll. Über Wickipedia: hosts (Datei) – Wikipedia
    findet man dazu auch diese Site.
    Blocking Unwanted Connections with a Hosts File
    Manuelle Änderungen wurden bislang aber nur *NICHT* übernommen, wenn man
    die Datei als normaler Nutzer bearbeitet. Startet man den Editor als Administrator
    wurden alle Änderungen übernommen und nichts zurückgesetzt. Allerdings muß ich
    auch sagen, dass ich mich um das gezielte umleiten/blockieren von MS-Adressen
    noch nie weiter gekümmert habe....und das auch zukünftig sehr wahrscheinlich
    auch nicht tun werde.
    Ich selbst hab da nichts geändert. Aber einige Router bieten ja da gewisse Möglichkeiten zum Blockieren. Da braucht man das nicht in Windows machen.
    Link: https://www.deskmodder.de/blog/2020/08/04/hosts-datei-mit-blockierten-microsoft-links-werden-vom-defender-als-win32-hostsfilehijack-angezeigt/#comments Da werden einige Möglichkeiten mit dem Router aufgezeigt und braucht da am PC (Windows selbst nichts zu verbaseln).
    Die Idee dahinter (Schutz der User) mag ja vielleicht ganz OK sein und die Absichten bei der ersten Idee gut gewesen sein. Die finale Variante und Kommunikation ist dann aber halt nur wieder typisch MS, wo man sich so wenig bis gar keine Mühe gibt die Umsetzung & Kommunikation im Sinn des Users zu gestalten. So lange die Leute weiter in Massen das OS nutzen (müssen) kann man sich das ja auch alles (noch) erlauben.
    Ich ärgere mich oft und heftig über die Kommunikation seitens Microsoft, aber in dem Fall frage ich mich, was sie hätten tun sollen?
    Der Schutz der hosts-Datei an sich ist keine Neuerung, man hat einfach ein paar zusätzliche URLs hinzugefügt, die unter besonderem Schutz stehen. Ich würde das mit einem Update der Virendefinitionen vergleichen, da gibt es auch kein Changelog.
    "Manipulation" finde ich nicht gut gewählt. Die Datei ist dazu da editiert zu werden! Noch sind wir nicht bei Apple.
    Wie oben schon steht hat MS eigene Domains schon länger aus der Auflösung über hosts ausgeschlossen - imo fragwürdig. Warum wurde diese zusätzliche Blockade dann eingeführt?
    Aber "Manipulation von Microsoft-Adressen" finde ich schon passend.
    Man könnte auch argumentieren, dass es eben wegen jener dnsapi.dll vorher nicht sauber umgesetzt war und es jetzt wenigstens konsequent ist
    Der PC gehört natürlich dem Nutzer mit allen Geräten und Programmen und Systemen, die er selber entwickelt und gefertigt hat.
    Ansonsten kauft er sich Lizenzen zur Nutzung oder Produkte, die von Anderen entwickelt und gepflegt werden.
    Eigentlich offensichtlich.
    Jaja, die edlen Ritter......
    Zum Blöcken nutzt man am besten eine externe Firewall. Das ist devinitiv sicher.
    Das Tragische ist nur, dass Vertreter dieser Streiter wider die Telemetrie auch den unbedarften Nutzern nahelegen, die Telemetrie abzustellen und das angeblich böse Microsoft auszuschließen, das nur spionieren wollte, und wer dem nicht zustimmt, der wäre auch ahnungslos oder naiv.
    Wenn diese unbedarften Nutzer dann mal Probleme haben und die edlen Streiter gerade keine Zeit haben, weil es Wichtiges zu tun gäbe, dann wird die ganze Schuld nur beim angeblich bösen Microsoft gesucht und ihm zugeschrieben.
    Deswegen richtet man als ehrlicher Helfer die PCs von Bekannten, Freunden und Verwandten mit weniger Ahnung vorzugsweise ohne derartige Abweichungen ein. Schon ein Ad- und Scriptblocker mit zu strengen Einstellungen stellt viele vor gehörige Probleme. Da darf man nicht immer das eigene Schutzniveau auch den anderen aufzwingen. Letztendlich muß so ein PC nämlich auch für Laien benutzbar bleiben. Selbstverständlich können dann Lücken entstehen, aber mehr als Aufklären über die Gefahren im Netz kommt schon einer Entmündigung gleich.
Nach oben