Microsoft Defender schützt hosts-Datei vor Manipulation von Microsoft-Adressen
-
Martin Geuß
- 4. August 2020
In Windows steckt eine Datei, die dazu verwendet werden kann, eigene Regeln für die Namensauflösung von Internet-Adressen zu definieren. Erfahrene Nutzer kennen sie, die Datei trägt den schlichten Namen “hosts” und liegt im Ordner \Windows\System32\drivers\etc.
Wie es scheint, wurde im Microsoft Defender unter Windows 10 in den vergangenen Tagen eine Neuerung eingeführt, welche die hosts-Datei vor der Umleitung von Microsoft-Adressen schützt. Entdeckt wurde diese Änderung von Nutzern, welche die hosts dafür benutzen, die Übertragung von Telemetriedaten an Microsoft zu verhindern. Sie stellten fest, dass die manuell vorgenommenen Änderungen, mit der sie die Adressen von Microsoft-Servern auf die lokale IP-Adresse 127.0.0.1 umleiten, um so die Übertragung der Telemetriedaten zu unterbinden, wieder rückgängig gemacht wurden.
Entsprechend verärgert reagierten die Betroffenen, unter ihnen machte sich auch schnell die Vermutung breit, Microsoft habe zu dieser Maßnahme gegriffen, um damit ganz gezielt die Datenübertragung zu erzwingen. Ich lehne mich mal aus dem Fenster und behaupte, dass Microsoft wegen dieser relativ betrachtet “Handvoll” Nutzer keine solche Maßnahme ergreift.
Grundsätzlich kann ich an dieser Vorgehensweise auch nur Gutes finden. Microsoft kennt die Adressen seiner Server, wenn diese über die Hosts-Datei manipuliert werden, dann ist das grundsätzlich ein schädliches Verhalten, der vom Defender mit der Meldung “SettingsModifier:Win32/PossibleHostsFileHijack” quittiert wird.
Kollege Günter Born hat die Thematik in seinem Blog aufgegriffen und ausführlich dokumentiert. Er hat auch die dazu passende Dokumentation bei Microsoft gefunden (hier und hier), die mich zunächst in meinem ersten Gedanken bestätigten: “Das ist doch gar nichts Neues” dachte ich nämlich, als ich bei ihm davon las. Ich erinnerte mich, dass ich selbst vor Jahren einmal vor dem Problem stand, dass der Systemdateischutz eine gewollte Änderung an der hosts-Datei immer wieder rückgängig machte.
Der Tatsache, dass sich in den letzten Tagen die Meldungen häufen, entnehme ich jedoch, dass sich zumindest am Umfang der Überwachung etwas geändert haben muss. Möglicherweise hat Microsoft tatsächlich neue Adressen in die Liste aufgenommen und dabei eben auch jene integriert, die für die Telemetriedaten zuständig sind. Die hosts-Manipulierer mögen das vielleicht anders sehen, aber auch das finde ich richtig und sogar wichtig, schließlich muss verhindert werden, dass diese Daten möglicherweise unbemerkt an einen ganz anderen Empfänger umgeleitet werden.
Ich löste mein Problem seinerzeit damit, dass ich dem System alle Berechtigungen an der hosts-Datei entzog. Beim Microsoft Defender geht es einfacher. In der App “Windows-Sicherheit” kann man in den Einstellungen des Virenschutz unter “Ausschlüsse” eine Ausnahme für die hosts-Datei erstellen, dann bleiben die manuellen Anpassungen erhalten. Wird sie anschließend tatsächlich von einem bösartigen Programm manipuliert, bleibt das selbstverständlich unentdeckt. Für die tapferen Ritter der Telemetriedatenbekämpfung dürfte das allerdings unkritisch sein, denn sie beherrschen ihre Systeme perfekt und benötigen keine fremde Hilfe.
Thema:
- Sicherheit
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!
