Windows Defender blokkert wijzigingen in hosts-file
Als je aanpassingen aan het hosts-bestand in Windows 10 gedaan gedaan had om te voorkomen dat de telemetriefuncties berichten doorsturen, kwam je begin augustus voor een verrassing te staan: de virusbeschermer Defender verbiedt nu om daar Microsoft-hosts in te voeren. Gelukkig zijn er andere en betere manieren om Windows 10 tot zwijgen te brengen.
Begin augustus heeft Microsoft het gedrag van de standaard virusbeveiliging Defender zodanig veranderd dat hij alarm slaat als de gebruiker of een programma hostnamen van Microsoftservers invoert in het hostsbestand, zoals update.microsoft.com. Maar wat betekent dat? In de folder c:\windows\system32\drivers\etc staat een eenvoudig tekstbestand genaamd hosts (zonder extensie), waarmee je voor Windows de bij IPadressen behorende hostnamen kunt aangeven. Windows gaat van de namen in dit bestand dan niet bij een DNSserver om het bijbehorende IPadres vragen, maar gebruikt rechtstreeks het IPadres dat in het hostsbestand wordt genoemd.
Elke keer dat een hostnaam moet worden omgezet naar een IPadres, scant Windows eerst de items in het hostsbestand. Als de lijst extreem lang is, heeft dat niet alleen gevolgen voor de netwerktoegang, maar ook voor het opstarten van het systeem – vooral op oudere, minder snelle pc’s.
Het hostsbestand is vooral nuttig als er geen DNSservice beschikbaar is of als servers geen vermelding hebben in het DNS. Je kunt bijvoorbeeld individuele hostnamen definiëren voor computers of netwerkopslag in het bedrijfs of thuisnetwerk. Maar aanvallers kunnen misbruik maken van het hostsbestand. Zo kan een actieve malware die nog niet door je antivirus gevonden is, proberen omleidingen in te stellen naar het ongeldige IPadres 0.0.0.0 in het hostsbestand voor hostnamen die horen bij antivirus of Windows updateservers. Als gevolg daarvan zal het antivirusprogramma of Windows zelf geen updates meer ontvangen, omdat alle updatepogingen in het nirwana uitkomen – een van de manieren waarop malware zich verbergt voor detectie.
Op dezelfde manier zou een bankingtrojan kunnen proberen de online bankadressen van de gangbare banken om te leiden naar nepwebsites. Dit soort aanvallen worden idealiter gedetecteerd door antivirussoftware.
WAT IS ER NU ANDERS?
Sinds kort schaalt Defender verschillende items in het hostsbestand in als kwaadaardig, die van invloed zijn op Microsoftgerelateerde hostnamen. En Defender gaat daar ver in: het voorkomt die vermeldingen niet alleen, maar zet het bestand ook terug naar de standaardinstellingen en verwijdert alle individuele vermeldingen. Ook komen hiermee allerlei aanpassingen onder vuur te liggen die voorheen werden beschouwd als een goede manier om de communicatie van de Windowstelemetriefuncties naar Microsofts servers te blokkeren. Hoewel het nooit het doel van het hostsbestand is geweest om als blokkeerder te dienen, is dat toch heel handig: buig de ongewenste telemetriedoelen om naar 0.0.0.0 en klaar is kees.
Bij onze tests greep Defender niet in bij alle hostnamen die Microsoft zelf als telemetriedoelen gedocumenteerd heeft (zie de tabel op de volgende pagina). Dat komt ook doordat je er nooit zeker van kunt zijn dat er geen andere servers zijn die ook geblokkeerd zouden moeten worden.
Enerzijds is de wens van Microsoft begrijpelijk om interventies te voorkomen die van invloed zijn op haar servers. Men wil ervoor zorgen dat het besturingssysteem zonder problemen met het thuisfront kan communiceren – om ervoor te zorgen dat je updates kunt krijgen, maar ook om een soepele werking van allerlei cloudgebaseerde diensten zoals online malwarescanners, OneDrive en het Microsoft gebruikersaccount te garanderen.
Aan de andere kant wekt zo’n bescherming van telemetrieadressen natuurlijk ook argwaan. Microsoft wil de vrijgave van telemetriegegevens blijkbaar ook afdwingen bij gebruikers die het versturen ervan tot nu hebben verhinderd via het hostsbestand. Er bestaan databeschermingstools zoals W10Privacy, die op verzoek de juiste gegevens in het hostsbestand instellen.
Het ligt voor de hand om het hostsbestand uit te sluiten van controle door Defender. Dat zou echter het nadeel hebben dat het bestand niet langer beschermd zou zijn tegen daadwerkelijke kwaadwillige veranderingen. Als je desondanks die weg toch wilt (blijven) bewandelen, klik dan op de Windowsmelding ‘Bedreigingen gevonden’ en dan bij de bedreiging ‘SettingsModifier:Win32/HostFileHijack’ bij Acties ‘Toestaan op apparaat’.
TELEMETRIE DE NEK OMDRAAIEN
Het aanpassen van het hostsbestand is slechts één van de manieren om de telemetrieanalyse stil te leggen – en waarschijnlijk niet eens de meest praktische. Je kunt bijvoorbeeld ook de Windowstelemetrieservice DiagTrack en de bijbehorende eventtracingsessie genaamd DiagtrackListener uitschakelen. Om de service af te sluiten, open je het Servicesbeheer door op de Windowstoets te drukken, ‘services’ in te typen en de bijbehorende app te starten. Dubbelklik op het item ‘Connected User Experiences and Telemetry’. Selecteer bij Opstarttype de optie Uitgeschakeld, klik dan op Stoppen en daarna op OK.
Naar onze mening is het niet absoluut noodzakelijk om de genoemde eventtracingsessie ook te stoppen – zie ook [1]. Voor de volledigheid kan dat echter wel. Om dat te doen, open je de Registereditor met regedit en klik je door naar de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\Autologger-Diagtrack-Listener. Dubbelklik daar op het item Start en geef dit de waarde
Je kunt daarnaast ook de telemetriehostnamen blokkeren. Idealiter wordt dat echter niet lokaal op de betreffende Windowspc gedaan, maar met een interne DNSserver binnen je netwerk. Vergeleken met vermeldingen in het hostsbestand heeft dat het voordeel dat Windows die aanpassingen niet kan resetten.
Voor je thuisnetwerk kun je daar de reclameen trackingblocker Pihole voor gebruiken, die op een Raspberry Pi draait. Je kunt daar verschillende kantenklare en ook individueel samengestelde blokkeerlijsten aan toevoegen. Als positief bijeffect heb je dan meteen een reclameblokker die niet alleen voor één pc zorgt, maar ook voor alle netwerkdeelnemers en daarnaast ook logt welke eindapparaten welke bestemmingen op internet opzoeken. Het installeren ervan neemt niet al te veel tijd in beslag, zie onze gedetailleerde instructies in [2].
BEPERKINGEN
Bij de meeste methoden voor het vermijden van telemetrische datatransmissie is er altijd een restrisico dat de transmissie vroeg of laat op de achtergrond toch weer plaatsvindt, bijvoorbeeld omdat de namen van de telemetrieservers veranderen of omdat Microsoft updatemechanismen levert die gebruikersinterventies vanuit het oogpunt van Microsoft ‘repareren’. Dat kan in principe ook gevolgen hebben voor de DiagTracktelemetriedienst. Tot nu toe hebben we een dergelijk gedrag echter nog niet opgemerkt – behalve bij functieupgrades waarna de service in eerste instantie altijd weer actief is. De enige methode om de telemetrische datatransmissie permanent stil te leggen lijkt daarom de methode te zijn die door Microsoft daadwerkelijk ook officieel ondersteund wordt: het gebruik van de EnterpriseEditie in een bedrijfsomgeving met serverinfrastructuur.
Literatuur
[1] Hajo Schulz, Windows 10: bescherm je privacy door de telemetrie lam te leggen, c’t 4/2019, p.92 [2] Ronald Eikenberg, Internetfilter op de Pi, Malware en reclame filteren met de Raspberry Pi en Pihole,
c’t 78/2018, p.126