Wer das Bedürfnis hat, die Telemetrie-Server von Microsoft zu blockieren, zum Beispiel weil er nicht möchte, dass Microsoft alles mitbekommt, was er mit seinem PC so macht, kommt schnell auf den Gedanken, Microsofts Telemetrie-Server direkt im Windows-Betriebssystem über die Hosts-Datei zu sperren.

Dummerweise stuft aber Microsofts Sicherheitssoftware Microsoft Defender (früher Windows Defender) dieses Vorgehen seit dem Monatswechsel  als „schweres Sicherheitsrisiko“ ein und verhindert nach Berichten des Onlinemagazins Bleeping Computer und des Bloggers Günter Born das Speichern der Datei, sobald einer von Microsofts Telemetrie-Servern eingetragen ist. Das lässt sich auch nur ändern, indem man eine entsprechende Sicherheitsfunktion des Microsoft Defender deaktiviert. Hier soll kurz erklärt werden, wie man die Telemetrie des Software-Riesen trotzdem blockieren kann.

Die Funktion der Hosts-Datei von Windows

Die Hosts-Datei findet man unter C:\Windows\System32\drivers\etc\hosts. Sie dient der Auflösung von Hostnamen zu IP-Adressen. Wenn hier einer Domain wie microsoft.com die lokale IP-Adresse 127.0.0.1 (der eigene PC) zugewiesen wird, unterbindet das Betriebssystem die Auflösung über DNS-Server und damit auch den Zugriff auf dden Microsoft.com-Server im Internet, wodurch diese Domain wirksam blockiert wird. So lassen sich auch die Telemetrie-Server von Microsoft ausblenden.

Defender betrachtet eine Umleitung als Domain-Hijacking

Allerdings prüft der Microsoft Defender vor dem Abpeichern die Datei auf sogenannte Host-Hijacks. Denn Schadsoftware könnte hier Domains wie microsoft.com eintragen und auf andere IP-Adressen und Aufrufe dieser Domain so auf andere Server umleiten.

Allerdings werden zum Bearbeiten der Hosts-Datei Admin-Rechte gebraucht, die Angreifer nicht unbedingt haben, und durch die heutzutage in der Regel eingesetzte TLS-Verschlüsselung dürfte eine Weiterleitung bei den meisten Internet-Domains sowieso nicht mehr viel bewirken, wodurch diese Funktion relativ sinnlos geworden ist…

Die Telemetrie-Server von Microsoft

Bei einem Test von Bleeping Computer nach dem Monatswechsel zum August stufte Microsoft Defender die Hosts-Datei immer dann als Sicherheitsrisiko ein, wenn eine dieser Domains darin vorkam:

  • microsoft.com
  • www.microsoft.com
  • telemetry.microsoft.com
  • wns.notify.windows.com.akadns.net
  • v10–win.vortex.data.microsoft.com.akadns.net
  • us.vortex–win.data.microsoft.com
  • us–v10.events.data.microsoft.com
  • urs.microsoft.com.nsatc.net
  • watson.telemetry.microsoft.com
  • watson.ppe.telemetry.microsoft.com
  • vsgallery.com
  • watson.live.com
  • watson.microsoft.com
  • telemetry.remoteapp.windowsazure.com
  • telemetry.urs.microsoft.com

Steht eine dieser Domains in der Hosts-Datei, warnt beispielsweise auch der Editor Notepad, dass diese Datei nicht gespeichert werden könne, weil sie entweder einen Virus oderaber potentiell nicht erwünschte Software enthalte.

Wie die Blockade trotzdem gelingt

Will man trotzdem Microsofts Telemetrie-Server blockieren, kann man die Hostfile-Hijack-Sicherheitsfunktion des Microsoft Defender deaktivieren. Danach erkennt der Microsoft Defender zwar auch keine anderen Hijacks mehr in der Hosts-Datei, aber das macht nicht wirklich etwas aus, weil heutzutage fast alle Internetseiten durch eine TLS-Verschlüsselung geschützt sind und das Hijacking damit auf diese Weise sowieso nicht mehr funktioniert…