パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 8のWindows Defenderはhostsファイルの変更をブロックする」記事へのコメント

  • >Windows Defenderをオフにしてhostsファイルを書き換えればその内容は正しく保存されるようだ。
    オフにすれば今まで通り編集できるなら別にいいじゃないんじゃないかと。
    hostsで設定するのは便利とはいえ多くの人には不要だし、実際hostsを書き換えるウイルスが出回ったことを考えれば、デフォルトで編集出来るようになっている必要はないでしょう。
    編集したい場合は明示的にディフェンダーを解いて編集可の状態にする、ぐらいの了解があるのはむしろ賛成です。

    #OSX Mountain LionのGatekeeperの時も同じようなこと言ってた気がする

    • by Anonymous Coward

      安全のために容易に変更できないようにするのには賛成ですが、ユーザーが保存したつもりなのにされていない、という点はなにかいい解決法がないものかなと思います。
      DefenderがOFFの場合、はなから保存操作を受け付けないようにしてしまえないものかな。

      • by Anonymous Coward on 2012年08月22日 8時36分 (#2216101)

        なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。
        だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。

        親コメント
        • by kei100 (5854) on 2012年08月22日 20時33分 (#2216628)

          その通りです。
          hostsファイルを例外に追加するか、該当脅威自体を許可すれば設定変更可能です。
          該当のhostsエントリは、SettingsModifier:Win32/PossibleHostsFileHijack [microsoft.com]として検出され自動的に削除され空行になります。
          また、コメントアウト等で該当行が有効なエントリでなければ削除されずそのまま残るようです。

          Windows Defenderが原因である事は、Windows Defenderを起動し履歴タブを選択するか、イベントビューアのアプリケーションとサービスログ>Microsoft>Windows>Windows Defender>Operationalと辿ること等で確認できます。
          上記検出内容 [microsoft.com]は、Windows8のWindows DefenderはMicrosoft Security Essentials [microsoft.com]とほぼ同じパターンファイルですので、手元にWindows8が無くてもWindowsXP/Vista/7等でも検証可能です。
          他の該当ドメインはTrojan.Win32.Qhost [viruslistjp.com]の亜種等から適当にコピペすれば手元で確認できると思います。

          Windows8のWindows DefenderがMSEと大きく異なるのは、設定画面に「既定の操作」という項目が無く、おそらくパターンファイルで定義されている推奨される「検疫」「削除」「駆除」等が自動実行される、今回のケースの様に完全に通知すら出ないで駆除されるケースもあるようです。
          この為サイレントに駆除された際にその事が解りにくいという点でしょうか。
          イベントログにトリガーを設定すれば解りますが一般的ではないでしょうし。
          この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。

          個人的にはこの自動で適用されるのは好きではありませんが、セキュリティとのトレードオフな感じもします。
          少なくともデフォルトでインストールされ、多くの詳しくないユーザーが使うことを想定した際に、選択肢すら出さないというのはアリかもしれません。
          ただ、偽陽性対策に関して相当大変なチェックを要求されると思うのでMS大変そうだなとは思いますが。
          # WindowsPhoneもそうですが、「自動的に行う」挙動がだんだん増えて裏が見えにくくなってきたかな?と感じる今日この頃。歳かな……

          親コメント
          • by Anonymous Coward

            > この挙動が許されないのであれば、もし後日提供されるのであればWindows8対応のMSEを入れるか、サードパーティのセキュリティソフトを導入すれば回避できそうです。
            Windows 8なら可能性はあるけど、Windows RTではデスクトップアプリを追加導入できないから逃げ道がないね。(言うまでもないがサンドボックスに閉じ込められたセキュリティソフトなんて何の役にも立たない)

            • Windows 8にEICARテストファイルとか食わせると解りますが、完全にサイレントという訳ではありません。
              また、通常のデスクトップアプリを導入させない=極論ですがModern UI-Appと自分自身以外の実行バイナリは全て削除という荒業も許されるかと。

              親コメント
        • なんで黙って戻されるのかというと、hostsに追加された項目を「マルウェア」とみなして「駆除」しているからみたいね。
          だからDefender自体をOFFにしなくてもhostsを除外リストに追加すればいいみたい。

          マルウェアなんかに書き換えられるリスクは残りますけどね。
          デフォルトが書き換えられないってのは一般の人向けには正しいと思う。

          親コメント
        • by Anonymous Coward

          消しても消しても復活するDLLファイルみたいな扱いなのね。

          >Windows2000/XPにはSystem File Protection(以下SFP)という機能があり、
          >重要なファイルが更新もしくは削除されると、dllcacheフォルダにある
          >正しいバージョンのファイルを置換します。

          WinXP消してもいいファイルまとめ | 役に立たないTips [fc2.com]

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...