LOGO 首页 OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 技术文档 其他文档  
 
网站管理员

[点晴永久免费OA]关闭 Windows GDID —— 斩断那个连 VPN 都防不住的追踪器

admin
2026年7月10日 14:18 本文热度 67

要点速览

  1. GDID 是什么:一个 64 位的标识符,微软在你登录 Windows 账户时就贴到你身上,即使你通过 VPN 换了 IP 它也纹丝不动;2026 年 4 月 FBI 正是靠它定位了一名 Scattered Spider 成员,尽管对方流量全程加密。
  2. 删注册表没用:Windows 会在你打开 Microsoft Store 的瞬间从微软服务器重新下载同一个 GDID,旧标识符也继续保存在微软那边。
  3. 唯一有效的办法:通过注册表禁用负责记录和上传 GDID 的服务(主要是 DoSvc),并在 hosts 文件中屏蔽对应服务器,能减少未来的数据泄露,但无法抹去微软已存的历史记录。

正文

就像我之前说的,2026 年 4 月,FBI 逮住了一名 Scattered Spider 的疑似成员。这家伙把流量藏在 VPN 后面,IP 分布在三个不同国家。你猜怎么着?出卖他的不是操作失误,而是一个你的 Windows 24 小时随身携带、微软在当局要求时随手交出的标识符:GDID。我在这篇文章里已经聊过它了,写完之后我就在想:能不能把它干掉?

于是我搭了一台 Windows 11 Pro 虚拟机,撸起袖子开干,顺便叫上了我最爱的 LLM 当助手。以下就是我的发现。哪些管用、哪些完全没用,你往下看就明白了。

首先得搞清楚 GDID 是什么。它不是你主板的序列号,也不是跟硬件绑定的哈希值。不,它是一个 64 位的 PUID(伪唯一标识符),也就是说,从你登录 Windows 账户的那一刻起,微软的服务器就往你账上贴了这个号。它以明文写在你的注册表里,你的机器会在微软那边登记造册,必要时有条不紊地把这个标识符上传回去。即使你挂着 VPN 换了 IP,它岿然不动。GDID 连眼睛都不眨一下。


亲眼看看贴在你背上的标签

咱们先亲眼见识一下。打开 PowerShell,贴入下面这段代码:

$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID
"g:$([Convert]::ToUInt64($lid,16))"

在我的虚拟机上,它吐出了 g:6755487812206045。这就是微软能用来关联你一切操作的标识符。(理论上是这样,因为这串代码绑定的是我的虚拟机,所以我无所谓,才敢给你们看。)

你刚才读到的,就是别人贴在你背上的标签。

查看 GDID


想删掉它?别费劲了

本能反应:去注册表把 HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties 这个键值删掉,搞定,追踪器没了。这就是我一开始试的……我把值删了,重启相关服务,当时确实没了。赢了?并没有。我打开 Microsoft Store 也就两秒钟,GDID 就回来了。而且不是一个新的,是原来那个,一模一样

就是这么疯狂。你的 GDID 并不藏在你的硬盘上,它藏在微软那边,像牡蛎死死粘在礁石上一样牢牢绑在你的账户上。你的电脑只不过是一遍又一遍地把它重新下载下来。当然,如果你重装系统,Windows 会给你分配一个新号,但旧的那个以及所有关联数据照样暖暖地躺在微软的服务器上。过去的事,你永远找不回来……

删除 GDID 无效


关闭遥测照样没用

网上到处看的另一个建议是禁用 Windows 遥测。在我的虚拟机上,经典遥测服务本来就处于停止状态。然而我的 GDID 依然好好地待在那儿,清晰可读,负责上传它的服务照样全速运转。这个追踪器并不走你以为关掉就完事的那套遥测通道。它走的是别的路——通过联网设备平台和传递优化服务

所以你尽管狂点设置里所有的隐私按钮,它根本不在乎。

关闭遥测无效


真正把水龙头的阀门关上

既然删不掉,那咱们就做唯一力所能及的事:阻止它出去。同时不断开微软账户的连接,保证电脑还能正常用。

要做到这一点,有两个杠杆。第一个,禁用负责记录和上传你机器信息的服务。第二个,通过 hosts 文件把微软的服务器直接挡在门外,这样即使那些追踪服务还在运行,它们也找不到可以汇报的对象……当然,login.live.com 咱们不能动,不然你的账户登录就废了。

不过这里有个小坑,你猜到了……负责上传 GDID 的服务 DoSvc 拒绝通过正常途径被禁用。就算你是管理员,Windows 也甩你一脸「拒绝访问」。对策就是直接到注册表里禁用它,管理员在注册表里有权写入,而服务管理器反而会拦你。

为了简化操作,我把所有步骤都整理成了现成的脚本,亲自测试过,还带一键还原。项目地址:no-gdid on GitHub。你先运行只读模式的审计脚本看看自己当前的状况,再运行阻断脚本的预览模式看看会改什么,最后再用真正生效的选项执行。先在虚拟机里打快照测试,别直接在你主力机上搞,因为咱们确实要禁用系统服务。如果你只想简单粗暴地切断某个特定进程的网络连接,不想搞这么多步骤,那老伙计 ProcNetBlocker 已经能帮你完成一部分工作了。

DoSvc 服务拒绝访问


好嘞,开整!

以管理员身份打开 PowerShell,第一次操作建议在虚拟机快照环境里进行,先熟悉命令。第一步,克隆项目:

winget install --id Git.Git
git clone https://github.com/Korben00/no-gdid
cd no-gdid

先看看自己的处境。这个审计脚本是只读的,不会修改任何东西,只是显示你的 GDID 以及追踪链上哪些服务在运行:

powershell -ExecutionPolicy Bypass -File .\audit\Get-GDID-Audit.ps1

然后看看阻断操作会改什么,但不真正执行。不加 -Apply 参数时,两个脚本运行在预览模式下,只会列出它们将要执行的操作:

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1

运行审计脚本

如果没问题,咱们来真的。这次加上 -Apply:负责设备登记和上传的服务被禁用,对应的微软服务器被 hosts 文件送进黑洞。你的微软账户仍然保持登录状态

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1 -Apply
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1 -Apply

要一键恢复原状,一条命令搞定:

powershell -ExecutionPolicy Bypass -File .\mitigate\Revert-GDID.ps1

生效之后,一切归于平静……登记服务停止了,对应的服务器不可达,你的微软账户仍然保持登录。GDID 当然还在硬盘上可读,但它再也不会上传回微软了


刺耳的真相

话说回来,我不会写个教程给你画大饼。这些操作能减少微软未来可以关联的数据,但它们不会删除从你的第一次登录起就躺在微软服务器上的 GDID,也不会让你匿名。另外,改用本地账户——正如我在别处看到的——确实能堵住刚才封掉的这条通道,但还没人能证明微软不会在背后启用另一个匿名标识符来接棒。

对于敏感操作,唯一真正靠谱的对策更粗暴:别在 Windows 上做这些事。比如 Live Linux 就能让你对机器流出什么数据有绝对的掌控。除此之外,都是减损,仅此而已。

好了,捍卫隐私,先从知道你背上被贴了什么开始。现在你知道了。微软,不谢。

文章原文:https://korben.info/desactiver-gdid-windows.html


该文章在 2026/7/10 17:44:51 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2026 ClickSun All Rights Reserved  粤ICP备13012886号-9  粤公网安备44030602007207号