Proxy trên Windows 11 để bảo vệ quyền riêng tư: Hướng dẫn từng bước chặn telemetry của Microsoft

Windows 11 mỗi ngày gửi hàng trăm yêu cầu đến các máy chủ của Microsoft: dữ liệu về phần cứng của bạn, các chương trình đã cài đặt, hành vi trong hệ thống và thậm chí cả các đoạn văn bản bạn nhập. Hầu hết người dùng không biết điều này — và không làm gì cả. Trong bài viết này, chúng ta sẽ xem xét cách cấu hình proxy trong Windows 11 để kiểm soát lưu lượng telemetry và giải thích tại sao chỉ các cài đặt hệ thống là không đủ.

Windows 11 thu thập những gì và dữ liệu đi đâu

Trước khi cấu hình proxy, điều quan trọng là phải hiểu rõ chúng ta đang đối phó với cái gì. Windows 11 sử dụng một số cơ chế thu thập dữ liệu độc lập, và mỗi cơ chế hoạt động theo cách riêng của nó.

Các thành phần chính của telemetry

DiagTrack (Connected User Experiences and Telemetry) — đây là dịch vụ telemetry chính. Nó hoạt động liên tục trong nền và gửi dữ liệu đến các máy chủ vortex.data.microsoft.com và settings-win.data.microsoft.com. Chính qua dịch vụ này mà thông tin về sự cố, các ứng dụng đã cài đặt và việc sử dụng các chức năng của hệ thống được gửi đi.

Báo cáo lỗi Windows — dịch vụ báo cáo lỗi. Mỗi khi một ứng dụng bị treo hoặc gặp sự cố, hệ thống sẽ tạo ra một báo cáo và gửi nó đến Microsoft. Báo cáo bao gồm ngăn xếp gọi, phiên bản phần mềm và ID thiết bị.

Cortana và tìm kiếm — ngay cả khi bạn không sử dụng trợ lý giọng nói, các truy vấn tìm kiếm từ menu "Bắt đầu" mặc định sẽ được gửi đến Bing. Điều này cũng áp dụng cho các truy vấn địa phương, nếu không tắt "tìm kiếm đám mây" trong cài đặt.

SmartScreen — bộ lọc kiểm tra từng tệp được khởi động và trang web được truy cập qua cơ sở dữ liệu đám mây của Microsoft. Về mặt kỹ thuật, đây là một chức năng bảo mật, nhưng thực tế Microsoft nhận được danh sách đầy đủ những gì bạn mở.

Quảng cáo và ID quảng cáo — Windows 11 gán cho mỗi người dùng một ID quảng cáo duy nhất, được truyền đến các ứng dụng từ Microsoft Store để quảng cáo nhắm mục tiêu.

Tất cả các yêu cầu này đều đến trực tiếp từ địa chỉ IP thực của bạn. Microsoft có thể thấy địa chỉ nào đang gửi dữ liệu, có thể liên kết chúng với tài khoản của bạn và vị trí địa lý. Đây chính là lúc proxy phát huy tác dụng.

Tại sao proxy không phải là sự hoang tưởng mà là công cụ làm việc

Nhiều người cho rằng việc lo lắng về telemetry của Windows là đặc quyền của những người hoang tưởng. Thực tế, đây là một vấn đề kiểm soát dữ liệu cá nhân, và nó có liên quan đến một lượng lớn người.

Đối với các nhà tiếp thị và người làm quảng cáo điều này cực kỳ quan trọng: nếu bạn làm việc với nhiều tài khoản quảng cáo trên Facebook Ads, Google Ads hoặc TikTok Ads, hệ điều hành của bạn liên tục "phơi bày" địa chỉ IP thực. Nếu địa chỉ IP này rơi vào cơ sở dữ liệu của Microsoft và sau đó giao thoa với dữ liệu từ các nền tảng quảng cáo — bạn sẽ có thêm một vector để bị nhận diện.

Đối với các chuyên gia SMM, những người quản lý từ 10–30 tài khoản khách hàng trên Instagram hoặc TikTok từ một máy tính, việc rò rỉ địa chỉ IP thực thông qua các dịch vụ hệ thống của Windows là một rủi ro bổ sung cho việc liên kết các tài khoản với nhau.

Đối với người dùng thông thường, proxy cho phép ẩn địa chỉ IP thực khỏi các máy chủ doanh nghiệp, giảm lượng dữ liệu thu thập và có được kiểm soát cơ bản về những gì rời khỏi máy tính.

Proxy giải quyết một nhiệm vụ cụ thể: toàn bộ lưu lượng hệ thống, bao gồm các yêu cầu từ các dịch vụ telemetry, không đi từ địa chỉ IP thực của bạn, mà thông qua một máy chủ trung gian. Microsoft nhận được dữ liệu, nhưng thấy địa chỉ IP của máy chủ proxy, chứ không phải địa chỉ nhà hoặc công ty của bạn.

Quan trọng là phải hiểu rằng: proxy không mã hóa lưu lượng tự nó (khác với VPN), nhưng ẩn nguồn gốc của các yêu cầu. Đối với nhiệm vụ ẩn địa chỉ IP thực khỏi telemetry, điều này là đủ.

Proxy hệ thống trong Windows 11: cấu hình qua cài đặt

Windows 11 có cơ chế cấu hình proxy tích hợp. Đây là cách đơn giản nhất — và là điều đầu tiên bạn nên bắt đầu. Tuy nhiên, nó có một hạn chế nghiêm trọng mà chúng ta sẽ bàn đến dưới đây.

Cấu hình proxy hệ thống từng bước

Bước 1. Mở "Cài đặt" — nhấn Win + I.

Bước 2. Chuyển đến phần Mạng và Internet → Proxy.

Bước 3. Bạn sẽ thấy hai tùy chọn cấu hình:

• Xác định tự động — hệ thống tìm kiếm tệp PAC trong mạng. Đối với người dùng gia đình, thường không cần thiết.
• Sử dụng kịch bản cấu hình — chỉ định URL tệp PAC. Được sử dụng trong các mạng doanh nghiệp.
• Sử dụng proxy — cấu hình thủ công. Đây chính là tùy chọn mà chúng ta cần.

Bước 4. Bật công tắc "Sử dụng proxy".

Bước 5. Nhập thông tin proxy:

• Địa chỉ — địa chỉ IP hoặc tên miền của máy chủ proxy (ví dụ: 185.123.45.67)
• Cổng — thường là 3128, 8080 hoặc 1080 (tùy thuộc vào loại proxy)

Bước 6. Trong trường "Không sử dụng proxy cho các địa chỉ sau" bạn có thể thêm các ngoại lệ — ví dụ, các địa chỉ cục bộ (localhost;127.0.0.1).

Bước 7. Nhấn "Lưu".

Cấu hình proxy qua registry và chính sách nhóm

Để kiểm soát sâu hơn các dịch vụ hệ thống, bạn có thể sử dụng registry Windows và trình chỉnh sửa chính sách nhóm. Các phương pháp này cho phép bạn thiết lập proxy ở cấp độ hệ thống, không chỉ cho các ứng dụng người dùng.

Cấu hình qua registry

Proxy hệ thống được lưu trữ trong registry tại địa chỉ: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Các tham số chính cần cấu hình:

• ProxyEnable (DWORD) — giá trị 1 bật proxy, 0 — tắt
• ProxyServer (String) — địa chỉ và cổng theo định dạng 185.123.45.67:8080
• ProxyOverride (String) — các ngoại lệ, ví dụ <local>

Để áp dụng các cài đặt ở cấp độ hệ thống (không chỉ cho người dùng hiện tại), các tham số tương tự cần được sao chép vào nhánh: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Cấu hình qua chính sách nhóm (Windows 11 Pro và cao hơn)

Bước 1. Nhấn Win + R, nhập gpedit.msc và nhấn Enter.

Bước 2. Chuyển đến đường dẫn: Cấu hình máy tính → Mẫu quản trị → Thành phần Windows → Trình thu thập dữ liệu chẩn đoán và phiên bản trước.

Bước 3. Tại đây bạn sẽ tìm thấy chính sách "Cấu hình trải nghiệm người dùng kết nối và telemetry". Bật nó lên và đặt giá trị "Dữ liệu chẩn đoán đã tắt" (nếu có sẵn trong phiên bản Windows của bạn).

Bước 4. Thêm vào đó, trong phần Cấu hình người dùng → Tùy chọn Windows → Tùy chọn Internet Explorer → Kết nối → Tùy chọn proxy bạn có thể thiết lập proxy cho tất cả người dùng trong hệ thống.

Công cụ bên thứ ba: cách định hướng lưu lượng telemetry qua proxy

Vì các dịch vụ hệ thống của Windows thường bỏ qua proxy tiêu chuẩn, để có được kiểm soát hoàn toàn, cần có các công cụ hoạt động ở cấp độ ngăn xếp mạng — chặn tất cả các kết nối, bao gồm cả hệ thống.

Proxifier — chặn toàn bộ lưu lượng

Proxifier là một trong những công cụ phổ biến nhất để buộc lưu lượng đi qua proxy. Nó hoạt động như một trình điều khiển mạng và chặn các kết nối từ bất kỳ quy trình nào, bao gồm cả các dịch vụ hệ thống.

Cách cấu hình Proxifier để chặn telemetry:

1. Cài đặt Proxifier và mở nó.
2. Đi đến Profile → Proxy Servers → Add.
3. Nhập địa chỉ và cổng của proxy của bạn, chọn giao thức (SOCKS5 hoặc HTTPS).
4. Nếu proxy yêu cầu xác thực — nhập tên đăng nhập và mật khẩu.
5. Đi đến Profile → Proxification Rules.
6. Tạo một quy tắc: Application = Any, Target Host = *microsoft.com; *.windows.com; vortex.data.microsoft.com, Action = Proxy (proxy của bạn).
7. Nhấn OK và áp dụng các cài đặt.

Sau đó, tất cả các yêu cầu đến các máy chủ của Microsoft, bao gồm cả telemetry, sẽ đi qua proxy đã chỉ định. Trong nhật ký Proxifier, bạn có thể thấy trong thời gian thực, các quy trình nào đang kết nối và đến đâu.

Charles Proxy / Fiddler — giám sát và chặn

Charles Proxy và Fiddler là các công cụ phân tích lưu lượng. Chúng không chỉ cho phép định hướng lưu lượng qua proxy mà còn cho phép xem nội dung của các yêu cầu. Điều này hữu ích nếu bạn muốn đảm bảo rằng telemetry thực sự đi qua proxy và xem dữ liệu nào được Windows gửi đi.

Fiddler Classic là phiên bản miễn phí cho việc giám sát cơ bản. Charles Proxy là phiên bản có chức năng hơn, có phí. Cả hai đều hoạt động như một proxy cục bộ (thường trên cổng 8888) và chặn lưu lượng HTTP/HTTPS.

O&O ShutUp10++ và các công cụ tương tự — tắt telemetry

Một loại công cụ riêng biệt là các chương trình để tắt telemetry của Windows. O&O ShutUp10++, WPD (Windows Privacy Dashboard), Privacy Cleaner Pro — chúng không định hướng lưu lượng qua proxy, nhưng tắt các dịch vụ thu thập dữ liệu.

Chiến lược tối ưu: kết hợp cả hai phương pháp. Đầu tiên tắt tối đa telemetry qua ShutUp10++, sau đó định hướng lưu lượng hệ thống còn lại qua proxy bằng Proxifier. Như vậy, bạn sẽ giảm thiểu cả lượng dữ liệu và sự liên kết của chúng với địa chỉ IP thực của bạn.

Loại proxy nào nên chọn để bảo vệ quyền riêng tư

Không phải tất cả các proxy đều phù hợp cho nhiệm vụ ẩn lưu lượng hệ thống. Chúng ta sẽ xem xét các loại chính và tính khả thi của chúng.

Proxy cư trú: lựa chọn tối ưu

Đối với nhiệm vụ ẩn lưu lượng hệ thống của Windows, proxy cư trú là lựa chọn phù hợp nhất. Chúng sử dụng địa chỉ IP của những người dùng thực, điều này làm cho lưu lượng trở nên giống như lưu lượng của người dùng bình thường. Microsoft sẽ không thể xác định rằng các yêu cầu đang đi qua proxy.

Một lợi ích khác: proxy cư trú hỗ trợ xoay vòng IP — mỗi phiên mới có thể sử dụng một địa chỉ mới. Đối với telemetry, điều này có nghĩa là ngay cả khi Microsoft phân tích các mẫu yêu cầu, chúng sẽ không được liên kết với một địa chỉ duy nhất.

Tại sao proxy miễn phí là một ý tưởng tồi cho quyền riêng tư

Điều này có thể có vẻ nghịch lý, nhưng việc sử dụng proxy miễn phí để bảo vệ quyền riêng tư là phản tác dụng. Các nhà điều hành proxy miễn phí có thể tự ghi lại lưu lượng của bạn, bán dữ liệu hoặc chèn quảng cáo. Bạn rời khỏi telemetry của Microsoft và rơi vào tay nhà điều hành proxy, người có thể thu thập nhiều dữ liệu hơn.

Đối với nhiệm vụ bảo vệ quyền riêng tư, chỉ nên sử dụng proxy trả phí từ các nhà cung cấp đáng tin cậy với chính sách không ghi lại dữ liệu rõ ràng.

Giao thức: SOCKS5 vs HTTP/HTTPS

Đối với lưu lượng hệ thống của Windows, nên sử dụng SOCKS5. Khác với proxy HTTP, SOCKS5 hoạt động ở cấp độ thấp hơn và hỗ trợ bất kỳ loại kết nối nào, bao gồm cả UDP. Điều này quan trọng vì một số dịch vụ hệ thống không chỉ sử dụng HTTP mà còn các giao thức khác.

Proxy HTTPS sẽ phù hợp cho lưu lượng trình duyệt, nhưng để chặn hoàn toàn các yêu cầu hệ thống, SOCKS5 là lựa chọn ưu tiên hơn.

Danh sách kiểm tra: kiểm tra xem telemetry có thực sự đi qua proxy không

Sau khi cấu hình, điều quan trọng là đảm bảo rằng mọi thứ hoạt động như mong muốn. Dưới đây là danh sách kiểm tra từng bước.

Bước 1. Kiểm tra xem proxy hệ thống có hoạt động không

Mở dòng lệnh (cmd) và thực hiện lệnh:

netsh winhttp show proxy

Nếu proxy hệ thống đã được cấu hình, bạn sẽ thấy địa chỉ và cổng của nó. Nếu có ghi "Truy cập trực tiếp (không có máy chủ proxy)" — proxy hệ thống chưa được cấu hình hoặc không được áp dụng.

Bước 2. Kiểm tra IP qua trình duyệt

Mở trình duyệt và truy cập vào trang kiểm tra IP (ví dụ: 2ip.ru hoặc whoer.net). Nếu proxy hoạt động chính xác, IP hiển thị phải khác với IP thực của bạn. Đây là một kiểm tra cơ bản — nó xác nhận rằng lưu lượng trình duyệt đang đi qua proxy.

Bước 3. Kiểm tra lưu lượng hệ thống qua Proxifier hoặc Fiddler

Nếu bạn đang sử dụng Proxifier — mở tab "Log" hoặc "Connections". Bạn sẽ thấy danh sách tất cả các kết nối đang hoạt động. Tìm các quy trình svchost.exe và DiagTrack — chúng phải kết nối qua proxy của bạn, chứ không phải trực tiếp.

Bước 4. Kiểm tra rò rỉ DNS

Ngay cả khi lưu lượng đi qua proxy, các yêu cầu DNS có thể đi trực tiếp — điều này được gọi là rò rỉ DNS. Truy cập vào trang dnsleaktest.com và chạy bài kiểm tra mở rộng. Nếu trong kết quả bạn thấy các máy chủ DNS của nhà cung cấp internet của bạn, chứ không phải của nhà cung cấp proxy — có rò rỉ.

Để khắc phục rò rỉ DNS trong Windows 11, bạn có thể cấu hình DNS-over-HTTPS: Cài đặt → Mạng và Internet → Wi-Fi (hoặc Ethernet) → Thuộc tính phần cứng → Địa chỉ máy chủ DNS → Thay đổi → chọn Cloudflare (1.1.1.1) hoặc Google (8.8.8.8) với DNS-over-HTTPS được bật.

Bước 5. Kiểm tra nhật ký của các dịch vụ telemetry

Mở "Xem sự kiện" (Event Viewer): nhấn Win + R, nhập eventvwr.msc. Chuyển đến Nhật ký ứng dụng và dịch vụ → Microsoft → Windows → DiagTrack. Tại đây bạn sẽ thấy khi nào và dữ liệu nào đã được gửi. Nếu không có gửi đi — các dịch vụ đã bị tắt. Nếu có — hãy đảm bảo rằng chúng đi qua proxy.

Thêm: tắt ID quảng cáo

Đừng quên tắt ID quảng cáo của Windows: Cài đặt → Quyền riêng tư và bảo mật → Chung → chuyển công tắc "Cho phép các ứng dụng hiển thị quảng cáo cá nhân hóa bằng cách sử dụng ID quảng cáo" sang "Tắt".

Cũng nên tắt chẩn đoán nhập liệu (Cài đặt → Quyền riêng tư → Chẩn đoán và phản hồi) và lịch sử hoạt động (Cài đặt → Quyền riêng tư → Nhật ký hoạt động). Những cài đặt này không bị ảnh hưởng bởi proxy — chúng hoạt động ở cấp độ quyền hạn, không phải lưu lượng mạng.

Kết luận

Windows 11 là một hệ điều hành được cấu hình mặc định để thu thập dữ liệu tối đa. Không thể tắt hoàn toàn telemetry qua các cài đặt tiêu chuẩn, nhưng có thể hạn chế đáng kể khả năng của nó. Sự kết hợp của ba phương pháp mang lại kết quả tốt nhất: tắt các dịch vụ telemetry qua các tiện ích chuyên dụng, cấu hình proxy hệ thống cho các ứng dụng và sử dụng Proxifier để chặn lưu lượng của các dịch vụ hệ thống.

Điều quan trọng cần nhớ: proxy hệ thống tiêu chuẩn trong Windows không chặn lưu lượng của các dịch vụ như DiagTrack và WER. Để có được kiểm soát hoàn toàn, cần một công cụ như Proxifier, hoạt động như một trình điều khiển mạng và chặn các kết nối từ bất kỳ quy trình nào.

Nếu bạn muốn thiết lập bảo vệ quyền riêng tư đáng tin cậy trong Windows 11 và định hướng toàn bộ lưu lượng hệ thống qua proxy, chúng tôi khuyên bạn nên sử dụng proxy cư trú — chúng cung cấp mức độ ẩn danh cao, vì sử dụng địa chỉ IP của những người dùng thực, và không gây nghi ngờ cho các hệ thống giám sát của Microsoft.