Windows 11中的代理设置：逐步阻止Microsoft遥测以保护隐私

Windows 11 每天都会向 Microsoft 服务器发送数百个请求：有关您硬件、已安装程序、系统行为甚至输入文本片段的数据。大多数用户对此并不知情——也没有采取任何措施。在本文中，我们将讨论如何在 Windows 11 中设置代理，以便控制远程监控流量，并解释为什么仅靠系统设置是不够的。

Windows 11 收集了什么数据以及这些数据去向何处

在设置代理之前，了解我们所面对的是什么非常重要。Windows 11 使用几种独立的数据收集机制，每种机制的工作方式各不相同。

远程监控的主要组件

DiagTrack（连接用户体验和远程监控）是主要的远程监控服务。它在后台持续运行，并将数据发送到 vortex.data.microsoft.com 和 settings-win.data.microsoft.com 服务器。通过它，系统崩溃、已安装应用程序和功能使用情况的信息被发送出去。

Windows 错误报告是错误报告服务。每当应用程序挂起或崩溃时，系统会生成报告并将其发送给 Microsoft。报告包括调用堆栈、软件版本和设备标识符。

Cortana 和搜索——即使您不使用语音助手，默认情况下，从“开始”菜单的搜索请求也会发送到 Bing。这也适用于本地请求，除非在设置中禁用了“云搜索”。

SmartScreen——该过滤器会通过 Microsoft 的云数据库检查每个启动的文件和访问的网站。从技术上讲，这是安全功能，但实际上 Microsoft 会获得您打开的所有内容的完整列表。

广告和广告标识符——Windows 11 为每个用户分配一个唯一的广告 ID，该 ID 会传递给 Microsoft Store 中的应用程序以进行定向广告。

所有这些请求都是直接从您的真实 IP 地址发送的。Microsoft 可以看到数据来自哪个地址，并可以将其与您的帐户和地理位置进行匹配。这就是代理发挥作用的地方。

为什么代理不是偏执，而是有效工具

许多人认为，担心 Windows 的远程监控是偏执者的专利。实际上，这是对自己数据的控制问题，适用于广泛的人群。

对于市场营销人员和套利者来说，这一点至关重要：如果您在 Facebook Ads、Google Ads 或 TikTok Ads 上处理多个广告帐户，您的操作系统会不断“暴露”真实 IP。如果该 IP 进入 Microsoft 的数据库，并且随后与广告平台的数据交叉——您将获得额外的去匿名化向量。

对于 SMM 专家，他们在同一台计算机上管理 10 到 30 个客户的 Instagram 或 TikTok 帐户，Windows 系统服务通过泄露真实 IP 带来了额外的帐户关联风险。

对于普通用户，代理可以隐藏真实 IP，减少收集的数据量，并对离开计算机的内容进行基本控制。

代理解决了一个具体问题：所有系统流量，包括来自远程监控服务的请求，不是从您的真实 IP 发出，而是通过中间服务器进行。Microsoft 收到数据，但看到的是代理服务器的 IP，而不是您的家庭或工作地址。

重要的是要理解：代理本身并不加密流量（与 VPN 不同），但可以掩盖请求的来源。对于隐藏真实 IP 的远程监控任务来说，这已经足够了。

Windows 11 中的系统代理：通过设置进行配置

Windows 11 具有内置的代理设置机制。这是最简单的方法——也是值得开始的第一步。然而，它有一个严重的限制，我们将在下面讨论。

系统代理的逐步设置

步骤 1. 打开“设置”——按 Win + I。

步骤 2. 转到 网络和 Internet → 代理服务器 部分。

步骤 3. 您将看到两种设置选项：

• 自动检测设置——系统在网络中查找 PAC 文件。对于家庭用户通常不需要。
• 使用设置脚本——指定 PAC 文件的 URL。用于企业网络。
• 使用代理服务器——手动设置。我们需要的正是这个选项。

步骤 4. 打开“使用代理服务器”开关。

步骤 5. 输入代理数据：

• 地址——代理服务器的 IP 地址或域名（例如：185.123.45.67）
• 端口——通常为 3128、8080 或 1080（取决于代理类型）

步骤 6. 在“对以下地址不使用代理服务器”字段中可以添加例外——例如，本地地址（localhost;127.0.0.1）。

步骤 7. 点击“保存”。

通过注册表和组策略配置代理

为了更深入地控制系统服务，可以使用 Windows 注册表和组策略编辑器。这些方法允许在系统级别设置代理，而不仅仅是针对用户应用程序。

通过注册表进行配置

系统代理存储在注册表中的地址为： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

需要配置的关键参数：

• ProxyEnable（DWORD）——值 1 启用代理，0——禁用
• ProxyServer（字符串）——地址和端口格式为 185.123.45.67:8080
• ProxyOverride（字符串）——例外，例如 <local>

为了在系统级别（而不仅仅是当前用户）应用设置，必须在以下分支中重复相同的参数： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

通过组策略进行配置（Windows 11 专业版及以上）

步骤 1. 按 Win + R，输入 gpedit.msc 并按 Enter。

步骤 2. 转到路径：计算机配置 → 管理模板 → Windows 组件 → 诊断数据收集和预览版。

步骤 3. 在这里，您会找到“配置连接用户体验和远程监控”策略。启用它并将值设置为“禁用诊断数据”（如果在您的 Windows 版本中可用）。

步骤 4. 另外，在用户配置 → Windows 设置 → Internet Explorer 设置 → 连接 → 代理服务器设置中，可以为系统中的所有用户设置代理。

第三方工具：如何通过代理引导远程监控流量

由于 Windows 系统服务通常会忽略标准代理，因此需要在网络堆栈级别工作的工具，以便完全控制——拦截所有连接，包括系统连接。

Proxifier——拦截所有流量

Proxifier 是最流行的强制通过代理重定向流量的工具之一。它作为网络驱动程序工作，拦截来自任何进程的连接，包括系统服务。

如何设置 Proxifier 以阻止远程监控：

1. 安装 Proxifier 并打开它。
2. 转到 Profile → Proxy Servers → Add。
3. 输入您的代理地址和端口，选择协议（SOCKS5 或 HTTPS）。
4. 如果代理需要身份验证——输入用户名和密码。
5. 转到 Profile → Proxification Rules。
6. 创建规则：Application = Any，Target Host = *microsoft.com; *.windows.com; vortex.data.microsoft.com，Action = Proxy（您的代理）。
7. 点击 OK 并应用设置。

之后，所有对 Microsoft 服务器的请求，包括远程监控，都将通过指定的代理进行。在 Proxifier 的日志中，您可以实时查看哪些进程正在连接到哪里。

Charles Proxy / Fiddler——监控和拦截

Charles Proxy 和 Fiddler 是分析流量的工具。它们不仅允许通过代理重定向流量，还可以查看请求的内容。如果您想确认远程监控确实通过代理进行，并查看 Windows 发送了哪些数据，这非常有用。

Fiddler Classic 是用于基本监控的免费选项。Charles Proxy 功能更强大，需付费。两者都作为本地代理工作（通常在 8888 端口）并拦截 HTTP/HTTPS 流量。

O&O ShutUp10++ 和类似工具——禁用远程监控

一类独立的工具是用于禁用 Windows 远程监控的程序。O&O ShutUp10++、WPD（Windows 隐私仪表板）、Privacy Cleaner Pro——它们不通过代理引导流量，但禁用数据收集服务。

最佳策略：结合两种方法。首先通过 ShutUp10++ 禁用尽可能多的远程监控，然后使用 Proxifier 将剩余的系统流量通过代理引导。这样，您可以最小化数据量及其与您真实 IP 的关联。

选择哪种类型的代理来保护隐私

并非所有代理都适合隐藏系统流量的任务。让我们讨论主要类型及其适用性。

住宅代理：最佳选择

对于隐藏 Windows 系统流量的任务，住宅代理是最合适的选择。它们使用真实家庭用户的 IP 地址，使流量尽可能类似于普通用户的流量。Microsoft 无法确定请求是通过代理发出的。

另一个优点是：住宅代理支持 IP 轮换——每个新会话可以使用新的地址。对于远程监控来说，这意味着即使 Microsoft 分析请求模式，它们也不会与单个地址关联。

为什么免费代理对隐私来说是个坏主意

这可能听起来矛盾，但使用免费代理来保护隐私是适得其反的。免费代理的运营商可能会记录您的流量，出售数据或插入广告。您逃离了 Microsoft 的远程监控，却落入了可能收集更多数据的代理运营商手中。

对于保护隐私的任务，仅使用来自可靠提供商的付费代理，并确保其有明确的无日志政策。

协议：SOCKS5 与 HTTP/HTTPS

对于 Windows 系统流量，建议使用SOCKS5。与 HTTP 代理不同，SOCKS5 在更低的层次上工作，并支持任何类型的连接，包括 UDP。这一点很重要，因为某些系统服务不仅使用 HTTP，还使用其他协议。

HTTPS 代理适合浏览器流量，但对于完全拦截系统请求，SOCKS5 更为优先。

检查清单：确认远程监控确实通过代理进行

在设置完成后，重要的是要确保一切按预期工作。以下是逐步检查清单。

步骤 1. 检查系统代理是否处于活动状态

打开命令提示符（cmd）并执行以下命令：

netsh winhttp show proxy

如果系统代理已设置，您将看到其地址和端口。如果显示“直接访问（没有代理服务器）”——则系统代理未设置或未生效。

步骤 2. 通过浏览器检查 IP

打开浏览器并访问 IP 检查网站（例如，2ip.ru 或 whoer.net）。如果代理正常工作，显示的 IP 应该与您的真实 IP 不同。这是基本检查——它确认浏览器流量是通过代理进行的。

步骤 3. 通过 Proxifier 或 Fiddler 检查系统流量

如果您使用 Proxifier——打开“日志”或“连接”选项卡。您将看到所有活动连接的列表。查找进程 svchost.exe 和 DiagTrack——它们应该通过您的代理连接，而不是直接连接。

步骤 4. 检查 DNS 泄漏

即使流量通过代理，DNS 请求也可能直接发送——这称为 DNS 泄漏。访问 dnsleaktest.com 网站并运行扩展测试。如果结果中显示的是您互联网服务提供商的 DNS 服务器，而不是代理提供商的服务器——则存在泄漏。

为了消除 Windows 11 中的 DNS 泄漏，可以设置 DNS-over-HTTPS：设置 → 网络和 Internet → Wi-Fi（或以太网）→ 硬件属性 → DNS 服务器分配 → 更改 → 选择 Cloudflare（1.1.1.1）或 Google（8.8.8.8），并启用 DNS-over-HTTPS。

步骤 5. 检查远程监控服务的日志

打开“事件查看器”：按 Win + R，输入 eventvwr.msc。转到 应用程序和服务日志 → Microsoft → Windows → DiagTrack。在这里，您将看到何时以及发送了哪些数据。如果没有发送——服务已禁用。如果有——请确保它们是通过代理发送的。

附加信息：禁用广告标识符

不要忘记禁用 Windows 广告标识符：设置 → 隐私与安全 → 常规 → 将“允许应用使用广告标识符显示个性化广告”开关切换为“关闭”。

还建议禁用输入诊断（设置 → 隐私 → 诊断与反馈）和活动历史记录（设置 → 隐私 → 活动日志）。这些设置不会被代理覆盖——它们在权限级别上工作，而不是网络流量级别。

结论

Windows 11 是一款默认设置为最大数据收集的操作系统。通过标准设置无法完全禁用远程监控，但可以大大限制其能力。结合三种方法可以获得最佳效果：通过专用工具禁用远程监控服务，为应用程序设置系统代理，以及使用 Proxifier 拦截系统服务的流量。

重要的是要记住：Windows 中的标准系统代理不会拦截 DiagTrack 和 WER 等服务的流量。要实现完全控制，需要像 Proxifier 这样的工具，它作为网络驱动程序工作，拦截来自任何进程的连接。

如果您想在 Windows 11 中设置可靠的隐私保护并通过代理引导所有系统流量，建议使用 住宅代理——它们提供高水平的匿名性，因为使用真实家庭用户的 IP 地址，并且不会引起 Microsoft 监控系统的怀疑。