微软确认Windows GDID设备标识符无法禁用
微软在美国检察官针对一名涉嫌Scattered Spider黑客团伙的成员提交的联邦起诉书中公开承认了全球设备标识符(GDID)的存在,GDID是分配给Windows安装的设备特定ID。该ID是在使用Microsoft账户设置Windows时生成的,并在Windows更新过程中保持存在,无法禁用,否则会影响Windows激活和Microsoft Store应用。微软在Azure Monitor文档中简要提及了GDID,仅将其描述为“微软内部使用的标识符”。起诉书引用了一位微软代表对GDID的描述,称其为“一个持久的、设备级的标识符,旨在唯一标识设备上Windows操作系统的安装,无论是物理设备如手机或笔记本电脑,还是虚拟机,跨越某些微软服务和场景。”全球设备标识符(GDID)是什么及FBI如何使用它全球设备标识符(GDID)是分配给通过Microsoft账户配置的Windows的永久ID。它是由一系列Windows服务生成的。wlidsvc服务从login.live.com请求设备PUID,然后通过连接设备平台注册到微软的设备目录服务。数据传输优化在PC共享或下载更新时将GDID报告回微软。该标识符存储在Windows注册表中的HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties下,并以小写的“g”前缀后跟十进制数字格式存储。它被报告给微软服务器,并在Windows更新中保持持久性,但在干净重装后不会保留。微软已承认,一个用户可以通过其账户、OneDrive和激活历史记录链接多个GDID。FBI使用GDID跟踪Peter Stokes,涉嫌的Scattered Spider成员,跨越VPN连接、代理服务器以及经过四个国家,持续了大约八个月。根据起诉书,GDID g:6755467234350028在攻击中使用的帐户通过Tzulo VPN代理创建时被记录访问ngrok注册页面。三小时后,同一GDID通过同一代理访问了一个受害者零售商的网站。该设备与Stokes在Snapchat、Facebook、Apple和Ubisoft账户上的IP地址进行了交叉参考,涵盖爱沙尼亚、纽约、泰国和其他地点。Stokes的公开Snapchat照片与GDID有关的酒店预订、地点和旅行时间表相匹配。GDID在VPN会话中的持久性被证明是一个关键调查工具。尽管VPN IP地址经常变化,但基础的Windows安装持续报告相同的标识符,帮助调查人员追踪。为何隐私研究人员担忧以及用户能做些什么多个安全研究人员对用户对GDID的可见性和控制权提出了担忧:分配GDID时没有同意屏幕。苹果的广告标识符要求提供明显重置的应用跟踪透明度提示。安卓提供类似的控制。GDID二者均没有。依赖于激活。负责微软激活脚本的Massgrave团队指出,Windows设置将硬件信息发送到微软,并接收返回的标识符,这些标识符随后用于Store访问和许可。阻止GDID分配会破坏激活和UWP应用。重装Windows会生成新的GDID,但重新登录同一Microsoft账户会给微软提供将新标识符与之前活动关联的清晰路径。微软对该标识符的公开文档仅在Azure Monitor参考表中的一个句子中针对企业IT管理员。安全研究人员Matthew Hickey对这一案件回应称Windows是“监控软件”。Costin Raiu在Three Buddy Problem播客中询问其他平台是否存在类似功能。关心GDID的用户由于无法关闭该标识符而没有直接可选方案。减少相关追踪的实际步骤包括:尽可能使用本地账户而非Microsoft账户。Windows 11在最新版本中变得更加困难,但在设置期间仍可以为知道如何找到的用户提供该选项。通过设置、隐私和安全、诊断和反馈关闭可选的诊断数据。在隐私和安全的推荐和优惠下禁用个性化广告和启动跟踪。在隐私和安全的搜索中关闭云内容搜索,以停止本地搜索将数据发送到Bing。在隐私和安全设置中检查并禁用活动历史记录和其他遥测选项。对于新闻报道、活动或家庭暴力情况,其中标识符持久性构成威胁,可以使用通过Tor路由的Linux,而不是依赖于Windows。
本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。
☕请我喝杯咖啡