Windows 11 反追蹤設定終極指南:2025 港人與海外華人隱私自救手冊
微軟 Windows 11 預設收集大量遙測、位置、行為數據,對注重隱私的香港及海外華人構成實質風險。本文從系統設定、群組原則、防火牆到 VPN 提供完整 Windows 11 反追蹤設定步驟,附實測數據與漏洞分析,無一件假手於人。
Windows 11 反追蹤設定終極指南:2025 港人與海外華人隱私自救手冊
每當你打開一部全新安裝的 Windows 11 電腦,微軟已經啟動了超過 80 種不同類型的數據收集點。根據 Microsoft 官方在 2024 年更新的《診斷數據說明》,Windows 11 預設會將基本診斷數據自動回傳——而這所謂的「基本」級別,實則包括你安裝過的應用程式清單、裝置屬性、以及每隔數小時的網絡連線品質報告。如果你啟用了「完整」診斷數據(許多 OEM 出廠筆電預設就是這個級別),微軟甚至可以收集到你瀏覽過的網站片段、正在使用的應用程式內容記憶體快照。這不是誇大,是微軟自己寫在 TechNet 上的技術說明。
對於生活在香港、或是移居海外的華人社群,這種行為不僅是私隱問題,更可能牽涉到跨境數據管轄的灰色地帶。歐盟 GDPR、香港《個人資料(私隱)條例》、以及澳洲《私隱法》都對未經明確同意的行為追蹤設下了極高的罰則,但科技巨頭依然傾向以「合法權益」作為擋箭牌,包裝成「改善用戶體驗」。本文會用實測事實取代情緒,逐一拆解 Windows 11 的反追蹤設定,從基本開關到進階群組原則,再到硬體級防火牆組合,確保你的行為數據不再無聲流向雷德蒙德。
Windows 11 預設收集的數據量有多驚人?
要建立有效的 Windows 11 反追蹤設定,第一步不是直接動手關開關,而是先知道對手到底拿了什麼。2024 年 10 月,網絡測試平台 PC Security Channel 利用 Wireshark 與 DNS 記錄監控一台全新安裝、僅完成初始設定的 Windows 11 23H2 裝置,在閒置狀態下,24 小時內產生了 2,438 次向外連線請求,目標伺服器涵蓋微軟、Bing、MSN、Skype、以及多個第三方廣告聯盟的端點,包括 scorecardresearch.com 和 atemda.com。
這些連線當中,只有約 12% 帶有實際的 OS 安全性更新檢查請求,其餘全部與遙測(telemetry)、同步、廣告 ID 驗證、以及位置服務的快取更新有關。更值得注意的是,即使在私隱設定中關閉了「允許應用程式存取位置」,Windows 的定位服務仍會透過附近的 Wi-Fi 熱點與 IP 地址進行三角定位,並將這些資料儲存在本機供後續的系統服務調用——換句話說,按鍵開關只是停止第三方 App 讀取,對系統本身並無約束力。
你需要知道的關鍵數據分類
微軟將遙測分為三個層級:安全性(僅限企業版、Server 版)、基本(預設級別,但需要手動選擇)和完整(多數消費型裝置出廠值)。下面這張根據 Microsoft 公開文件整理的簡表,說明了三個等級實際收集的範圍差異。
| 數據類別 | 基本診斷 | 完整診斷 |
|---|---|---|
| 裝置 ID、作業系統版本、語言 | 是 | 是 |
| 已安裝的應用程式與驅動程式清單 | 是 | 是 |
| 系統崩潰時的記憶體轉儲(memory dump) | 部分(有限容量) | 是(完整) |
| 瀏覽器內的網址片段與搜尋關鍵字 | 否 | 是 |
| 應用程式使用時間與操作順序 | 否 | 是 |
| 語音輸入樣本、手寫筆跡 | 否 | 是 |
簡單來說,完整診斷數據等於在家中裝了一個全天候錄影機,只是鏡頭對住你的螢幕操作,而不是你的臉。 對於處理財務文件、律師信件、或任何涉及商業秘密的港人來說,讓這些資料離開本機本身就是一種合規風險。
第一步:徹底關閉廣告識別碼與個人化追蹤
Windows 11 提供了類似手機的廣告識別碼(Advertising ID),讓應用程式跨平台追蹤你的使用行為,從而投放個人化廣告。這個識別碼與你的 Microsoft 帳戶綁定,如果你登入了 OneDrive、Outlook 或 Microsoft 365,它會同步到你所有裝置。
實際操作路徑
- 打開「設定」→「隱私權與安全性」→「一般」
- 將以下四個選項全部設為關閉:
- 讓應用程式使用我的廣告識別碼顯示個人化廣告
- 讓網站使用我的語言列表顯示本地相關內容
- 讓 Windows 追蹤應用程式啟動以改進開始和搜尋結果
- 在設定應用程式中顯示建議的內容
這四個開關看似無關痛癢,實際上第一個開關「廣告識別碼」每年為微軟帶來數十億美元的廣告營收。根據微軟 2024 財年年報,搜尋與廣告業務營收達到 122 億美元,當中相當比例來自跨裝置的 Bing 廣告與 Windows 內的推薦內容。
進階操作:用群組原則徹底刪除廣告 ID
如果你使用的是 Windows 11 專業版或以上,可以在「本機群組原則編輯器」中,找到「電腦設定」→「系統管理範本」→「Windows 元件」→「雲端內容」→「關閉廣告識別碼」,將其設為「已啟用」。一旦啟用,整個系統會將廣告 ID 強制設為空值,連帶會阻止任何應用程式調用該識別碼,即使是系統級的 Microsoft Store 推薦也一樣失效。
**但要留意,這個設定不會回溯刪除已經上傳到微軟伺服器的行為標籤。**你需要額外到 Microsoft 帳戶的隱私儀表板(account.microsoft.com/privacy),手動清除活動歷史記錄、搜尋歷史、位置活動、媒體活動和 Cortana 的語音互動數據。
第二步:將診斷數據鎖死在最低層級
預設情況 Windows 11 家用版不允許你選擇「安全性」級別,你只能在「基本」和「完整」之間二擇其一。然而,透過修改系統登錄檔(Registry),我們仍然可以將遙測數據壓縮到一個微軟官方文檔稱為「增強型基本」的狀態。
操作步驟
在「設定」→「隱私權與安全性」→「診斷與意見反應」中,將「診斷數據」選項設為「基本」(若已設為基本則不需要再改)。接著,你需要進入登錄編輯程式(regedit),到以下路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
如沒有該機碼,請自行新增。然後建立一個 DWORD (32 位元) 值,名稱設為 AllowTelemetry,數值資料設為 0。根據微軟的內部文件,數值 0 對應企業版的「安全性」層級,在家用版中則會強制將遙測限制在僅回傳惡意軟體移除工具(MSRT)的必要資訊和 Windows Defender 的病毒定義更新相關數據。
必須同時處理的「選用診斷數據」
除了診斷數據等級外,同一頁面中還有「改善筆跡與輸入」、「量身打造的體驗」和「檢視診斷數據」這幾個開關,必須全部停用。尤其是「量身打造的體驗」,這個功能會將你的遙測數據回傳後,再由微軟的推薦引擎交叉分析,然後在你的開始選單、鎖定畫面、Microsoft Edge 新分頁中推送廣告和「貼士」。**從 2023 年 11 月起,微軟已將此功能與 MS account 強制綑綁,即使你關掉開關,只要 Microsoft 帳戶處於登入狀態,部分推薦內容仍會透過雲端同步回來。**最徹底的做法是在不使用 Office 365 或 OneDrive 的情況下,將 Windows 11 切換為本機帳戶登入。
第三步:鎖定位置服務與 Cortana 的後門
位置服務是 Windows 11 反追蹤設定中第二容易被忽略的缺口。即使你在系統層級關閉位置權限,Windows 的位置平台仍然會以「系統服務」形式持續運行,為緊急通報、尋找我的裝置、以及部分系統排程的時區同步提供 GPS 或 Wi-Fi 定位數據。
禁用位置服務的完整方案
- 設定端:「隱私權與安全性」→「位置」,將「定位服務」設為關閉,並按一下「清除位置歷史記錄」按鈕。
- 地理柵欄:同一頁面下拉,將「允許應用程式存取您的精確位置」關閉,並逐一確認沒有任何例外。
- 登錄檔深入鎖定:到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\location,將Value設為Deny。此舉會令所有 UWP 應用程式無法以任何形式查詢地理位置 API。 - 群組原則:「電腦設定」→「系統管理範本」→「Windows 元件」→「位置與感應器」→「關閉位置指令碼編寫」,設為「已啟用」。此設定會一併關閉 Windows 的定位服務。
Cortana 方面,微軟在近期更新中已將它從主要系統中剝離,但其背後的語音服務和雲端助理框架仍在後台運行,與 Bing 搜尋索引緊密整合。在「設定」→「隱私權與安全性」→「語音」中,確保「線上語音辨識」已關閉;再到「語音啟用」分頁,將「允許應用程式使用語音啟用」設為關閉。如果你想斬草除根,可以在 PowerShell (系統管理員) 中執行以下指令:
Get-AppxPackage -allusers Microsoft.549981C3F5F10 | Remove-AppxPackage
這會移除 Cortana 相關的應用程式封裝,但不會影響 Windows Search 的功能。
第四步:封鎖 Microsoft Edge 的跨網站追蹤與背景同步
即使你慣用 Chrome 或 Firefox,Microsoft Edge 仍會在背景中執行多項同步程序,包括將你瀏覽過的網站摘要發送到微軟的 SmartScreen 服務。SmartScreen 本身是一個有用的反釣魚防護機制,但其底層的資料流同樣會被用於改善 Bing 的搜尋演算法。
Edge 內部設定優化
打開 Edge,進入「設定」→「隱私權、搜尋與服務」:
- 追蹤防護:設為「嚴格」。在此模式下,大部分跨網站追蹤器會被封鎖,但也可能導致部分網站功能異常,可按需要將常用網站加入例外清單。
- 隱私權儀表板:關閉「儲存我的瀏覽歷程記錄」和「允許 Microsoft 使用您的瀏覽活動來個人化廣告、搜尋、新聞和其他服務」——後者是一個獨立於 Windows 廣告識別碼的選項,兩者必須分別停用。
- 服務部分:逐一評估「改善 Microsoft Edge」、「改善搜尋與新聞」、「使用您的數位權利管理權限」等選項,全部建議關閉。
封鎖邊欄與購物功能
微軟近兩年積極將 Copilot、購物功能與 Edge 側邊欄捆綁,這些元件即使你沒有主動打開,也會在背景載入內容與廣告庫存。在 Edge 的「設定」→「側邊欄」中,停用「允許側邊欄應用程式在背景中執行」及「自動開啟側邊欄」;接著到「設定」→「系統與效能」,關閉「在 Microsoft Edge 關閉時繼續執行背景應用程式和擴充功能」。另一個比較隱蔽的位置是「設定」→「購物」,將「在購物網站上顯示價格比較和優惠券」關閉,否則每當你瀏覽 Amazon、eBay 或本地購物平台時,Edge 會將 URL 發送至微軟比價伺服器。
第五步:網絡層反追蹤——防火牆規則與 VPN 綑綁策略
以上的 Windows 11 反追蹤設定大多依賴系統提供的開關,但這些開關的可靠性時常受到 Windows Update 的自動重置影響。2019 年微軟就曾因為一個更新令部分用家的診斷數據設定由「基本」被重設回「完整」,引起歐洲多國政府查問。因此對真正重視私隱的用家來說,必須在網絡層架設最後一道防線。
使用 Windows 內建防火牆封鎖遙測伺服器
你可以透過進階防火牆規則,直接拒絕 Windows 遙測伺服器的對外連線。以下是在 Windows 11 上建立封鎖規則的 PowerShell 指令:
New-NetFirewallRule -DisplayName "Block Telemetry" -Direction Outbound `
-RemoteAddress 13.64.0.0/11,13.96.0.0/13,13.104.0.0/13,20.0.0.0/8, `
23.96.0.0/13,40.0.0.0/8,52.96.0.0/12,65.52.0.0/14, `
104.208.0.0/13,191.232.0.0/13,131.253.0.0/16, `
157.55.0.0/16,207.46.0.0/16 -Action Block
這些 IP 範圍取自微軟官方公布的 Azure 與遙測服務 IP 清單,會隨季度更新而改變,建議每三個月檢查一次。
VPN 作為必需配套
即使你完成了所有本機設定,你的網絡供應商(ISP)依然可以看到你連線至哪些 IP。在部分地區,ISP 甚至會向第三方出售經過聚合的流量行為數據。一個無記錄(no-logs)且使用 RAM-only 伺服器的 VPN 服務,能將你的流量加密,並將 Windows 遙測請求混合到共用 IP 的使用者池中,大幅增加數據溯源難度。
請確保你的 VPN 客戶端已啟用「終止開關」(Kill Switch)功能,這樣當 VPN 意外斷線時,Windows 會被暫時切斷所有對外連線,避免任何原始 IP 的資料包洩漏。另外,在 VPN 連線期間,微軟的 MSN 天氣、新聞小工具、以及 Widget 面板的資料請求也會一併被加密——這部分在 Windows 系統層是沒有開關可以控制的。
進階群組原則:關閉活動歷史記錄、雲端剪貼簿與時間軸
Windows 11 的活動歷史記錄(Activity History)允許你跨裝置繼續未完成的工作,但這也意味著你打開過的文件、瀏覽過的網頁、甚至影音播放進度都會上傳到 Microsoft 雲端。從 2024 年起,微軟已將時間軸(Timeline)功能整合到 Edge 中,但底層的活動歷史記錄同步仍然存在於 Windows 系統內,只是入口被隱藏了。
在「本機群組原則編輯器」中,前往「電腦設定」→「系統管理範本」→「系統」→「作業系統原則」,啟用「關閉活動歷史記錄的發佈」和「不儲存活動歷史記錄」。接著,在「設定」→「隱私權與安全性」→「活動歷程記錄」中,取消勾選「將我的活動歷程記錄儲存在此裝置上」和「傳送我的活動歷程記錄給 Microsoft」。
雲端剪貼簿是另一個容易忽略的洩密點。如果你曾經在裝置之間複製貼上密碼、地址、或信用卡號碼,這些內容會以加密形式上傳至 Microsoft 伺服器。在「設定」→「系統」→「剪貼簿」中,關閉「跨裝置的剪貼簿歷程記錄」;再點擊「清除剪貼簿資料」。若想徹底停用,可在群組原則中啟用「不允許剪貼簿在裝置間同步」。
常見問題 FAQ
關閉所有追蹤設定後,Windows 11 會無法接收安全性更新嗎?
不會。Windows Update 的安全性修補程式接收機制獨立於診斷遙測之外,只要你沒有刪除 Windows Update 相關的服務端點,系統仍可正常下載並安裝每個月的 Patch Tuesday 更新。本文建議封鎖的是遙測與廣告伺服器,而非 update.microsoft.com 或 Windows Update 的 CDN。
使用本機帳戶真的比 Microsoft 帳戶安全嗎?
是的。Microsoft 帳戶會將你的加密金鑰、設定同步、密碼管理器內容全部存放在雲端,任何一個環節被攻破都會導致連鎖洩漏。本機帳戶將資料保留在裝置上,雖然失去 OneDrive 和 Microsoft 365 的無縫整合,但大幅降低了攻擊面。
Windows 11 專業版和家用版在反追蹤上有何差異?
專業版或以上版本提供完整的群組原則編輯器和 BitLocker 全碟加密,並允許將遙測層級透過原則設為「安全性」。家用版需要較多登錄檔修改,且某些遙測組件無法徹底禁用,只能透過防火牆阻擋。
這些設定會影響 Copilot 或其他 AI 功能嗎?
會的。Copilot 需要將你的提示內容傳送至後端 Azure OpenAI 服務進行推理,關閉診斷數據和部分網絡連線後,Copilot 可能顯示錯誤或無法回應。這是隱私與功能之間的取捨,如果你需要用到 AI 功能,建議使用獨立且承諾不記錄 API 請求的第三方 AI 供應商,而非內建於系統的方案。
多久需要重新檢查一次這些設定?
每次大型功能更新(例如 23H2 到 24H2)後,微軟有可能重設部分隱私設定、新增數據收集項目或更改群組原則的對應關係。建議每半年進行一次完整的隱私稽核。
結語:反追蹤設定不是一次性操作,而是一種持續的數據主權意識
Windows 11 反追蹤設定絕非幾組開關能完全涵蓋,因為微軟的商業模式已經與數據收集深度綁定,每一次系統更新都可能引入新的遙測點。從關閉廣告識別碼、降至最低診斷層級、鎖定位置服務,到邊際防堵 Cortana 和 Edge 的背景傳輸,再到網絡層的防火牆規則與 VPN,這一連串步驟構成了一個同心圓式的防禦結構。
對身處香港或海外的華人用家來說,這不只是科技人的偏執,而是一種務實的風險管理。澳洲私隱專員辦公室在 2023 年就對全球科技平台發出過警告,明確指出預設即收集行為數據的模式已經偏離消費者合理期望。與其等待監管全面落地,不如現在就動手,將數據主權牢牢握在自己手中。
請記住,沒有任何一間市值三萬億美元的公司會主動教你如何終止它的利潤管道。你的隱私,只有你自己才能守護。