Bạn không thể tắt hoàn toàn trình theo dõi GDID Windows 11 của Microsoft, nhưng những cài đặt này giới hạn những gì nó thu được

GDID là gì, dấu vân tay thiết bị Windows giúp FBI bắt hacker
GDID là gì, dấu vân tay thiết bị Windows giúp FBI bắt hacker

Một thanh niên 19 tuổi đi bộ qua sân bay Helsinki vào tháng 4/2026 mang theo hai ổ cứng 2TB và một vé đi Nhật Bản. Anh ấy không thể thực hiện chuyến bay đó. Cảnh sát Phần Lan đã ngăn chặn anh ta theo Thông báo đỏ của Interpol, và đến tháng 7, các công tố viên Hoa Kỳ đã tiết lộ một đơn khiếu nại liên bang xác định anh ta là Peter Stokes, một thành viên bị cáo buộc của nhóm hack Scattered Spider, bị truy nã về vụ vi phạm vào tháng 5 năm 2025 đối với một nhà bán lẻ trang sức xa xỉ của Hoa Kỳ và kết thúc với yêu cầu tiền chuộc 8 triệu USD.

Không, chúng tôi không đột nhiên trở thành một ấn phẩm báo cáo tội phạm, nhưng chính Microsoft đã trao cho FBI một cách để theo dõi PC Windows của Stokes trên VPN, máy chủ proxy và ba quốc gia. Công cụ này được gọi là một Mã định danh thiết bị toàn cầu hoặc GDIDvà bên ngoài một số trang tài liệu doanh nghiệp, hầu hết người dùng Windows chưa bao giờ nghe thấy thuật ngữ này trước khi trường hợp này được công khai.

Chúng tôi đã xem xét toàn bộ đơn khiếu nại dài 39 trang, kiểm tra chéo nó với kỹ thuật đảo ngược độc lập về cách Windows tạo và truyền mã định danh này, đồng thời kiểm tra thực tế các tuyên bố kỹ thuật kể từ khi câu chuyện vỡ lở. Dưới đây là mọi thứ bạn cần biết về GDID, cách nó phát hiện Stokes và ý nghĩa của nó nếu bạn là một trong 1,6 tỷ người sử dụng PC Windows.

Quyền riêng tư và bảo mật trong Windows 11

GDID là gì và nó đến từ đâu

Đơn khiếu nại trích lời đại diện của Microsoft mô tả GDID là “một mã định danh cấp thiết bị, liên tục được thiết kế để nhận dạng duy nhất quá trình cài đặt hệ điều hành Windows trên một thiết bị, thiết bị vật lý (ví dụ: điện thoại di động hoặc máy tính xách tay) hoặc máy ảo, trên một số dịch vụ và tình huống nhất định của Microsoft”

ID thiết bị toàn cầu (GDID) là dấu vân tay kỹ thuật số duy nhất, vĩnh viễn mà Microsoft tự động gán cho máy tính của bạn khi bạn cài đặt Windows hoặc đăng nhập vào tài khoản Microsoft.

Microsoft sử dụng nó để quản lý cấp phép phần mềm và ứng dụng Windows Store, nhưng vì nó liên kết tất cả hoạt động trực tuyến của bạn trên máy tính đó với một danh tính duy nhất nên cơ quan thực thi pháp luật có thể sử dụng nó để theo dõi chủ sở hữu thực sự của thiết bị trên internet

Nó tồn tại trong các bản cập nhật Windows. Nó không tồn tại sau khi cài đặt lại sạch sẽ và chú thích cuối trang của Microsoft trong đơn khiếu nại thừa nhận “một người dùng Microsoft có thể có nhiều GDID” trong suốt vòng đời của một tài khoản.

Microsoft đã nói GDID làm gì mà không nói nó ở đâu trong Windows. Để làm được điều đó, các nhà nghiên cứu độc lập đã phải thiết kế ngược vì Microsoft đã xuất bản chính xác một câu về GDID trong tài liệu tham khảo Azure Monitor cho báo cáo Tối ưu hóa phân phối, trong đó một cột có tên GlobalDeviceId chỉ được mô tả là “Số nhận dạng thiết bị toàn cầu của Microsoft. Đây là số nhận dạng được Microsoft sử dụng nội bộ.”

Cách Windows tạo GDID

Chuỗi thực sự bắt đầu với dịch vụ Tài khoản Microsoft.

Tài khoản Windows 11 và Microsoft

Khi Windows cấp phép cho một thiết bị dựa trên Tài khoản Microsoft, một dịch vụ hệ thống có tên wlidsvc sẽ liên lạc với login.live.com và lấy lại thứ mà Microsoft gọi là PUID thiết bị, ID duy nhất của hộ chiếu, bên trong phản hồi SOAP của máy chủ. Máy chủ được chỉ định. Windows không bao giờ tính toán cục bộ từ bất kỳ thứ gì trên PC của bạn. Nó nhận một chuỗi và lưu trữ nó.

PUID nằm trong tổ chức đăng ký của riêng bạn, ở dạng văn bản thuần túy, tại HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendsProperties dưới giá trị có tên LID. Từ đó, Nền tảng thiết bị được kết nối, cùng một dịch vụ nền (cdp.dll, chạy dưới dạng CDPSvc) hỗ trợ Liên kết điện thoạiđám mây bìa kẹp hồ sơChia sẻ lân cận, đọc PUID đó và đăng ký nó vào Dịch vụ thư mục thiết bị của Microsoft, đây là biểu đồ nhận dạng đằng sau tất cả các tính năng trên nhiều thiết bị của Microsoft. Ở đó, số có chữ g viết thường ở phía trước và được viết dưới dạng g:thập phân. Sau đó, Tối ưu hóa Phân phối sẽ báo cáo giá trị tương tự đó trở lại máy chủ của Microsoft dưới dạng UCDOStatus.GlobalDeviceId mỗi khi PC của bạn chia sẻ hoặc tải xuống dữ liệu cập nhật ngang hàng.

Bây giờ cho phiên bản bằng tiếng Anh đơn giản: Đăng nhập vào Windows bằng Tài khoản Microsoft và máy chủ sẽ gán cho cài đặt của bạn một số ID cố định. Windows lưu trữ nó cục bộ, một số dịch vụ nền đọc nó và nó được gắn vào hoạt động mà PC của bạn báo cáo lại cho Microsoft.

Cài đặt lại Windows và bạn nhận được một số mới, nhưng hồ sơ của chính Microsoft đưa ra mọi lý do để liên kết số mới với số cũ, thông qua cùng một tài khoản, OneDrive và lịch sử kích hoạt, gần giống với những gì đã xảy ra với Stokes.

FBI đã sử dụng GDID để bắt Stokes như thế nào

Stokes bị bắt vì anh ta sử dụng cùng một thiết bị Windows cho mọi thứ và GDID đã ghép tất cả lại với nhau sau sự việc.

Các thành viên của Scattered Spider đã gọi điện đến bộ phận trợ giúp CNTT của nhà bán lẻ trang sức từ số Google Voice, đóng giả là nhân viên bị khóa và yêu cầu nhân viên hỗ trợ đặt lại ba tài khoản, hai tài khoản có đặc quyền của quản trị viên. Từ đó, họ cài đặt một công cụ đào hầm có tên ngrok để vượt qua hệ thống phòng thủ mạng của nhà bán lẻ, chuyển khoảng 77 gigabyte dữ liệu sang bộ lưu trữ đám mây Amazon bằng ngrok và một công cụ thứ hai có tên Teleport, đã thử triển khai ransomware nhưng không thành công, sau đó gửi email đòi tiền chuộc với dòng chủ đề “QUAN TRỌNG: CHÚNG TÔI STOLE DỮ LIỆU, LIÊN HỆ NGAY LẬP TỨC [sic].” Họ yêu cầu 8 triệu đô la tiền điện tử. Nhà bán lẻ từ chối, chi khoảng 2 triệu USD chi phí dọn dẹp và tiếp tục.

Các nhà điều tra sau đó đã triệu tập ngrok và phát hiện tài khoản được sử dụng trong vụ tấn công đã được tạo vào ngày 12 tháng 5 năm 2025, lúc 19:21 UTC từ địa chỉ IP proxy VPN do Tzulo, một nhà cung cấp dịch vụ lưu trữ, điều hành. IP là một ngõ cụt. Proxy VPN làm điều đó. Nhưng GDID được xây dựng khác.

Tìm địa chỉ IP
Nguồn: DOJ

Hồ sơ của Microsoft cho thấy rằng vào đúng phút đó, một thiết bị Windows mang GDID g:6755467234350028 đã truy cập trang đăng ký ngrok. Ba giờ sau, GDID tương tự đã truy cập trang web riêng của nhà bán lẻ, thông qua cùng địa chỉ proxy Tzulo được sử dụng để thiết lập tài khoản ngrok. Nó cung cấp cho FBI một thiết bị không xoay vòng theo cách các nút thoát VPN thực hiện.

Từ đó cuộc điều tra trở thành những điểm kết nối. Sau khi các đặc vụ có dòng thời gian của mọi địa chỉ IP mà thiết bị đã sử dụng, họ sẽ tham chiếu chéo nó với các thông tin đăng nhập đã biết vào các tài khoản mà các công tố viên nghi ngờ thuộc về Stokes:

  • Vào ngày 4 tháng 6 năm 2024, thiết bị của GDID đã sử dụng địa chỉ IP ở Tallinn, Estonia, nơi Stokes sống. IP tương tự đã đăng nhập vào tài khoản Snapchat của anh ấy bốn phút trước đó và tài khoản Facebook của anh ấy khoảng 80 phút sau đó.
  • Vào ngày 17 và 18 tháng 11 năm 2024thiết bị tương tự xuất hiện trên một địa chỉ IP ở New York, khớp với thông tin đăng nhập trên một trong các tài khoản Apple của Stokes và tài khoản Snapchat của anh ấy. Nhiều tuần sau, vào ngày 26 tháng 11cùng một thiết bị đã truy cập trang web của Khách sạn Empire ở New York, khớp với một chuyến đi khác đã được xác nhận của Stokes. Anh ta đã đăng một bức ảnh Snapchat một ngày trước đó mà các nhà điều tra đã so sánh, từ tấm thảm đến giấy dán tường, với những bức ảnh được quảng cáo công khai về một dãy phòng ở Khách sạn Empire.
  • Vào ngày 2 tháng 2 năm 2025thiết bị xuất hiện trên một IP có trụ sở tại Thái Lan, khớp lại với thông tin đăng nhập Apple và Snapchat của anh ấy. Stokes đã đăng một bức ảnh Snapchat có chú thích “WALDORF ASTORIA BANGKOK” một ngày trước đó.
  • Vào ngày 8 tháng 1 năm 2025cùng một thiết bị, hiện đã quay trở lại IP của Estonia, đã đăng nhập vào trò chơi di động Growtopia. Ngày hôm trước, chính địa chỉ IP đó đã truy cập vào một trong các tài khoản Apple của Stokes, sau đó là tài khoản Ubisoft được liên kết với thông tin đăng nhập Growtopia đó hai phút sau đó.

Tất nhiên, tất cả các hoạt động này không có vẻ đáng ngờ khi được thực hiện riêng lẻ. Điều khiến vụ việc xảy ra là cùng một GDID và bản cài đặt Windows vật lý, liên tục xuất hiện vào những thời điểm chính xác mà các nhà điều tra tài khoản đã biết là của Stokes, trên khắp bốn quốc gia trong khoảng tám tháng.

Lưu ý rằng, Microsoft đã gắn cờ Stokes cho FBI một lần trước đó, trong một báo cáo tội phạm vào tháng 10 năm 2024 mô tả “đo lường từ xa các dịch vụ trực tuyến.

Tại sao điều này lại làm phiền các nhà nghiên cứu quyền riêng tư, ngay cả khi một hacker đã bị bắt

Không ai tranh cãi rằng đã bắt nhầm người. Stokes, cùng với các thành viên còn lại của Scattered Spider, bị buộc tội về hơn 100 vụ xâm nhập công ty và hơn 100 triệu USD tiền chuộc, theo con số của DOJ. Hệ thống đã hoạt động như dự định ở đây.

Điều khiến các nhà nghiên cứu lo lắng là mọi thứ khác mà vụ án tiết lộ. Costin Raiu, một nhà nghiên cứu phần mềm độc hại nổi tiếng, đã hỏi trên podcast Three Buddy Vấn đề về mức độ tồn tại của phần mềm độc hại này trên các nền tảng khác và liệu nó có được liên kết lâu dài hơn với phần cứng hay không. Matthew Hickey, một nhà nghiên cứu bảo mật khác, gọi Windows là “phần mềm giám sát”.

Podcast Ba vấn đề về bạn bè về Microsoft GDID

Hai điều ủng hộ điều đó:

  1. Không có màn hình đồng ý. GDID được chỉ định khi bạn đăng nhập vào Tài khoản Microsoft. Mã nhận dạng quảng cáo của Apple cần có lời nhắc Minh bạch về việc theo dõi ứng dụng và lệnh đặt lại rõ ràng; Android hoạt động theo cách tương tự. GDID không có và việc cài đặt lại Windows chỉ mang lại cho bạn một số mới. Microsoft vẫn có thể lấy lại cùng một tài khoản.
  2. Sau đó là kích hoạt. Massgrave, nhóm đứng đằng sau Microsoft Activation Scripts, lưu ý rằng thiết lập Windows sẽ gửi thông tin phần cứng tới Microsoft và lấy lại số nhận dạng, các mã thông báo tương tự sau này được sử dụng để truy cập và cấp phép Store: “Không thể ngăn Windows lấy GDID mà không phá vỡ kích hoạt và ứng dụng UWP[s].” Bất kỳ ai bị mất giấy phép sau khi đổi bo mạch chủ đều đã gặp phiên bản nhỏ hơn của phiên bản này.

Có, mọi hệ điều hành chính đều giữ một số nhận dạng thiết bị cố định và mọi nhà cung cấp đều có thể bị triệu tập. Nhưng điều khác biệt với Microsoft là khả năng hiển thị và khả năng kiểm soát, còn Windows thua cả hai nền tảng của Apple và Google.

Bạn có thể làm gì về nó

Cài đặt lại Windows không phải là cách khắc phục mà mọi người thường nghĩ. Bạn nhận được GDID mới nhưng đăng nhập lại vào cùng một Tài khoản Microsoft và Microsoft có mọi lý do để kết nối GDID đó với hoạt động cũ của bạn. Một số điều giúp ích nhiều hơn:

  • Sử dụng tài khoản cục bộ thay vì Tài khoản Microsoft nhưng chúng tôi cũng nhận thấy việc bỏ qua việc đăng nhập bằng tài khoản Microsoft đã trở nên khó khăn như thế nào. May mắn thay, công ty đang làm cho nó dễ dàng hơn. Đăng nhập bằng tài khoản cục bộ
  • Tắt Lịch sử hoạt động, trong Cài đặt > Quyền riêng tư và bảo mật > Lịch sử hoạt động. Cài đặt tương tự cũng hỗ trợ Liên kết điện thoại và tính liên tục của nhiều thiết bị, đây có thể là một sự cân bằng.
  • Tắt dữ liệu chẩn đoán tùy chọn, trong Cài đặt > Quyền riêng tư và bảo mật > Chẩn đoán và phản hồi. tắt gửi dữ liệu chẩn đoán tùy chọn
  • Xem hướng dẫn của chúng tôi về cách loại bỏ các tính năng AI và dịch vụ nền không mong muốn khỏi Windows 11.
  • Đối với các tình huống báo chí, hoạt động hoặc lạm dụng gia đình, hãy bỏ qua Windows và sử dụng Linux được chuyển qua Tor thay vì VPN thương mại. GDID không quan tâm bạn sử dụng VPN nào, chỉ có điều đó vẫn là bản cài đặt Windows giống nhau.

nhận của chúng tôi

Tôi có vui vì Stokes bị bắt không? Vâng, không do dự. Ba mươi lăm trang viết về một thiếu niên khoe khoang về những chuỗi kim cương đánh vần “HACK THE PLANET” trong khi tống tiền một cửa hàng trang sức không có nhiều chỗ cho sự thông cảm, bất kể công nghệ đo từ xa của Microsoft đóng vai trò gì trong việc xây dựng vụ án.

Nhưng điều đó không làm cho GDID ổn. Mọi công ty bán phần mềm cho bạn đều có một số phiên bản này và danh tính thiết bị cố định là điều hợp lý để đưa vào hệ thống kích hoạt và gian lận. Điều khiến tôi chú ý là hầu hết mọi người chưa bao giờ biết đến thuật ngữ GDID trước khi nộp đơn lên tòa án liên bang như thế này. Microsoft đã viết một câu về nó trong bảng tham chiếu Azure Monitor dành cho quản trị viên CNTT doanh nghiệp lấy báo cáo cập nhật, không dành cho khoảng 1,6 tỷ người bình thường có PC đang tạo ra dữ liệu này.

Bạn có thể đủ hiểu biết về công nghệ để tắt Lịch sử hoạt động, chọn một tài khoản cục bộ và loại bỏ mọi thông tin đo từ xa tùy chọn, nhưng không điều nào trong số đó thay đổi được sự thật là số nhận dạng tồn tại và nó trả lời Tài khoản Microsoft của bạn thay vì bạn. Microsoft chỉ nói với công chúng về điều đó khi tòa án buộc phải đưa ra vấn đề.

Bản tin WL

Nhận tin tức của Microsoft trong hộp thư đến của bạn!

Luôn dẫn đầu với các bản cập nhật Windows, CNTT và Microsoft 365 mới nhất. Được tin cậy bởi hơn 50.000 người đăng ký.