应将诊断数据级别设为“基本”并关闭全部可选上传通道、禁用DiagTrack服务、通过注册表设置AllowTelemetry=0和DisableDiagnostics=1、配置防火墙规则阻止WDAGUtilityAccount的svchost.exe出站连接。
如果您发现Windows 11系统在后台持续上传诊断日志,且观察到WDAGUtilityAccount账户出现异常网络活动,则可能是系统遥测与隔离容器诊断组件协同触发的数据外传行为。以下是阻止该行为的具体操作步骤:
一、将诊断数据级别设为“基本”并关闭全部可选上传通道
此操作通过系统内置隐私界面限制诊断数据的采集范围,强制系统仅保留运行所必需的最低限度信息,同时切断WDAG(Windows Defender Application Guard)相关组件向云端上报诊断日志的默认路径。
1、按下Win + I打开“设置”应用。
2、点击左侧“隐私和安全性”,再点击右侧“诊断和反馈”。
3、在“诊断数据”下拉菜单中,选择基本。
4、将“发送可选诊断数据”开关设置为关。
5、向下滚动,关闭“改进墨迹书写和键入”及“量身定制的体验”两项开关。
6、在页面底部找到“活动历史记录”链接,点击进入后取消勾选“在此设备上存储我的活动历史记录”与“向Microsoft发送我的活动历史记录”。
二、禁用WDAG相关服务与诊断组件
WDAGUtilityAccount是Windows Defender Application Guard用于运行隔离环境的专用系统账户,其活动常伴随DiagTrack(Connected User Experiences and Telemetry)服务的数据采集行为。禁用该服务可直接阻断WDAG诊断日志的生成与上传链路。
1、按下Win + R打开“运行”窗口,输入services.msc并回车。
2、在服务列表中找到Connected User Experiences and Telemetry(显示名称可能为DiagTrack)。
3、右键点击该项,选择“属性”。
4、在“常规”选项卡中,将“启动类型”设为禁用。
5、若当前状态为“正在运行”,请先点击“停止”按钮终止实例。
6、点击“应用”和“确定”保存更改。
三、通过注册表屏蔽WDAG诊断日志上传路径
WDAG组件会调用Windows Error Reporting与DataCollection子系统上传容器内崩溃或诊断事件。注册表修改可在系统级拦截其调用入口,覆盖WDAGUtilityAccount权限范围内所有诊断上报行为。
1、按下Win + R打开“运行”窗口,输入regedit并以管理员身份运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection。
3、若该路径不存在,右键“DataCollection”父项 → 新建 → 项,命名为DataCollection。
4、在新建项右侧空白处右键 → 新建 → DWORD (32位) 值,命名为AllowTelemetry。
5、双击该值,将数值数据设为0,基数选十进制。
6、继续导航至:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Defender\ApplicationGuard。
7、在右侧空白处右键 → 新建 → DWORD (32位) 值,命名为DisableDiagnostics,数值数据设为1。
四、重置WDAGUtilityAccount网络访问权限
WDAGUtilityAccount本身不具备交互登录能力,但其进程可通过系统网络栈发起连接。通过Windows防火墙规则显式拒绝该账户所有出站连接,可彻底阻断其诊断日志上传行为,且不影响主用户正常使用。
1、在任务栏搜索框中输入高级安全 Windows 防火墙,以管理员身份打开。
2、点击左侧“出站规则”,再点击右侧“新建规则…”。
3、选择“程序”,点击“下一步”。
4、选择“此程序路径”,输入:%SystemRoot%\System32\svchost.exe,点击“下一步”。
5、选择“阻止连接”,点击“下一步”。
6、在“配置文件”页面保持全选(域、专用、公用),点击“下一步”。
7、在“名称”字段输入:Block WDAGUtilityAccount Diagnostics,点击“完成”。
8、右键刚创建的规则 → “属性” → 切换至“安全”选项卡 → 点击“配置” → 在“此规则应用于”中勾选WDAGUtilityAccount → 点击“确定”。
