NexusOne23/noid-privacy

⚠️ 重要提示：域加入系统与系统备份（点击展开）

### 🏢 域加入系统（Active Directory） **警告：** **不建议**在生产域加入系统（未经 AD 团队协调）中使用此工具！ - 此工具修改**本地组策略** - 域组策略**每 90 分钟覆盖一次本地策略** - 您的加固设置**可能被域 GPO 自动重置** **适用于：** 独立系统、家庭/个人 PC、虚拟机、气隙系统、测试/开发环境。 **对于企业/域环境：** 请将这些设置集成到您的域组策略中！ ### 💾 系统备份 **必需** **运行此工具前，请创建：** 1. **Windows 系统还原点**（推荐） 2. **完整系统映像/备份**（关键！） 3. **虚拟机快照**（如果在虚拟机中运行） 工具会创建用于回滚的内部备份（BAVR 模式），但完整系统备份可保护您免受意外问题、硬件故障和配置冲突的影响。 **备份工具：** Windows 备份、wbadmin、Macrium Reflect、Acronis、Hyper-V/VMware 快照。

## ⚡ 30 秒了解 **是什么？** 适用于 Windows 11 25H2 的 Microsoft 安全基线 + 高级加固 **如何实现？** PowerShell：**备份** **应用** **验证** **恢复**（注册表/服务/防火墙变更可逆；部分预装软件卸载需通过 Microsoft Store 手动重装） **适用于谁？** 专业人士、高级用户、**无 Intune/Active Directory** 的中小企业 **630+ 安全设置 • 7 个模块 • 所有已应用设置均采用 BAVR 模式** *_NoID 隐私更改的所有设置。某些版本上部分预装软件卸载故意设计为非自动可逆；请参阅下方“可逆性”部分。_ ## 🤔 既然主要是安全，为什么叫 "NoID 隐私"？ **因为安全与隐私不可分割。两者缺一不可。** **🛡️ 安全基础** - 425 项设置：适用于 Win11 25H2 的 MS 安全基线 - 24 项设置：适用于 Edge 的 MS 安全基线 - 19 条规则：攻击面缩减 - VBS + Credential Guard*：硬件级防护 **🔒 隐私层** - DNS：阻止遥测、跟踪、广告 (DoH) - 遥测：3 种模式（MSRecommended/严格/偏执） - 反 AI：15 项 AI 功能禁用（Recall、Copilot、画图 AI、记事本 AI、Edge AI 等） - 预装软件：卸载 24 个预装应用 **🎯 结果：** 一个既防御攻击又免受监控的加固系统。 *_Credential Guard 需要 Windows 11 企业版或教育版_ ## 🌟 为什么选择 NoID 隐私？ ## 🚀 有何不同？ **完整的 BAVR 模式（备份 → 应用 → 验证 → 恢复）• 零外部二进制文件 • 100% 原生 PowerShell** | 特性 | **NoID 隐私** | HardeningKitty | ChrisTitus winutil | O&O ShutUp10++ | |:---|:---:|:---:|:---:|:---:| | **侧重点** | **MS 基线 25H2 + ASR + DNS + 隐私（630+ 设置）** | CIS/MS 基线审计与基于 CSV 的加固 | 系统调整、去臃肿与应用安装 | 隐私开关与遥测控制 | | **BAVR 模式** | **备份 → 应用 → 验证 → 恢复（所有模块）** | 审计 + HailMary 应用 + 部分恢复 | 系统还原点（无验证） | 系统还原 + 配置文件导出 | | **验证** | **630+ 自动合规性检查** | 带严重性评分的审计模式 | 无合规性扫描 | 无合规性扫描 | | **依赖项** | **零（可在原生 PS 5.1/7+ 上运行）** | 仅需 PowerShell | 需要 winget/chocolatey | 便携式 EXE（闭源） | | **AI 锁定** | **32 条策略（Copilot+/Recall/25H2）** | 无专用 AI 配置文件 | 单个 AI 调整 | 多个 AI/Copilot 开关 | 🔄 **BAVR** = 备份-应用-验证-恢复（每个变更都可逆） ✈️ **气隙就绪** — 无需 LGPO.exe、无 DLL、无外部下载 ## 🔒 我们的隐私承诺 **“我们言行一致”** | | | |---|---| | 🍪 **零 Cookies** | 无 Cookie 横幅、无跟踪 Cookie、无同意弹窗 | | 📊 **零分析** | 无 Google Analytics、无第三方跟踪脚本 | | 🔍 **零遥测** | 无使用跟踪、无遥测 – 仅进行最少许可验证 | | ✅ **100% 可验证** | 开源 - 自行检查代码 | **行动胜于隐私政策。** 与其他跟踪您的“隐私”工具不同，我们真正尊重您的隐私。 ## 🎯 核心功能 ### 🔐 安全基线（425 项设置） **实施适用于 Windows 11 v25H2 的完整 Microsoft 安全基线** - **335 条注册表策略** 计算机 + 用户配置 - **67 项安全模板设置** 密码策略、账户锁定、用户权限、安全选项 - **23 条高级审计策略** 完整的安全事件日志记录 - **Credential Guard*** 密码无法从内存窃取（仅限企业版/教育版） - **BitLocker 策略** USB 驱动器保护、增强 PIN、DMA 攻击防护 - **VBS & HVCI** 基于虚拟化的安全 ### 🛡️ 攻击面缩减（19 条规则） **19 条 ASR 规则（17 阻止 + 2 可配置）** - 帮助阻止常见的勒索软件、宏、漏洞利用和凭据窃取技术 - Office/Adobe/电子邮件保护 - 脚本和可执行文件阻止 - PSExec/WMI：审计模式（如果使用管理工具），否则阻止 - 新软件/未知软件：审计模式（如果安装不受信任的软件），否则阻止 ### 🌐 安全 DNS（3 个提供商） **采用安全默认（REQUIRE）的 DNS-over-HTTPS** - **Quad9**（默认）侧重安全，阻止恶意软件，9.9.9.9 - **Cloudflare** 最快的解析器，1.1.1.1 - **AdGuard** 内置广告/跟踪器阻止 - REQUIRE 模式（默认）：无未加密回退 - ALLOW 模式（可选）：允许回退，用于 VPN/移动/企业网络 - IPv4 + IPv6 双栈支持 ### 🔒 隐私加固（78 项设置） **3 种操作模式** - **MSRecommended**（默认）微软支持，最大兼容性 - **严格** 最大隐私（AllowTelemetry=0 仅限企业版/教育版，Teams/Zoom 可用） - **偏执** 极端模式（强制全部拒绝 - 会破坏 Teams/Zoom！） **功能：** - 遥测最小化至安全基本级别 - 预装软件卸载（基于策略，在 25H2+ 企业版/教育版上） - OneDrive 遥测关闭（同步功能正常） - 应用权限可按模式配置 ### 🤖 AI 锁定（32 条策略） **15 项 AI 功能禁用（包括主开关）** - **主开关** 系统范围内禁用生成式 AI 模型 - **Windows Recall** 完全停用（组件移除 + 保护） - **Windows Copilot** 系统范围内禁用 + 硬件按键重映射 - **Click to Do** 截图 AI 分析禁用 - **画图 AI** Cocreator、生成式填充、图像创建器全部阻止 - **记事本 AI** GPT 功能禁用 - **设置代理** AI 驱动的设置搜索禁用 ### 🌐 Edge 加固（24 条策略） **Microsoft Edge 安全基线** - 强制执行 SmartScreen - 严格跟踪防护 - SSL/TLS 加固 - 扩展程序安全性 - IE 模式限制 ### 🔧 高级安全（50 项设置） **超越 Microsoft 基线** - **SRP .lnk 保护** — CVE-2025-9491 零日漏洞缓解 - **RDP 加固** — 默认禁用，强制 TLS + NLA - **无线显示安全** — Miracast 加固，屏幕拦截防护 - **旧版协议阻止** — SMBv1、NetBIOS、LLMNR、WPAD、PowerShell v2 - **TLS 加固** — 1.0/1.1 关闭，1.2/1.3 开启 - **UPnP/SSDP 阻止** — 端口转发攻击防护 - **发现协议** — 可选 WS-Discovery + mDNS 禁用（最大配置文件） - **Windows 更新** — 交互式配置 - **Finger 协议** — 已阻止（ClickFix 恶意软件防护） 📖 [详细功能文档](Docs/FEATURES.md) ## 🔄 BAVR 模式 **每个已应用的变更都被跟踪、验证，并设计为可逆。** ``` [1/4] BACKUP Full system state backup before changes [2/4] APPLY Settings applied with comprehensive logging [3/4] VERIFY Automated compliance checks confirm what was applied [4/4] RESTORE One command reverts most changes (see Reversibility notes below) ``` **实践意义：** - **所有已应用设置均采用 BAVR** — NoID 写入的每个设置都被备份并可重新检查 - **全面的错误处理** — 高级函数、结构化日志记录 - **广泛的恢复覆盖范围** — 注册表、服务、计划任务、配置文件 - **在 Windows 11 25H2 上测试**，支持 PowerShell 5.1+ 和 7+ **验证范围在 v2.x 中得到改进：** - v2.1.0 添加了 EdgeHardening（20 项检查）+ AdvancedSecurity（44 项检查），弥补了 v2.0.x 的验证空白 - 请参阅 `Tools/Verify-Complete-Hardening.ps1` 了解执行的确切检查 ## ⚠️ 此工具无法防护的内容 **重要限制：** | 威胁 | 为何无法防护 | |--------|-------------------| | **社会工程攻击** | 如果用户故意绕过所有警告并运行恶意文件 | | **供应链攻击** | 嵌入在合法签名软件中的恶意软件 | | **物理访问** | 没有 BitLocker 的被盗设备（请使用 BitLocker！）| | **国家级行为者** | 复杂的针对性攻击需要企业级 EDR/XDR | | **零日漏洞利用** | 微软尚未修补的未知漏洞 | **您还需要：** - **定期 Windows 更新** — 对安全补丁至关重要 - **BitLocker** — 用于丢失/被盗设备保护 - **用户意识** — 不要点击可疑链接/附件 - **备份** — 3-2-1 备份策略以抵御勒索软件 ## 📥 快速开始 ### ⚡ 一键安装（推荐） **步骤 1：** 以管理员身份打开 PowerShell - 按 `Win + X` → 点击 **“终端 (管理员)”** **步骤 2：** 运行安装程序 ``` # 下载并运行（推荐 Windows 11 25H2） irm https://raw.githubusercontent.com/NexusOne23/noid-privacy/main/install.ps1 | iex ``` **执行的操作：** 1. 检查管理员权限 2. 验证 Windows 11 25H2 3. 从 GitHub 下载最新版本 4. 解压并解除所有文件锁定 5. 启动交互模式 **备选方案 - 手动安装：** ``` # 1. 克隆仓库 git clone https://github.com/NexusOne23/noid-privacy.git cd noid-privacy # 2. 以管理员身份运行 .\Start-NoIDPrivacy.bat # 3. 重启后验证 .\Tools\Verify-Complete-Hardening.ps1 ``` ## 💻 使用示例 ### 交互模式（推荐） ``` # 启动交互式菜单 .\Start-NoIDPrivacy.bat # 遵循提示： # 1. 选择模块（全部或自定义） # 2. 选择设置（DNS 提供商、隐私模式等） # 3. 自动备份 → 应用 → 验证 # 4. 重启提示 ``` ### 直接执行 ``` # 应用所有模块 .\NoIDPrivacy.ps1 -Module All # 应用特定模块 .\NoIDPrivacy.ps1 -Module Privacy # 试运行（无更改） .\NoIDPrivacy.ps1 -Module All -DryRun ``` ### 验证 ``` # 完整验证（633 项检查，含 Paranoid 模式） .\Tools\Verify-Complete-Hardening.ps1 # 预期输出（所有模块已启用，Paranoid 模式）： # SecurityBaseline: 425/425 已验证 # ASR: 19/19 已验证 # DNS: 5/5 已验证 # Privacy: 78/78 已验证 # AntiAI: 32/32 已验证 # EdgeHardening: 24/24 已验证 # AdvancedSecurity: 50/50 已验证 # 总计: 633/633 (100%) ``` ### 恢复 ``` # 从最新备份恢复 .\Core\Rollback.ps1 -RestoreLatest # 或通过交互式菜单 .\Start-NoIDPrivacy.bat # 选择“从备份恢复” ``` ## 📊 模块概览 | 模块 | 设置数 | 描述 | 状态 | |--------|----------|-------------|--------| | **SecurityBaseline** | 425 | Microsoft 安全基线 25H2 | v2.2.4 | | **ASR** | 19 | 攻击面缩减规则 | v2.2.4 | | **DNS** | 5 | 具有 DoH 加密的安全 DNS | v2.2.4 | | **Privacy** | 78 | 遥测、预装软件、OneDrive 加固（严格） | v2.2.4 | | **AntiAI** | 32 | AI 锁定（15 项功能，32 项合规性检查） | v2.2.4 | | **EdgeHardening** | 24 | Microsoft Edge 安全（24 条策略） | v2.2.4 | | **AdvancedSecurity** | 50 | 超越 MS 基线（SRP、旧版协议、无线显示、发现协议、IPv6） | v2.2.4 | | **总计** | **633** | 所有 7 个模块（偏执模式）。使用第三方终端产品作为主引擎时：614（ASR 不适用） | **v2.2.4** | **发布亮点：** - **v2.2.4：** 第三方终端产品检测 — 当检测到非 Defender 引擎为主引擎时，ASR 模块优雅跳过（适用于 CrowdStrike、SentinelOne、Carbon Black、Bitdefender、Kaspersky、ESET、Sophos、Trend Micro 等约 15 种）([#15](https://github.com/NexusOne23/noid-privacy/issues/15)) - **v2.2.3：** 恢复模式崩溃修复，Recall 快照存储验证修复 ([#14](https://github.com/NexusOne23/noid-privacy/issues/14)) - **v2.2.2：** 防火墙快照 60-120 秒 → 2-5 秒（批量查询性能修复） - **v2.2.1：** 多次运行会话 bug 修复，5 个文件中的 `.Count` 属性 bug - **v2.2.0：** 验证范围扩展至所有 7 个模块（添加了 EdgeHardening + AdvancedSecurity），SRP .lnk 保护，RDP/TLS 加固，旧版协议阻止 📖 [详细模块文档](Docs/FEATURES.md) ## ✅ 适用于 ### **理想用例** **中小型企业 (SMB)** - 无 Active Directory/Intune 许可证 - 云优先（Microsoft 365、Google Workspace） - 远程/混合工作安全 - 无需企业基础设施即可合规 **自由职业者和顾问** - 客户数据保护 - 无域安全工作站 - 专业安全标准 - 安全的实验环境（完整备份） **高级用户和注重隐私者** - 真正的安全，而非仅仅“去臃肿” - AI/遥测锁定 - 了解每个设置 - 完全控制 + 可逆性 **没有 Intune 的 IT 专业人士** - 独立的 Windows 11 加固 - 本地 Microsoft 基线合规 - 为客户快速部署 - 无需域控制器 ### **不适用于** **使用 Intune/AD 的企业** - 请使用[Microsoft 安全基线](https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/security-compliance-toolkit-10)和组策略 **Windows 10 或更早版本** - 此工具专为 Windows 11 24H2 或更新版本设计 **旧版软件依赖项** - 如果您依赖不安全的 SMB1/RPC/DCOM **严格的 MDM 报告** - 如果合规性必须集中报告 ## ⚙️ 要求和兼容性 ### 硬件和操作系统 NoID 隐私专为现代、官方支持的 Windows 11 系统设计。 如果您的 PC 根据微软的**官方要求**可以运行 Windows 11，则与 NoID 隐私兼容： - **操作系统：** Windows 11 24H2 或更新版本（25H2 已全面测试） - **CPU：** 微软 Windows 11 支持列表上的任何 CPU（Intel 第 8 代 / AMD Ryzen 2000+） - **固件：** 启用 **Secure Boot** 的 UEFI - **TPM：** 2.0（BitLocker、Credential Guard*、VBS 所需） - **内存：** 最小 8 GB，VBS 推荐 16 GB - **管理员权限：** 必需 **已测试并兼容：** | 操作系统版本 | 状态 | |------------|--------| | Windows 11 25H2 (Build 26200+) | **全面测试** | | Windows 11 24H2 (Build 26100+) | 兼容 | | Windows 11 23H2 或更早版本 | ❌ 不支持 | ### 旧版设备和协议 **AdvancedSecurity** 和 **SecurityBaseline** 模块有意禁用旧版和不安全的协议： - **TLS 1.0/1.1**（需要 TLS 1.2+） - **NetBIOS** 名称解析、**LLMNR**、**WPAD** - **PowerShell v2** - 某些情况下的**管理共享** (C$, ADMIN$) - **NTLMv1/LM** 身份验证（仅限 NTLMv2） 这可能会影响**非常旧的硬件和软件**，例如： - 仅支持 TLS 1.0/1.1 的 NAS、打印机、IP 摄像头和 IoT 设备 - 旧版 Windows 系统（XP、7）和旧版 Samba 实现 - 依赖隐藏管理共享的旧管理工具 **实际应用：** 使用**约 2018 年及以后**硬件和软件的环境完全兼容。 如果您仍然依赖旧版设备，请使用内置的 **BAVR** 模式（备份 → 应用 → 验证 → 恢复），以便在出现问题时回滚。 ### 🛡️ 杀毒软件兼容性 #### Microsoft Defender 与第三方终端产品 NoID 隐私可与您已使用的任何 AV / 终端产品协同工作。关键区别在于 NoID 的检查中有多少适用于您的配置： | 您的配置 | 应用的 NoID 模块 | 跳过的模块 | |------------|----------------------|-----------------| | **Microsoft Defender 作为主引擎** | 所有 7 个模块 — SecurityBaseline、ASR、DNS、Privacy、AntiAI、Edge、AdvancedSecurity | 无 | | **第三方终端产品作为主引擎**（任何供应商 — 消费级 AV 或企业级 EDR/XDR） | 6 个模块 — SecurityBaseline、DNS、Privacy、AntiAI、Edge、AdvancedSecurity | ASR（见下方说明） | 当检测到第三方终端产品时，NoID 会显示明确的通知： ``` ======================================== ASR Module Skipped ======================================== Third-party endpoint product detected: ASR (Attack Surface Reduction) is a Microsoft-Defender-specific API and cannot be configured by NoID when Defender is not the primary engine. Your product () likely provides its own attack-surface-reduction features (behavioral analysis, exploit prevention, ML-based detection, etc.). NoID cannot verify those — please consult your vendor's documentation or management console to confirm equivalent protections are enabled. This is NOT an error - ASR will be skipped. ``` **无论您使用哪个终端产品，其他 6 个模块都会正常应用。** ## 🔒 安全与质量 ### 代码质量 - **PSScriptAnalyzer：** 可用于静态分析 - **Pester 测试：** `Tests/` 目录中的单元测试和集成测试 (`.\Tests\Run-Tests.ps1`) - **验证：** `Tools\Verify-Complete-Hardening.ps1` 执行 630+ 自动化合规性检查 - **全面的错误处理** 和结构化日志记录 - **最佳实践：** 高级函数、CmdletBinding、验证参数 ### 此工具的功能 - 应用适用于 Windows 11 v25H2 的 Microsoft 安全基线 + 附加的 NoID 加固模块 - 实施 Microsoft 安全基线 25H2 - 防御零日漏洞利用 (CVE-2025-9491) - 将遥测最小化至安全基本级别 - 锁定 AI 功能（Recall、Copilot 等） - 配置 BitLocker 策略、Credential Guard*、VBS ### 此工具不执行的操作 - 安装第三方杀毒软件（使用 Windows Defender） - 配置域特定策略 - 修改 BIOS/UEFI 设置 - 破坏关键 Windows 功能 - 阻止重新启用功能 ### 可逆性 - **可以恢复的内容：** 服务、注册表、防火墙、DNS、任务、AI 功能 - **可以自动恢复的内容：** 会话恢复期间通过 `winget` 恢复大部分已移除的预装软件应用（如果存在映射） - **可能仍需手动重装的内容：** 未映射/第三方预装软件应用（请使用 Microsoft Store） - **备份系统：** 应用前完整系统状态 - **REMOVED_APPS_LIST.txt：** 在预装软件卸载期间创建，包含已卸载应用的完整列表，以便需要时手动重装 - **记录的变更：** 所有变更已记录 ## ⚙️ 配置 ### 默认设置 所有设置均配置为**最大安全性同时保持可用性**： - 服务：控制遥测服务，保护关键服务 - 防火墙：入站阻止，出站允许 - 隐私：应用权限默认拒绝（用户可单独启用） - BitLocker：策略已设置，用户必须手动启用 - AI 功能：通过注册表禁用（100% 可逆） ### 自定义 所有模块设置均可通过 `Modules/*/Config/` 中的 JSON 文件自定义： ``` # 示例：调整 DNS 提供商 Edit: Modules/DNS/Config/Providers.json # 示例：修改隐私模式 Edit: Modules/Privacy/Config/Privacy-MSRecommended.json # 示例：配置 ASR 例外 Edit: Modules/ASR/Config/ASR-Rules.json ``` ## 🔧 故障排除 ### 常见问题 **“访问被拒绝”错误** - 未以管理员身份运行 - 右键单击 PowerShell → “以管理员身份运行” **重启后 VBS/Credential Guard 未激活** - Credential Guard 需要 Windows 11 企业版或教育版 - 硬件不兼容（无 TPM 2.0 或虚拟化已禁用） - 在 BIOS/UEFI 中启用虚拟化 - 验证：`.\Tools\Verify-Complete-Hardening.ps1` **BitLocker 未激活** - 无 TPM 2.0 或磁盘空间不足 - 检查 TPM：`Get-Tpm` - 手动激活：控制面板 → BitLocker **ASR 阻止合法软件安装** - ASR 规则“阻止不符合普遍性标准的可执行文件”会阻止未知安装程序 - 请参阅下方[临时禁用 ASR 规则](#temporarily-disable-asr-rule-for-software-installation) ### 为软件安装临时禁用 ASR 规则 **问题：** ASR 阻止合法软件的安装（例如，下载的安装程序不在 Microsoft 的信誉数据库中） **被阻止的规则：** `01443614-cd74-433a-b99e-2ecdc07bfc25`（“阻止不符合普遍性、使用年限或受信任列表标准的可执行文件”） **解决方案：** 临时将规则设置为 AUDIT 模式（仅警告，不阻止） **步骤 1：禁用防篡改保护**（图形界面方法 - 最简单） 1. 按 `Win` 键 → 输入“Windows 安全中心” → 回车 2. 转到：**病毒和威胁防护** 3. 点击：**管理设置** 4. 向下滚动至：**防篡改保护** 开关设为 **关闭** **步骤 2：将 ASR 规则设置为 AUDIT**（以管理员身份运行 PowerShell） ``` # 获取当前 ASR 配置 $currentIds = (Get-MpPreference).AttackSurfaceReductionRules_Ids $currentActions = (Get-MpPreference).AttackSurfaceReductionRules_Actions # 转换为数组 $ids = @($currentIds) $actions = @($currentActions) # 查找普遍性规则 $targetGuid = "01443614-cd74-433a-b99e-2ecdc07bfc25" $index = [array]::IndexOf($ids, $targetGuid) # 设置为审核（2 = 审核, 1 = 阻止） $actions[$index] = 2 # 应用更改 Set-MpPreference -AttackSurfaceReductionRules_Ids $ids -AttackSurfaceReductionRules_Actions $actions Write-Host " ASR Prevalence Rule: AUDIT (Installation now possible)" -ForegroundColor Green ``` **步骤 3：安装您的软件** **步骤 4：重新启用 ASR 规则**（以管理员身份运行 PowerShell） ``` # 获取当前 ASR 配置 $currentIds = (Get-MpPreference).AttackSurfaceReductionRules_Ids $currentActions = (Get-MpPreference).AttackSurfaceReductionRules_Actions # 转换为数组 $ids = @($currentIds) $actions = @($currentActions) # 查找普遍性规则 $targetGuid = "01443614-cd74-433a-b99e-2ecdc07bfc25" $index = [array]::IndexOf($ids, $targetGuid) # 重置为阻止 $actions[$index] = 1 # 应用更改 Set-MpPreference -AttackSurfaceReductionRules_Ids $ids -AttackSurfaceReductionRules_Actions $actions Write-Host " ASR Prevalence Rule: BLOCK (Protection restored)" -ForegroundColor Green ``` **步骤 5：重新启用防篡改保护**（Windows 安全中心开关设为开启） **重要提示：** 安装后务必重新启用 ASR 规则和防篡改保护！ ### Windows 预览体验计划兼容性 **问题：** 应用隐私加固（MSRecommended 模式）后，注册 Windows 预览体验计划需要额外步骤。 **原因：** 隐私模块通过组策略设置 `AllowTelemetry=1`（必需诊断数据），这阻止用户在设置中启用“可选诊断数据” - 这是注册预览体验计划的要求。 **解决方案：** **步骤 1：临时移除遥测策略**（以管理员身份运行 PowerShell） ``` Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" ``` **步骤 2：重启**（建议使策略更改生效） ``` Restart-Computer ``` **步骤 3：加入 Windows 预览体验计划** 1. 转到：设置 > Windows 更新 > Windows 预览体验计划 2. 点击：**开始使用** 3. 出现提示时，启用“可选诊断数据” 4. 完成预览体验计划注册并选择您的渠道（Dev/Beta/Release Preview） **步骤 4（可选）：重新应用隐私加固** ``` .\NoIDPrivacy.ps1 -Module Privacy ``` **注意：** 一旦注册预览体验计划，即使重新应用带 `AllowTelemetry=1` 的隐私加固，Windows 仍将继续接收预览版本。 ### 日志 所有操作记录到： ``` Logs/NoIDPrivacy_YYYYMMDD_HHMMSS.log ``` **示例：** `NoIDPrivacy_20251117_142345.log` ## 📚 文档 ### 核心文档 - **[功能](Docs/FEATURES.md)** - 完整的 630+ 设置参考 - **[更新日志](CHANGELOG.md)** - 版本历史 - **[快速开始](#-quick-start)** - 安装指南（见上文） - **[故障排除](#-troubleshooting)** - 常见问题（见上文） ### 💬 社区 - **[💬 讨论](https://github.com/NexusOne23/noid-privacy/discussions)** - 问题和想法 - **[🐛 问题](https://github.com/NexusOne23/noid-privacy/issues)** - 仅限错误报告 - **[📚 文档](Docs/FEATURES.md)** - 完整功能参考 ## 🙏 致谢 - **Microsoft 安全基线团队** 提供 Windows 11 25H2 指导 - **PowerShell 社区** 提供最佳实践和模式 - **开源贡献者** 进行测试和反馈 ## 🔗 NoID 隐私生态系统 | 平台 | 链接 | |---------- 🌐 **网站** | [NoID-Privacy.com](https://noid-privacy.com) — 所有平台、定价和文档 | | 🪟 **Windows** | 您现在所在的位置！ | | 🐧 **Linux** | [适用于 Linux 的 NoID 隐私](https://github.com/NexusOne23/noid-privacy-linux) — 300+ 检查，42 个部分，`--ai` 标志用于 AI 驱动的修复（免费开源） | | 📱 **Android** | [Google Play 上的 NoID 隐私](https://play.google.com/store/apps/details?id=com.noid.privacy) — 81 项检查，10 个类别，权限审计，Chrome 加固，防盗 | ## 📜 许可证 ### 双许可证模式 NoID 隐私采用**双重许可**模式： #### 🆓 开源许可证 (GPL v3.0) **适用于个人、研究人员和开源项目：** 本项目根据 **GNU 通用公共许可证 v3.0** (GPL-3.0) 授权。 ✅ **您可以：** - ✔️ 自由使用软件用于个人和商业目的 - ✔️ 修改源代码 - ✔️ 分发软件 - ✔️ 分发您的修改版本 ⚠️ **您必须：** - 📝 分发时披露您的源代码 - 🔓 根据 GPL v3.0 授权您的修改版本 - 📄 包含原始版权声明 - 📋 说明对软件所做的重大更改 [阅读完整的 GPL v3.0 许可证](LICENSE) #### 💼 商业许可证 **适用于希望：** - 将此软件集成到闭源/专有产品中 - 不披露源代码分发此软件 - 获得专门的商业支持和保修 - 避免 GPL v3.0 公共授权要求 **的公司和组织：** **联系方式：** - **电子邮件：** [support@noid-privacy.com](mailto:support@noid-privacy.com)（商业咨询首选） - **GitHub：** [💬 讨论](https://github.com/NexusOne23/noid-privacy/discussions)（公开问题） ### 第三方组件 此软件基于以下内容实施安全配置： - **Microsoft 安全基线** - 公开文档 - **Microsoft Defender ASR 规则** - 官方文档 - **DNS 提供商** - Cloudflare、Quad9、AdGuard（公共服务） Microsoft、Windows 和 Edge 是 Microsoft Corporation 的商标。本项目与 Microsoft 无关。 ## ⚠️ 免责声明 此脚本会修改关键系统设置。使用风险自负。请始终： 1. **运行前创建系统备份** 2. **首先在虚拟机中测试** 3. **审查代码** 以了解变更 4. **验证与您环境的兼容性** 作者对任何损坏或数据丢失不承担责任。 ## 📈 项目状态 **当前版本：** 2.2.4 **状态：** 已发布 ### v2.2.4 发布亮点 - **增强：** 第三方终端产品三层检测（基于注册机制 — Security-Center 注册的 AV 与 Defender 被动模式终端产品 — 而非产品类别或复杂性） - **增强：** 当检测到第三方终端产品为主引擎时，ASR 模块优雅跳过，因为 ASR 是 Defender 特定 API ([#15](https://github.com/NexusOne23/noid-privacy/issues/15)) - **工具：** `VERSION` 文件 + `Bump-Version.ps1` 用于自动化版本管理 ### v2.2.3 发布亮点 - **关键修复：** 恢复模式手动模块选择崩溃（`.Split()` → `-split`） - **Bug 修复：** Recall 快照存储验证 — MB 与 GB 单位不匹配 ([#14](https://github.com/NexusOne23/noid-privacy/issues/14)) ### v2.2.2 发布亮点 - **性能：** 防火墙快照 60-120 秒 → 2-5 秒（批量查询修复） - 60+ 个框架文件版本对齐 ### v2.2.1 发布亮点 - **关键修复：** 多次运行会话 bug（多次运行时 auditpol 备份失败） - **修复：** 5 个文件中的 `.Count` 属性 bug（Where-Object 单对象结果） - **改进：** ASR 提示文本（“不受信任” → “新软件” - 更中性） 📋 [查看完整更新日志](CHANGELOG.md)

**专为 Windows 安全社区打造 🛡️** [报告错误](https://github.com/NexusOne23/noid-privacy/issues) · [请求功能](https://github.com/NexusOne23/noid-privacy/issues) · [讨论](https://github.com/NexusOne23/noid-privacy/discussions) · [网站](https://noid-privacy.com) **如果觉得有用，请 [⭐ 为此仓库点星](https://github.com/NexusOne23/noid-privacy)！**

标签：AI合规, BAVR模式, GitHub Advanced Security, IPv6, Libemu, PowerShell, Windows 11, 二进制发布, 备份应用验证恢复, 安全加固, 安全模块, 安全配置, 开源工具, 操作系统安全, 模块化设计, 生产就绪, 生产环境工具, 系统优化, 系统强化, 组策略管理, 网络安全, 自动化修复, 隐私保护, 隐私框架, 隐私设置