如果您怀疑 Windows 11 中某些服务在后台未经许可连接网络,可能造成隐私泄露或带宽占用,则需通过系统原生工具识别其真实网络行为。以下是多种可独立执行、无需第三方软件的排查方法:
一、使用资源监视器实时查看服务网络活动
资源监视器提供进程级实时网络连接视图,可精确显示每个服务或进程当前建立的 TCP/UDP 连接、远程地址、端口及发送/接收字节数,适用于快速定位异常联网行为。
1、按下 Ctrl + Shift + Esc 打开任务管理器。
2、点击“性能”选项卡,右下角点击“打开资源监视器”。
3、切换至“网络”选项卡,勾选“TCP 连接”和“监听端口”复选框。
4、在“网络活动”表格中,观察“进程”列,查找名称含 svchost.exe、dllhost.exe 或具体服务名(如 wuauserv、diagnosticshub.standardcollector.service)的条目。
5、点击该进程右侧的向下箭头展开详情,查看其所有活跃连接目标 IP 和端口;若发现连接至非微软域名(如 *.adtech.com、*.doubleclick.net)或未知境外 IP,则高度可疑。
二、通过 PowerShell 查询已建立连接的服务名
PowerShell 可绕过图形界面限制,直接调用 NetStat 接口并关联服务名,避免仅依赖 PID 造成的识别困难,尤其适用于 svchost 托管的多个服务混合监听场景。
1、以管理员身份运行 Windows 终端(右键开始菜单 → 终端(管理员))。
2、输入命令:Get-NetTCPConnection | Where-Object State -eq ‘Established’ | ForEach-Object { $pid = $_.OwningProcess; $svc = Get-WmiObject Win32_Service | Where-Object ProcessId -eq $pid; if ($svc) { [PSCustomObject]@{ServiceName = $svc.Name; DisplayName = $svc.DisplayName; RemoteAddress = $_.RemoteAddress; RemotePort = $_.RemotePort} } else { [PSCustomObject]@{ServiceName = ‘N/A’; DisplayName = ‘N/A’; RemoteAddress = $_.RemoteAddress; RemotePort = $_.RemotePort} } } | Format-Table -AutoSize。
3、等待命令执行完成,输出表格中将列出所有已建立连接的服务名称与显示名称;重点关注 DisplayName 含 ‘Diagnostic’、’Telemetry’、’Update’、’Advertising’ 字样的服务。
三、启用 Windows 防火墙日志捕获所有出站连接
防火墙日志可持久记录每一条被允许或阻止的网络连接,包括时间戳、源/目标 IP、端口、协议及进程路径,是审计长期后台行为的关键证据源。
1、按 Win + R 输入 wf.msc 回车,打开高级安全 Windows 防火墙。
2、左侧点击“Windows Defender 防火墙属性”,右侧双击“专用配置文件”或“公用配置文件”。
3、滚动至“日志”区域,点击“自定义”按钮。
4、勾选“记录被允许的连接”,日志路径保持默认(C:\Windows\System32\LogFiles\Firewall\pfirewall.log),最大大小设为 4096 KB。
5、点击“确定”保存,再点击“确定”关闭属性窗口;日志启用后需重启相关服务或等待 5 分钟以上,新连接才会写入。
6、用记事本打开日志文件,搜索关键词 OUT,筛选出站连接行,对照第 12 列(进程路径)确认是否为系统服务(如 C:\Windows\System32\svchost.exe -k netsvcs)。
四、检查诊断与遥测服务状态及启动类型
Windows 11 默认启用多项诊断服务,即使用户关闭部分设置,底层服务仍可能周期性外连;直接禁用或设为手动可阻断其主动联网能力。
1、按 Win + R 输入 services.msc 回车,打开服务管理控制台。
2、在列表中依次查找以下服务:DiagTrack、dmwappushservice、DiagHub.StandardCollector.Service、WaaSMedicSvc、UnistoreSvc。
3、对每个目标服务双击打开属性,将“启动类型”设为“禁用”,点击“停止”按钮终止当前运行;特别注意:禁用 DiagTrack(Connected User Experiences and Telemetry)可立即切断大部分遥测外连。
4、点击“应用”→“确定”,重复操作直至全部目标服务处理完毕。
五、利用任务计划程序识别定时外连任务
部分服务不以常驻进程形式运行,而是通过计划任务在特定条件(如登录、空闲、网络可用)下触发联网动作,常规进程监控无法捕获此类行为。
1、按 Win + R 输入 taskschd.msc 回车,打开任务计划程序库。
2、在左侧面板展开“Task Scheduler Library”→“Microsoft”→“Windows”。
3、逐个进入子文件夹(如 ApplicationExperience、Autochk、Customer Experience Improvement Program、Device Metadata、MUI、Servicing、UPnP)、浏览右侧任务列表。
4、对任一任务右键选择“属性”,切换至“触发器”选项卡,查看是否配置了“登录时”、“工作站解锁时”、“网络连接时”等易触发联网的条件;重点检查名称含 ‘Telemetry’、’SQM’、’CEIP’、’Diagnostics’ 的任务。
5、若确认无需,勾选“禁用此任务”,点击“确定”。
评论(0)