运行 Windows 系统的 PC 机 #

在开始之前：买电脑前你需要知道的事 #

本页面的内容针对 Windows 系统用户。如果你使用的是 macOS 或预装 Linux 的设备，这一条不适用于你，但本页面其他章节的部分建议仍然值得参考。

在中国境内销售的 Windows PC，存在额外风险 #

在中国境内销售的 Windows PC（包括联想、戴尔、惠普等品牌的中国版本），常常预装了中国厂商的管理软件，例如某某电脑管家。这类软件拥有极高的系统权限，且会与中国境内的服务器保持通信。

如果你有条件选择，优先考虑在中国境外购买电脑，例如在香港、台湾或其他地区购买后带入。相对可信的选择包括：在非中国市场销售的 ThinkPad、华硕（台湾品牌）、戴尔、惠普的非中国版本。

如果你已经在用中国境内购买的电脑，或者只能在中国购买，这很正常——以下是你需要知道的风险，以及你可以做的处理。

风险一：预装软件

中国品牌电脑（以及部分国际品牌的中国版本）通常预装了厂商自己的管理软件。这类软件：

拥有极高的系统权限，可以访问你电脑上的几乎所有内容
会定期与厂商服务器通信，发送设备信息
即使你卸载了，有时仍会留下残余组件

你可以做的事

打开 【设置】→【应用】→【已安装的应用】，找到所有你不认识或不需要的厂商软件，逐一卸载。若不确定，请咨询专业人士。
重点检查并卸载：联想电脑管家、华为电脑管家、小米电脑管家、360安全卫士、腾讯电脑管家——这类软件不应该保留
卸载后，用 Autoruns（微软官方工具）检查是否还有残余程序在后台自动启动

风险二：系统本身可能已被修改

部分在中国销售的电脑出厂时安装的并非完整的官方 Windows，而是经过修改的版本。这类系统可能无法正常接收安全更新，或者已经被植入了你看不见的组件。

你可以做的事：

检查你的 Windows 是否是正版：打开 【设置】→【系统】→【激活】，查看激活状态
如果显示"未激活"或激活方式可疑，最彻底的解决方法是重装系统（见下方《如何重装正版 Windows 系统》）
即使显示已激活，如果你对系统来源有疑虑，重装仍然是最可靠的选择

风险三：硬件层面的风险

极少数情况下，设备在出厂或流通环节中可能被植入硬件级的监控组件。这类攻击成本高、针对性强，通常只针对特定的目标。

如果你认为自己属于被重点关注的对象，最好更换一台在可信渠道购买的设备，这比任何软件层面的修复都可靠。

关于电脑品牌：你需要知道 #

联想

联想是总部位于中国的跨国公司。在中国境内购买的联想电脑（包括 Thinkpad），尤其是面向政府或企业市场的版本，存在预装管理软件的风险，建议谨慎使用。如果你在中国境外购买联想电脑（例如在台湾、香港、欧美市场购买的消费者版本），风险相对较低，但仍建议按照本页面的建议检查并清理预装软件。

华为

华为设备在多个国家已被列为安全风险。对于活动人士和记者，不建议使用任何华为电脑或平板，无论是在中国境内还是境外使用。如果你目前正在使用华为电脑，建议将更换设备列入你的计划，并在此期间格外注意本页面其他章节的建议。

操作系统：从源头开始 #

不要使用盗版或"GHOST"系统 #

在中国，有大量电脑预装了非官方的 Windows 系统，俗称"GHOST 系统"或"精简版 Windows"。这类系统通常：

来源不明，可能已被植入恶意软件
无法接收微软的官方安全更新
系统内部可能已被修改，安全工具无法正常运行

如果你现在用的就是这类系统，唯一可靠的解决方法是重装系统。

如何重装正版 Windows 系统 #

重装系统听起来复杂，但微软提供了官方工具，步骤并不难：

备份你的文件：重装会清除电脑上的所有内容，先把重要文件复制到外接硬盘或加密U盘
准备一个空白U盘：稍后要用这个U盘作为启动盘安装 Windows，确保U盘里面没有任何其他文件
从微软官网下载安装工具：访问这个页面，下载“媒体创建工具”（Media Creation Tool）
制作启动U盘：用这个工具把空白U盘制作成安装盘（建议U盘容量至少16GB）
从U盘启动并安装：重启电脑，从U盘启动，按照提示完成安装
安装时选择“自定义安装”：彻底清除原有系统分区，确保旧系统的所有内容被清除

如果你不确定自己能否独立完成，可以请一位你信任的、有技术背景的朋友帮助你。但是，不要找你无法完全信任的人操作你的电脑。

使用 Windows 10 还是 Windows 11？ #

微软已于 2025年10月14日停止对 Windows 10 的安全支持。这意味着该日期之后发现的安全漏洞将不再被修补，继续使用 Windows 10 的风险会持续增加。

建议：

如果你的电脑硬件支持 Windows 11，请立即升级
如果你的电脑硬件不支持 Windows 11，应该认真考虑更换设备
检查你的电脑是否支持 Windows 11：打开 【开始菜单】，搜索“电脑健康状况检查”，运行后会告诉你是否可以升级

关于杀毒软件 #

Windows 11 和 Windows 10 内置了 Microsoft Defender，它会自动运行，提供实时保护。对于大多数用户来说，Defender 已经足够，不需要额外安装第三方杀毒软件。

第三方杀毒软件拥有极高的系统权限，且通常会收集你的使用数据。对于活动人士和记者，安装这类软件反而可能带来额外风险，不建议使用。

特别提醒：360安全卫士、腾讯电脑管家等国内安全软件，不应该安装在你的电脑上。 这类软件与中国国内服务器保持通信，存在严重的隐私风险。

确认 Defender 正在运行的方法：

打开 【设置】→【隐私和安全性】→【Windows 安全中心】→【病毒和威胁防护】
确认“实时保护”处于开启状态

账号设置：不要把钥匙交给别人 #

使用本地账号，不要登录微软账号 #

Windows 在初始设置时会反复引导你登录微软账号。强烈建议使用本地账号，不登录微软账号。

原因如下：

登录微软账号后，你的部分数据会自动同步到微软的云端服务器，包括：

设备的加密恢复密钥
浏览历史和设置
文件（如果开启了 OneDrive）

在中国，微软的云服务由一家叫做世纪互联的中国公司运营。 世纪互联受中国法律管辖，这意味着中国当局可以依法要求世纪互联提供你存储在云端的数据，而无需通过微软美国总部。

简单说：你存在微软中国云端的数据，等同于存在中国当局可以调取的地方。

如何在安装时跳过微软账号登录：

在设置账号页面，断开网络连接（拔掉网线或关闭 Wi-Fi）
系统会提示无法连接，之后会出现“使用有限设置继续”或“创建本地账号”的选项
按照提示创建一个本地用户名和密码即可

如果你已经在使用微软账号登录，想切换到本地账号：

打开 【设置】→【账户】→【你的信息】
选择"改用本地账户登录"
按照提示完成切换，并设置一个强密码

登录保护：密码比指纹更安全 #

禁用指纹和人脸识别登录 #

Windows Hello 提供指纹、人脸识别等便捷登录方式。强烈建议关闭所有生物识别登录，只使用密码。

这不只是技术问题，更是法律和现实处境的问题：

在中国，警察或安全人员可以强制要求你用手指或脸解锁设备，你在现实中几乎没有拒绝的空间。而要求你说出密码，在法律程序上相对更复杂——虽然这种保护在中国也很有限，但密码仍然是比生物识别更好的选择。

如何关闭 Windows Hello

打开 【设置】→【账户】→【登录选项】
找到“人脸识别”和“指纹识别”，点击“删除”
确保只保留“密码”作为登录方式

关于密码的建议：

使用至少12位的密码，包含大小写字母、数字和符号
不要使用生日、名字、常见词语
不要在多个设备或账号上使用同一个密码

Windows 11：关闭 Recall #

什么是 Recall？ #

Recall 是微软在 Windows 11 中推出的一项 AI 功能。它会持续截取你屏幕上的内容，并将这些截图转化为可搜索的记录，让你之后可以回放自己做过的事情。

听起来像是便利功能，但对活动人士来说，这意味着：

你浏览过的网页、写过的文字、打开过的文件，都被记录在本地
如果你的设备被没收或被入侵，这份记录就是一份完整的活动档案

即使 Recall 的数据存储在本地，它的存在本身就是一个严重的安全风险。

如何关闭 Recall #

注意：Recall 目前只在配备特定芯片的"Copilot+ PC"上默认启用。如果你在 【设置】→【隐私和安全性】 里找不到 Recall 相关选项，说明你的设备暂时不受影响。但建议仍然检查一遍。

方法一：在设置中关闭

打开 【设置】→【隐私和安全性】→【Recall 和快照】
关闭“保存快照”开关

方法二：通过系统功能彻底禁用

打开 【设置】→【系统】→【可选功能】
找到“Recall”（如果存在的话），取消勾选，重启电脑

Windows 隐私设置：减少你留下的痕迹 #

Windows 会在后台持续向微软发送各种使用数据，包括你的操作习惯、输入内容、位置信息等。微软把这些称为“诊断数据”，说是用来改善产品体验。但对于活动人士来说，任何被收集的数据都是潜在的风险。

以下设置建议逐一检查并关闭。

关闭诊断数据发送 #

打开 【设置】→【隐私和安全性】→【诊断和反馈】
将“诊断数据”设置为“必要的诊断数据”（这是可以选择的最低级别）
关闭“改善墨迹书写和键入”——这个选项会将你的键盘输入内容上传到微软服务器，必须关闭
关闭“浏览诊断数据”
点击“删除诊断数据”，清除已经发送的历史记录
关闭“定期反馈”：改为“从不”

关闭活动历史记录 #

Windows 会记录你打开过的文件、访问过的网页、使用过的应用，并可以将这些记录同步到微软账号。

打开 【设置】→【隐私和安全性】→【活动历史记录】
关闭“在此设备上存储我的活动历史记录”
如果你之前登录过微软账号，点击“清除活动历史记录”

关闭位置信息 #

打开 【设置】→【隐私和安全性】→【位置】
关闭“位置服务”
点击“清除”，删除已存储的位置历史

关闭广告追踪 #

打开 【设置】→【隐私和安全性】→【常规】
关闭“允许应用使用广告 ID 向你显示个性化广告”
关闭所有其他开关

保护你的 BIOS：防止有人绕过 Windows 登录 #

什么是 BIOS，为什么它重要？ #

BIOS（或 UEFI）是电脑在启动 Windows 之前运行的底层程序，相当于电脑的总开关。它控制着电脑从哪里启动——是从硬盘启动 Windows，还是从U盘启动其他系统。

这意味着：如果有人能进入 BIOS，他们可以用一个特制的U盘绕过你的 Windows 登录密码，直接访问你的文件。

设置 BIOS 密码，可以防止这种情况发生。

如何设置 BIOS 密码 #

进入 BIOS 的方法因电脑品牌不同而有所差异。通常的做法是：

重启电脑
在出现品牌 Logo 的瞬间，连续按下对应按键进入 BIOS 设置界面：

Dell：F2 / Del，开机时连续按，通常 F2 更常见
HP / Compaq：F10 / Del，部分型号用 Esc + F10
Lenovo： F1 / F2 / Del 根据机型不同，ThinkPad 多用 F1
ASUS：Del / F2，台式机通常 Del，笔记本常用 F2
Acer：Del / F2，开机时快速按
MSI：Del，开机时连续按

进入 BIOS 后，找到 **Security"（安全）**选项卡
找到 Set Supervisor Password 或 BIOS Password，设置一个强密码
保存并退出

重要提示： BIOS 密码一旦忘记，恢复过程非常麻烦，有时需要拆开电脑。请把这个密码记录在一个安全的地方，但不要存在电脑里。

关闭从外部设备启动 #

在 BIOS 设置里，找到启动顺序（Boot Order 或 Boot Sequence）设置：

将“从U盘启动”和“从光驱启动”的选项禁用或移到最低优先级
只保留从内置硬盘启动

这样即使有人插入特制U盘，电脑也不会从U盘启动。

外设安全：不要轻易相信外部设备 #

U盘和充电线的风险 #

一个普通外观的U盘或充电线，可能内藏攻击程序。这类设备插入电脑后，可以在几秒钟内自动执行恶意操作，而你完全看不出任何异常。

这不是理论上的风险——在针对活动人士的攻击案例中，有记录的攻击方式包括：

伪装成普通U盘的攻击设备（例如 BadUSB）
伪装成充电线的攻击工具（例如 O.MG Cable）
在“礼物”或“资料”U盘中预置恶意软件

基本原则：

只使用你自己购买的U盘和充电线
不接受他人赠送的U盘，无论对方是谁
在中国境内，对任何来源不明的外部设备保持警惕——包括酒店房间里的USB充电口

在 Windows 中关闭自动播放 #

Windows 有一个“自动播放”功能，会在你插入U盘时自动运行其中的程序。这个功能必须关闭：

打开 【设置】→【蓝牙和其他设备】→【自动播放】
关闭“为所有媒体和设备使用自动播放”

公共 USB 充电口的风险 #

机场、咖啡馆、酒店的公共 USB 充电口存在USB 劫持风险——充电口可能被改装，在你充电的同时读取或写入你设备上的数据。

建议：

使用自己的充电器和电源插座充电，不使用公共 USB 充电口
如果必须使用公共 USB 口，使用USB 数据隔离器（USB Condom），它只允许电流通过，阻断数据传输

附录：基础设置建议 #

本页面的内容，专门针对中国背景的活动人士。除了以上这些有针对性的建议之外，活动人士还应该了解 Windows 的基础安全设置。

Security in a Box 的 Windows 页面收录了一套通用的 Windows 安全设置建议——无论你在哪个国家、面对什么样的威胁，这些设置都应该做。

建议你将两个页面结合使用：

先阅读 Security in a Box 的 Windows 页面，完成那些基础的、通用的设置
再回到本页面，针对中国背景的特殊风险，做进一步的加固

两者相辅相成，缺一不可。