微软Windows再次被指暗藏后门，区别对待中国用户

（文/观察者网 张志峰）

近日，关于微软Windows系统针对欧美用户和包括中国在内的亚洲大部分用户进行区别对待，涉嫌侵犯公众隐私乃至国家数据安全的话题，再次引发全网热议，同时也使更多消费者体会到中国市场对于华为原生鸿蒙系统开发和普及的迫切需求。

起因是，9月15日，从事网络安全的技术员“玄道”在个人公众号发文称，微软利用其垄断地位使用UCPD.sys在注册表深层隐藏加密数据、动态释放未知程序，获取用户数据。

此外，UCPD还内置了针对中国软件厂商的拦截机制，通过数字签名黑名单、进程名黑名单、进程路径黑名单进行过滤，限制第三方软件与微软体系软件的竞争，维护其市场垄断地位。

北京市道可特律师事务所高级合伙人林蔚律师向观察者网表示，如上述指控为真，微软不仅涉嫌侵犯个人用户隐私，还可能存在滥用市场支配地位、不正当竞争等违法行为。

一石激起千层浪，“玄道”的调查结果引发多位技术人员及网络安全专家在网络上呼应。而微软方面却仍对此质疑置若罔闻，截至目前未有任何回应。

值得一提的是，9月15日-21日期间，是中国2025年国家网络安全宣传周。有知情人士透露，近日已有国家网络安全相关部门介入调查该事件。

核心争议：UCPD.sys的“越权操作”

UCPD.sys全称为User Choice Protection Driver（用户选择保护驱动），微软官方宣称其功能是“保护用户默认应用设置不被第三方软件随意修改”，但实际技术追踪与用户体验却暴露了更复杂的问题。

微软系统内置的驱动UCPD.sys

“玄道”研究发现，每当默认设置被篡改时，均有UCPD.sys进程在后台运行，即使用户尝试修改注册表锁定设置，也会被系统拦截。

即用户试图将默认浏览器更换为国产软件、设置PDF文件用第三方阅读器打开后，系统更新或重启时设置会自动恢复为微软旗下应用。

更令人警惕的是该组件的技术特性。网络安全公司技术人员指出，UCPD.sys具备高度隐蔽的“远程加载与执行”能力，会在系统注册表深层写入加密数据，持续监控注册表项变化，一旦检测到变动便自动解码、校验并加载执行外来程序，而用户对此完全不知情。这种机制被专家直指为“隐形后门”，微软或可通过该通道远程下发指令执行未知操作。

此外，UCPD.sys的代码中包含doc、xls等常用文件格式标识，有技术分析认为，未来其可能进一步强制绑定微软Office软件，扩大对用户办公场景的控制。

定向限制：国产软件成“黑名单”重点目标

这样的“越权操作”和“隐形后门”除了影响用户使用体验之外，还延伸至对软件市场竞争的干预，尤其针对性地对中国软件厂商形成系统性限制。

“玄道”通过逆向工程深入研究发现，UCPD程序内置了一套“黑白名单机制”，从曝光的代码数据来看，“黑名单”中集中出现了数十家中国企业的产品，涵盖安全防护、办公软件、浏览器、输入法等核心领域，包括360、腾讯、联想、金山、搜狗、2345、迅雷等知名厂商。

数字签名黑名单列表（部分）

当这些国产软件尝试修改默认应用设置时，UCPD.sys会直接返回“操作失败”错误代码，而同类功能的国外软件却可顺利通过。

更严重的是，该机制对国产安全软件的限制削弱了用户的安全防线。

360等国产安全软件本可拦截UCPD.sys擅自修改注册表的行为，但因其被列入“黑名单”，相关操作会被UCPD.sys拒绝，甚至遭Windows Defender阻止安装与运行，导致用户设备暴露在更高的安全风险中。

在行业人士看来，这种操作实质是通过系统级权限限制第三方软件竞争，维护微软自身市场垄断地位。

用户普遍认为，是否开启数据收集、选择何种浏览器与安全软件，应由用户自主决定，微软通过系统权限强制设定的行为不仅侵犯用户选择权，更扼杀了软件市场的竞争活力。公众呼吁微软公开组件功能、开放风险选项关闭权限，将设备掌控权还给用户，这既是科技产品的底线，也是守护数字安全的起点。

地域双标：中国与欧美用户区别对待

此外，“玄道”还通过技术分析表明，UCPD.sys内置区域检测逻辑，存在明显的区域性差异化处理，其中中国用户与欧美用户的体验差异最为突出。

在欧盟地区，受《数字市场法》（DMA）约束，微软为Windows系统推出“公平模式”。欧盟用户可一键切换浏览器、PDF阅读器等默认应用，系统不会阻拦修改操作，更不会自动恢复原有设置；Edge浏览器和必应搜索功能可通过标准Windows机制卸载；第三方网络搜索应用还能通过任务栏搜索框提供服务，并依托任意浏览器显示结果，Windows小组件面板也支持第三方新闻源接入。北美市场与之类似。

微软欧盟官方博客的说明

相对的是，在中国市场（包括中国内地、香港、澳门和中国台湾地区），情况截然不同。UCPD.sys会强制开启数据收集与日志上报机制，日志内容详尽包含进程完整路径、注册表修改记录、驱动及云规则版本等信息。

若用户开启“发送可选诊断数据”，这些加密日志将被上传至微软服务器，足以还原用户的软件使用习惯与偏好。这种针对性的数据收集机制在欧美地区则完全不会触发。

安全隐患与潜在风险不止一次

值得关注的是，类似因国际企业“隐形后门”造成的网络安全事故，并非首次发生。

就在1个多月前的7月31日，国家网信办通过“网信中国”官微披露，依据《网络安全法》《数据安全法》《个人信息保护法》的相关规定，就H20算力芯片漏洞后门安全风险约谈了英伟达公司。

彼时，英伟达算力芯片被曝出存在严重安全问题，美国人工智能领域专家还透露，英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。

在此背景下，国家网信办要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明，并提交相关证明材料，旨在维护中国用户的网络安全与数据安全。

相比之下，微软更称得上类似事件的“常客”。

2025年4月，央视新闻曾报道哈尔滨亚冬会期间，美国国家安全局（NSA）向黑龙江省内基于Windows系统的特定设备发送未知加密字节，疑似激活预设后门，当时赛事信息系统遭境外攻击27万次，黑龙江省内关键信息基础设施攻击次数更是高达5000万次。

而据经济观察网等媒体报道，更早之前，2022年7月至2023年7月，国家互联网应急中心（CNCERT）监测到美国情报机构利用微软Exchange邮件系统漏洞，长期攻击我国军工企业、航天研究所及生物医药公司。

2024年曝光的“BITSLOTH”后门可记录键盘输入、截屏屏幕，代码中包含的中文日志暴露了针对中国用户的意图。

2019年的“SockDetour”后门，则在服务器中潜伏两年半，通过劫持系统程序悄悄传输数据，成为境外势力窃取商业机密的隐形通道。

涉嫌滥用市场支配地位、不正当竞争

如今UCPD.sys的存在让风险进一步升级。我国千万级终端依赖Windows系统，若此类组件被恶意利用，可能成为境外攻击者渗透关键信息基础设施的突破口，个人隐私、企业机密乃至国家核心信息均面临泄漏风险。

对此，北京市道可特律师事务所高级合伙人林蔚律师向观察者网表示，若“玄道”等网络安全专家的指控为真，就个人用户而言，《个人信息保护法》中对于跨境传输部分更有详细规定。而根据《Microsoft 隐私声明》，微软并未完全履行告知义务，且该隐私声明也没有设计“单独同意”的交互界面以获得个人信息主体的单独同意，存在合规瑕疵。个人用户既可以向国家网信办等监管部门进行投诉举报，亦可以采取《个人信息保护法》第七十条中规定的公益诉讼制度，“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”

针对企业方面，林蔚律师认为，微软通过UCPD驱动单方面将竞争对手软件列入“黑名单”并进行拦截或限制的行为如果属实，则涉嫌滥用市场支配地位和不正当竞争两方面。针对前者，相关企业可考虑向反垄断执法机构，即国家市场监督管理总局进行举报，但其中需要收集微软滥用市场支配地位的证据，包括技术分析报告、市场数据、用户投诉、经济损失评估等；针对不正当竞争行为，可考虑直接向法院以不正当竞争为案由提起诉讼。此外，还可向国家网信办等部门投诉举报，并联合行业力量与舆论监督进行维权。

但同时，林蔚律师指出，“玄道”及自媒体网络平台上所谓的专家言论，并不能作为行政举报或司法诉讼的直接证据。建议请《国家司法鉴定人和司法鉴定机构名册》列示的司法鉴定机构来出具相关结论，以保障证据内容的真实性、合法性。