Как работает GDID, уникальный идентификатор Windows

Как работает GDID, уникальный идентификатор Windows

Инженер SmtimesIWndr опубликовал полный разбор GDID (Глобальный идентификатор устройства), уникального идентификатора, который Microsoft присваивает каждому ПК при регистрации с учётной записью Microsoft. Материал разбирает механизм, упомянутый в июльском уголовном деле US v. Peter Stokes (против члена Scattered Spider): как ngrok-аккаунт хакера привязался к конкретному устройству через GDID g:6755467234350028, позволив ФБР связать браузинг, логины в разные аккаунты и физическое оборудование.

ГДИД, это 64-битный Device PUID (Уникальный идентификатор Passport), а не 128-битный идентификатор, как утверждали в соцсетях. Выдаётся серверами login.live.com при первой регистрации Windows с учётной записью Microsoft. Хранится в реестре: HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties (поле LID). Привязан не к железу, а к установке ОС, переустановка Windows = новый GDID, что суд использовал как доказательство серверного происхождения.

Архитектура простая: wlidsvc.dll (MSA-сервис) запрашивает Device PUID у login.live.com, получает в ответе SOAP, сохраняет в реестр и выдаёт учётные данные для синхронизации. Платформа подключённых устройств (cdp.dll) читает PUID из реестра и регистрирует устройство в Сервисе каталога устройств (DDS) как g:⟨decimal⟩. Затем Оптимизация доставки добавляет GDID в телеметрию к истории IP и местоположению.

Автор воспроизвел весь цикл на чистой Windows 11 (сборка 26200), анализировал бинарники cdp.dll и wlidsvc.dll с публичными символами отладки (PDB). Каждое утверждение отмечено уровнем доверия: [COURT], из судебного документа, [OBSERVED], воспроизведено на тест-машине, [STATIC], доказано из бинарников, [ASSESSED], сильный вывод. Суд и Microsoft подтвердили: GDID выдаётся сервером, не вычисляется от серийных номеров.

Ключевые факты

  • GDID, 64-битный Device PUID (не 128-битный), выданный серверами Microsoft при регистрации ПК с MSA, а не производная от аппаратных серийных номеров
  • Хранится в реестре Windows (HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties, поле LID) и используется для привязки браузинга и IP-адресов к устройству
  • Переустановка ОС генерирует новый GDID, что доказывает его серверное происхождение и позволило ФБР идентифицировать подозреваемого в уголовном деле
  • Платформа подключённых устройств (CDP) регистрирует GDID в Device Directory Service для отслеживания установки Windows в экосистеме Microsoft
  • Минимизировать отслеживание можно отключением CDPSvc и Activity History; удаление CDP-локального состояния работает, но PUID вернётся из реестра идентификационного хранилища

Почему это важно

GDID использует Microsoft для привязки активности устройства к аккаунту и полной истории IP. В криминальном расследовании это позволило ФБР связать браузинг (empirehotelnyc.com и другие Growtopia-логины), логины в разные аккаунты и физическое оборудование, ключевой момент в деле против Scattered Spider. Это не просто номер; это паспорт устройства в экосистеме Microsoft, который пережидает обновления ОС и синхронизируется с серверами Microsoft.

Кому это важно

Всем, кто беспокоится о приватности: пользователям с Microsoft Account, системным администраторам сетей, специалистам по киберсекурности и тем, кто работает с конфиденциальной информацией. Если вы логинитесь в Windows через MSA, ваше устройство известно Microsoft и может быть привязано к истории браузера, IP-адресов и географии. Для крупных организаций это означает, что сотрудники всегда идентифицируемы на уровне железа.

Как это применить

Если хотите снизить отслеживание: отключите Платформу подключённых устройств (остановите сервисы CDPSvc и CDPUserSvc) и Activity History (Параметры → Конфиденциальность → История активности). Удаление папки %LOCALAPPDATA%\ConnectedDevicePlatform уберёт локальное состояние CDP, но PUID вернётся из реестра идентификационного хранилища. Полной анонимности нет, но отключение CDP прерывает синхронизацию с Сервисом каталога устройств. При использовании локального аккаунта (без MSA) CDP всё равно генерирует анонимный путь устройства.

Можно ли доверять

Автор воспроизвел весь механизм на чистой Windows 11 (сборка 26200) с публичными PDB-символами, анализировал исходный код из бинарников cdp.dll и wlidsvc.dll. Каждое утверждение отмечено уровнем доверия: [COURT], цитата из уголовного дела, [OBSERVED], воспроизведено на тестовом ПК, [STATIC], доказано из бинарников и символов, [ASSESSED], сильный вывод. Судебный документ и Microsoft официально подтвердили механизм. Разбор публичный и открыт для проверки, весь стек и реестровые пути указаны точно.

Риски и подводные камни

Microsoft подтвердила, что один пользователь может иметь несколько GDID (если логинится с разных MSA на одном ПК). GDID пережидает обновления Windows, но полная переустановка ОС порождает новый ID, идеально для форензики и отслеживания. Попытка найти ещё GDID через реестр может вернуть кэшированные значения, но основной ID, только в ExtendedProperties. Если используете анонимный режим (без MSA), всё равно получаете анонимный путь устройства. Полностью избежать Device ID в Windows, невозможно; можно только минимизировать через отключение CDP.

«GDID, это глобально уникальный идентификатор, привязанный к установке Windows на устройстве. GDID остаётся неизменным при обновлениях ОС, но переустановка Windows привязывается к новому уникальному GDID.»

— Из судебного приговора US v. Peter Stokes (июль 2026)