Əsas məzmuna keç

Ən Məxfi Masaüstü OS (2026): Windows 11 vs macOS vs Ubuntu vs Fedora vs Mint vs Qubes vs Tails

Yeddi masaüstü əməliyyat sisteminin dürüst məxfilik müqayisəsi: Windows 11, macOS Sequoia, Ubuntu, Fedora, Linux Mint, Qubes OS və Tails. Telemetriya standartları, hesab tələbləri, şifrələmə və təhlükə modelinə görə hansını seçmək - heç bir şişirtmə olmadan.

Son yenilənmə: 22 aprel 2026

Qısa məzmun

  • Əksər istifadəçilər üçün məxfilik reytinqi belədir: **Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11**.
  • **Windows 11** ən aqressiv standartlara malikdir: məcburi Microsoft hesabı, qaçılmaz telemetriya, Copilot+Recall uyğun aparatlarda ekranınızın skrinşotlarını çəkir. Sərtləşdirmək mümkündür, amma siz standartlarla mübarizə aparırsınız.
  • **macOS Sequoia** ən məxfi kommersiya OS-dir: güçlü cihaz daxili təhlükəsizlik, şifrələnmiş iCloud ixtiyaridir (Advanced Data Protection), amma qapalı mənbəlidir, ona görə həqiqətən nə etdiyini yoxlaya bilməzsiniz.
  • **Masaüstü Linux** (Ubuntu, Fedora, Mint) açıq mənbəlidir, məcburi hesab yoxdur, kiçik imtinalardan sonra narahatlıq doğuracaq telemetriya yoxdur. Mint üçü arasında ən məxfi standartlara malikdir.
  • **Qubes OS** ayrılaşdırma yolu ilə təhlükəsizlik istəyən yüksək təhlükə altındakı istifadəçilər üçün qalib gəlir. **Tails** müvəqqəti, amneziyalı, Tor yönləndirmələrinin aparıldığı sesiyalar üçün əsas seçimdir — gündəlik istifadə üçün deyil.

Qısa cavab

Əgər məxfilik əsas prioritetdirsə və vərdişlərinizi dəyişməyə hazırsınızsa:

  • Ekstremal təhlükə modeli (mənbələrini qoruyan jurnalist, düşmən dövlətdə fəal, təhlükəsizlik tədqiqatçısı): Gündəlik istifadə üçün Qubes OS + bir dəfəlik yüksək riskli sesiyalar üçün ayrı USB-də Tails.
  • Məxfilik yönümlü amma praktiki (ev telefon etməyən normal görünüşlü kompüter istəyirsiniz): Linux Mint — Ubuntu uyğun proqram ekosisteми, Canonical-ın əlavələri silinmiş, konservativ standartlar.
  • Məxfilik üçün ən yaxşı kommersiya OS: Advanced Data Protection aktivləşdirilmiş macOS Sequoia. Qapalı mənbə qeyd-şərti tətbiq olunur, amma standartlar Windows-dan daha yaxşıdır və cihaz təhlükəsizliyi əladır.
  • İş üçün Windows istifadə etməlisiniz: Group Policy, BitLocker, Firefox və ciddi sərtləşdirmə pass-ı ilə Windows 11 Pro (Home yox). Kifayət qədər məxfi Windows 11 işlətmək mümkündür — sadəcə həftə sonu konfiqurasiya edirsiniz və hər böyük yeniləmədə geriyə sürüşür.

Aşağıdakının hamısı bu reytinqin arxasındakı detaldir — hər OS standart olaraq nə edir, nəyi dəyişə bilərsiz və nəyi dəyişə bilməzsiz.

Windows 11 — anti-məxfilik bazası

Windows 11 mainstream seçimlərin ən pisidir, zərərli olduğu üçün yox, Microsoft-un biznes modeli OS-i məlumat məhsulu kimi qəbul etdiyi üçün. Spesifikalar:

Hesab tələbi. Windows 11 Home quraşdırma zamanı Microsoft hesabı tələb edir. Lokal hesab həlləri (OOBE\BYPASSNRO əmri, no@thankyou.com fəndi) kumulyativ yeniləmələrdə yamaqlanmağa davam edir. Windows 11 Pro hələ də "domain join" yolunu seçsəniz quraşdırma zamanı lokal hesablara icazə verir.

Telemetriya. İki səviyyə: "Tələb olunan diaqnostika məlumatları" (həmişə açıq, Settings UI vasitəsilə söndürülə bilməz — Group Policy onu məhdudlaşdırmağa icazə verir, amma bəzi siqnallar hələ də axır) və "İxtiyari diaqnostika məlumatları" (söndürə biləcəyiniz amma standart olaraq AÇIQ olan tam brauzer səviyyəsində telemetriya). Microsoft məlumat lüğəti dərc edir, bu da əksər OS vendorlarının etdiyindən çoxdur, amma baza "Microsoft nə etdiyinizi bilir"dir.

Copilot + Recall. Recall (NPU-lara malik Copilot+ PC-lərdə) hər bir neçə saniyədən bir ekranınızın skrinşotlarını çəkir, onları OCR edir və axtarışa uyğun lokal indeks yaradır. 2024-cü ilin iyun təhlükəsizlik etirazından sonra Microsoft onu opt-in etdi, veritabanını şifrələdi və sorğu üçün Windows Hello auth tələb etdi. Əsas imkan OS-də təminat olunmuş qalır. Hər böyük yeniləmə "Recall həqiqətən hələ də opt-in-dirmi?" sualını yenidən açır. Copilot özü funksiyanı açıq şəkildə söndürməsəniz sorğuları Azure OpenAI-ya göndərir.

OneDrive standartları. Təzə quraşdırmalar sizin Documents, Pictures və Desktop-unuzu %OneDrive%\-a səssiz şəkildə yönləndirir və synci başlayır. Milyonlarla istifadəçi onları upload etmək üçün şüurlu qərar vermədən şəxsi fayllarını Microsoft-un cloud-ında saxlayır.

Edge + Bing. Standart brauzer sorğuları Bing-ə göndərir. Edge faydalı məxfilik funksiyalarına malikdir (tracker blocking, InPrivate) amma onun standart davranışı URL-ləri Microsoft-un Defender SmartScreen-ə göndərməyi əhatə edir.

Nə edə bilərsiz. Windows 11 ən çox sərtləşdirilə bilən OS-dir, çünki söndürəcək çox şey var:

  • Lokal hesabla quraşdırın (Pro və ya Home-da registry tweak)
  • O&O ShutUp10++ işlədin — "tövsiyə olunan" standartlar ilə 100+ məxfilik toggle-ının seçilmiş siyahısı. Yeniləmələri sağ qalan Group Policy + registry dəyişikliklərini tətbiq edir.
  • OneDrive quraşdırmasını quraşdırma zamanı söndürün, istifadə edilmirsə tamamilə silin
  • Edge-i Firefox və ya Brave ilə əvəz edin; standart axtarışı DuckDuckGo, Kagi və ya Startpage-ə dəyişin
  • İstifadə edilmirsə Cortana, Teams Consumer və Xbox tətbiqlərini uninstall edin
  • FDE üçün BitLocker (yalnız Pro) və ya VeraCrypt (Home)
  • Group Policy: Computer Configuration → Administrative Templates → Windows Components → Data Collection

Bu pass-dan sonra Windows 11 təxminən dəyişdirilməmiş Ubuntu qədər məxfi edilə bilər. Davamlı vergi hər Feature Update-dən (20H2, 22H2, 23H2, 24H2 hər birisi bəzi davranışları yenidən təqdim etdi) sonra ayarlarınızı yenidən nəzərdən keçirməkdir.

macOS Sequoia 15 — məxfilik üçün ən yaxşı kommersiya OS

macOS Sequoia standart olaraq Windows 11-dən dramatik şəkildə yaxşıdır, amma "Microsoft-dan yaxşı" "məxfi" ilə eyni deyil.

Apple-ın telemetriyası — Analytics, Device Analytics və iCloud Analytics — AB-də (GDPR) təzə quraşdırmada standart olaraq söndürülmüşdür, ABŞ-da standart olaraq açıqdır (onları Settings → Privacy & Security → Analytics & Improvements-də söndürə bilərsiz). Apple məxfilik siyasətini dərc edir və cihaz daxili emalı haqqında xüsusi iddialar irəli sürür, amma OS qapalı mənbəli olduğu üçün bu iddiaları müstəqil şəkildə yoxlaya bilməzsiz.

iCloud standartları. Apple ID ilə daxil olsanız Photos, Contacts, Calendar və iCloud Drive standart olaraq sync olur. Messages in iCloud aktivləşdirilməsə söndürülmüşdür. Advanced Data Protection (əksər kateqoriyalar üçün end-to-end şifrələnmiş iCloud — Photos, Notes, Drive, backup-lar) opt-in-dir və bütün cihazlarınızda iOS 16.2+ / macOS 13+ tələb edir. Apple bunu quraşdırma zamanı aktiv şəkildə vurğulamır, çünki aktivləşdirmək giriş itirsəniz Apple-ın məlumatlarınızı bərpa edə bilməməsi deməkdir.

Siri + Spotlight. Sorğular həll üçün Apple-a göndərilir. Apple deyir ki, onlar anonimləşdirilir və Apple ID-nizlə bağlanmır. Safari-də "Search Suggestions from Apple"-ı söndürə bilərsiniz ki, URL-bar yazısı Apple serverlərə çatmasın.

Apple Intelligence (2024-də əlavə olundu). Kiçik modellər üçün əsasən cihaz daxilidir, amma bəzi sorğular Apple-ın "Private Cloud Compute" infrastrukturuna göndərilir. PCC təsdiq edilmiş aparat və dərc edilmiş binaries istifadə edir — həqiqətən yeni məxfilik arxitekturasıdır. AB-də opt-in-dir, digər yerlərdə də macOS 15-dən etibarən opt-in-dir.

Gatekeeper + code signing. İşlətdiyiniz hər tətbiq Apple-ın notary service-inə qarşı imza yoxlanılmasından keçir. İlk dəfə işləyən tətbiqlər Developer ID hash-i ilə ev təmasında telefon edir — Apple (nəzəri olaraq) hər Mac-ın nəyi və nə vaxt işlətdiyini qeyd edə bilər. Bu təhlükəsizlik xüsusiyyətidir (məlum zərərli tətbiqləri tutur) məxfilik xərcləri ilə. sudo spctl --master-disable imza tətbiqini söndürür, amma tövsiyə edilmir.

Güclü tərəfləri.

  • Apple Silicon + Secure Enclave = güclü cihaz təhlükəsizliyi, aparata bağlı biometrik unlock
  • App Store tətbiqləri məxfilik etiketlərinə malikdir (developer özünü təsdiqləyir, amma hələ də info surface edir)
  • İcazələr modeli sərtdir — tətbiqlər contacts, calendar, camera, mic, location oxumadan əvvəl soruşmalıdır
  • FileVault (FDE) aktivləşdirmək asandır və Secure Enclave istifadə edir
  • Məcburi anti-virus ev telefonu yoxdur

Zəif tərəfləri.

  • Qapalı mənbə — məxfilik iddiaları Apple-ın sözüdür
  • iCloud opt-out-ları Settings panellərinə səpələnmişdir
  • Advanced Data Protection quraşdırması sürtünmə-ağırdır (Apple onu aktivləşdirməyi aktiv şəkildə çətinləşdirir)
  • Aparat lock-in — məxfilik haqqında kifayət qədər qayğıkeşsinizsə onu yoxlamaq, yəqin ki yoxlaya biləcəyiniz Linux-da olmaq istəyərsiniz

Praktiki quraşdırma. Təzə quraşdırma → ixtiyari analytics-dən imtina et → FileVault-u aktivləşdir → bütün cihazlarınız dəstəkləyirsə Advanced Data Protection-ı aktivləşdir → Firefox quraşdır → hansı kateqoriyaları sync etməyə qərar verənə qədər iCloud-a daxil olmayın.

Ubuntu 24.04 LTS — məşhur Linux

Ubuntu masaüstlərdə ən çox yerləşdirilmiş Linux distributivudur və məqbul məxfilik bazasıdır. Canonical-ın bu mövzuda qarışıq tarixi var.

2013 Amazon lens-i. Qısa müddət ərzində Ubuntu Unity-nin Dash axtarışı alış-veriş nəticə "lens"ləri üçün Amazon-a sorğular göndərirdi. Bu icmada illər boyu davam edən etimad böhranını tetikledi. Xüsusiyyət 16.04-də silindi və Canonical bunu təkrarlamayıb. Linux istifadəçilərinin uzun müddətli Ubuntu haqqında necə hiss etmələrinə rəng verdiyi üçün bilməyə dəyər.

Hazırkı telemetriya.

  • Ubuntu Report — quraşdırma zamanı göndərilən bir dəfəlik, anonim aparat/proqram xülasəsi. Opt-in; işləməzdən əvvəl prompt görürsüz.
  • Apport — crash reporting. Release-lərdə standart olaraq söndürülmüşdür; hər crash-a opt-in olursuz.
  • Livepatch — kernel hot-patch-ları. Opt-in; Ubuntu Advantage subscription tələb edir.
  • PopCon — paket məqbulluk müsabiqəsi. Standart olaraq söndürülmüşdür.
  • Snap telemetriya — Canonical-ın snap store quraşdırma/yeniləmə saylarını toplayır. Brauzer telemetriyasından az invaziv amma hələ də hər snap quraşdırması üçün Canonical-a zəng.

ubuntu-advantage-tools nag screen-ləri. Son Ubuntu versiyaları SSH etdikdə və ya terminal açanda Ubuntu Pro-nu reklam edən "motd" prompt-ları əlavə etdi. Narahatedici amma məxfilik məsələsi deyil (outbound məlumat yoxdur). 24.04-də /etc/default/ubuntu-advantage-tools-da ENABLED=0 qoyaraq silindi və ya susdarıldı.

Snap vs apt. Ubuntu 22.04+ Firefox-u snap paketi kimi göndərir. Snap store Canonical-ın serverləri ilə danışır; ənənəvi apt paketləri konfiqurasiya etdiyiniz hər hansı mirror ilə danışır. "Hər şeyi Canonical vasitəsilə" routing sizi narahat edirsə, ya ppa:mozillateam/ppa Firefox apt paketinə keçin, ya da Firefox-u birbaşa flatpak-dan quraşdırın.

Güclü tərəfləri. Açıq mənbə, audit edilə bilən, kütləvi paket seçimi, əla aparat dəstəyi, 22.04+-da standart olaraq Wayland, məqbul məxfilik standartları ilə GNOME 46.

Zəif tərəfləri. Canonical-ın kommersiya maraqları bəzən istifadəçi məlumatlarına yönəlir; snap-lar istifadə etsəniz Snap telemetriyasından qaça bilməzsiz; "Ubuntu Advantage" branding nag-ları görünən.

Praktiki quraşdırma. Təzə quraşdırma → Ubuntu Report-dan imtina et → Apport-u söndür → PopCon-u söndür → Snap Firefox-ı apt Firefox və ya Flatpak ilə əvəz et → quraşdırma zamanı LUKS FDE aktivləşdir → uBlock Origin ilə Firefox.

Fedora 41 — upstream-first Linux

Fedora Red Hat-ın (IBM-in) icma distributivudur, RHEL üçün upstream kimi istifadə olunur. Məxfilik baxımından bir neçə fərqlə Ubuntu-ya bənzəyir.

Canonical ekvivalenti yoxdur. Red Hat / IBM masaüstü istifadəçilərə "Advantage" abunəlik reklam etmir; müəssisə lisenziyası RHEL-də yaşayır, Fedora-da yox. Nag screen-lər yoxdur, məcburi upgrade prompt-ları yoxdur.

Standart telemetriya. Minimal. Fedora Report (aparat sənəşümarı) 42-də təqdim olunur — davam edən icma müzakirəsi, hazırkı status opt-in-dir. ABRT (crash reporting) opt-in-dir; crash baş verdikdə bildiriş görəcəksiz və göndərib-göndərməməyə qərar verə bilərsiz.

Standart olaraq SELinux enforcing. Bu təhlükəsizlik xüsusiyyətidir, özü məxfilik deyil — process səviyyəsində exploit-ləri ehtiva edir ki, kompromis edilmiş tətbiq sisteminizdəki hər şeyi oxuya bilməsin. Ubuntu eyni məqsədlə AppArmor istifadə edir, amma daha icazəkar standart posturada. SELinux daha sərtdir.

Flatpak + dnf. Fedora-nın paket menecer-ləri. Flathub flatpak-ları Flathub CDN ilə danışır (telemetriya siqnalı deyil, sadəcə yükləmə); dnf Fedora mirror-ları ilə danışır.

Wayland first. Hər desktop spin (GNOME, KDE, XFCE, s.) Wayland-ı standart sesiya kimi göndərir, X11-dən GUI tətbiqləri arasında daha yaxşı izolyasiya var (tətbiqlər bir-birini screenshot / keystroke-sniff edə bilməz).

Güclü tərəfləri. Canonical-kimi kommersiya pattern-ləri yoxdur, SELinux enforcing, sürətli upstream tracking (kernel/Mesa/GNOME hamısı Ubuntu-dan daha yenidir).

Zəif tərəfləri. Bleeding-edge "driver reqressiyası üzündən nəsə pozuldu" demək ola bilər; Ubuntu LTS-nin 5 ilinə qarşı hər release üçün 13 aylıq dəstək dövrü.

Praktiki quraşdırma. Təzə quraşdırma → crash report-lardan imtina et (birincisində prompt alırsız) → quraşdırma zamanı LUKS aktivləşdir → Fedora Workstation-da Firefox əvvəlcədən quraşdırılmış və flatpak deyil.

Linux Mint 22 — standart olaraq ən yaxşı məxfi Linux

Linux Mint Ubuntu-nun uzunmüddətli debloat-ıdır. Onlar upstream Ubuntu LTS-i götürür, Canonical-ın əlavələrini silir, desktop-u Cinnamon (və ya Xfce / MATE) ilə əvəz edir və göndərir. Aldığınız şey:

Standart olaraq Snap yoxdur. Mint açıq şəkildə snap-ı silir və apt-ın snap daemon quraşdırmasını bloklayır. Firefox Mozilla-nın PPA-sından normal apt paketi kimi quraşdırılır. Nag screen-lər yoxdur.

Ubuntu Report, ubuntu-advantage-tools yoxdur. Mint Canonical-kommersiya hissələrini söndürür və ya uninstall edir.

Telemetriya yoxdur. Mint özü ev telefon etmir. Crash reporting söndürülmüşdür. Update manager yeniləmələr üçün Mint-in mirror-ı ilə danışır — standart paket menecer trafiyi — amma istifadəni report etmir.

LMDE fallback. Canonical-sız Mint versiyası istəyirsinizsə, LMDE (Linux Mint Debian Edition) baza kimi Debian Stable istifadə edir. Eyni desktop təcrübəsi, fərqli upstream.

Cinnamon. Ənənəvi Windows-bənzər desktop-a prioritet verən GNOME fork-u. GNOME-dan daha az "müasir", KDE-dən klaviatura yönümlü deyil, amma Windows-dan keçən istifadəçilər üçün yaxınlaşılabilən.

Güclü tərəfləri. İstənilən mainstream distro-nun ən konservativ məxfilik standartları. Böyük icma. Sabit. Ubuntu bazası vasitəsilə yaxşı aparat dəstəyi.

Zəif tərəfləri. Yeni texnologiyanı qəbul etməkdə daha yavaş (Wayland Mint 22-dən etibarən hələ opt-in-dir, X11-ə standart edir). Cinnamon GNOME və ya KDE-dən az contributor-a malikdir. Ubuntu upstream Ubuntu-nun bug-larını miras alırsız, sadəcə telemetriyasını yox.

Praktiki quraşdırma. Təzə quraşdırma → quraşdırma zamanı LUKS aktivləşdir → update → Firefox (artıq oradadır) + uBlock Origin quraşdır → bu qədər. Mint əlavə iş olmadan "quraşdır və istifadə et"in sizə məqbul məxfilik posturası verdiyi distro-dur.

Qubes OS 4.2 — təhlükə modeli kimi ayrılaşdırma

Qubes öz kateqoriyasındadır. Bir OS-i daha məxfi etməyə çalışmaq əvəzinə, Qubes istənilən tək sistemin kompromis olunacağını güman edir və virtualizasiya istifadə edərək partlayış radiusunu izolyasiya edir.

Necə işləyir. Qubes Xen hypervisor vasitəsilə bare metal üzərində işləyir. Hər "VM" (onların terminologiyasında qube adlanır) disposable Linux userspace işlədir — adətən Fedora və ya Debian template-ləri. E-mail attachment-ınə click etdikdə, o, bağladıqdan sonra məhv edilən DisposableVM-də açılır. Banking öz bank-a yalnız şəbəkə girişi olan öz AppVM-ində baş verir. Təsadüfi link-lərə browsing Tor vasitəsilə yönləndirən Whonix-Workstation qube-ında baş verir.

UX xərci. Qube-lər arasında copy-paste transfer-i təsdiqləyən açıq klaviatura qısayolu (Ctrl+Shift+V) tələb edir. Qube-lər arasında köçürülən fayllar xüsusi FileCopy dialoqu vasitəsilə keçir. Normal OS-in "hər şey eyni masaüstündə işləyir" fərziyyəsini itirirsiniz — amma real təhlükəsizlik sərhədlərini qazanırsız.

Təhlükəsizlik xüsusiyyətləri.

  • İş qube-ində brauzer exploit-i şəxsi qube-dəki fayllara çata bilməz.
  • Kompromis edilmiş PDF oxuyucu kripto pul kisənizi exfiltrasiya edə bilməz.
  • Takılan USB düyməsi xüsusi sys-usb qube-ında mount olunur — malware yükləmişsə, disposable VM-ə dəyir, dom0-a (etimad olunan control domain) yox.
  • dom0-un heç internet girişi yoxdur; dom0-da brauzer işə sala bilməzsiniz.

Aparat tələbləri. Minimum 16 GB RAM (Qubes 16 GB tövsiyə edir), praktiki 32 GB. Sürətli SSD (NVMe üstünlük verilir). VT-x + VT-d ilə Intel CPU-lar; xüsusi laptop-lar aparat-uyğunluq siyahısındadır (daha yeni Thinkpad-lər, Framework, System76 Oryx Pro).

Whonix vasitəsilə Tor inteqrasiyası. Qutusundan Qubes Whonix template-ləri ilə göndərilir — bir VM Tor yönləndirməsi edən və digəri brauzerinizi işlədən, tam exploit olunsa belə brauzer üçün real IP-ni öyrənmək üsulu olmayan iki-VM quraşdırması. Tails-dən qısa ən yaxşı Tor arxitekturasıdır.

Güclü tərəfləri. Yüksək təhlükə altındakı istifadəçilər üçün qızıl standart təhlükəsizlik modeli. Açıq mənbə. Snowden və yüksək dəyərli jurnalistlər onu ictimai istifadə edir.

Zəif tərəfləri. Sərt öyrənmə əyrisi (rahatlıq üçün 2-4 həftə). Ağır aparat tələbləri. Məhdud aparat dəstəyi — "çox müasir aparat" deyil, xüsusi laptop siyahıları. Kommersiya proqramı yoxdur; yalnız Linux tətbiqlərindəsiniz.

Praktiki quraşdırma. Qubes-in özünün quraşdırma bələdçisi əladır. İlk quraşdırma və qube modelini öyrənmək üçün həftə sonu büdcəli edin. Uyğun laptop ilə cütləyin (onların HCL siyahısını yoxlayın — təsadüfi aparat almayın).

Tails 6.x — USB-də amnezik sesiyalar

Tails (The Amnesic Incognito Live System) USB-dən boot edən və söndürdükdə hər şeyi unudan Debian-əsaslı canlı OS-dir. Hər outbound bağlantı Tor vasitəsilə məcbur edilir — tətbiqdəki bug birbaşa bağlantı etməyə çalışarsa, sızmaq əvəzinə iflas edir.

Necə istifadə edirsiniz. Hədəf maşını Tails USB-dən boot edin. İstifadə edin. Reboot edin. Maşının hard drive-ına heç vaxt dəyilmir (açıq şəkildə opt-in etməsəniz). Sesiyadan heç iz insan yaddaşından başqa heç yerdə qalmır.

Persistent storage. Opt-in, eyni USB-də, LUKS ilə şifrələnmiş. Xüsusi papka, Tor bridge ayarları və qısa tətbiqlər siyahısını reboot-lar arasında saxlamağa imkan verir. Hər şey digər amnezik qalır.

Tor yönləndirməsi. Bütün trafik. "Split tunnel" yoxdur, "domain-əsaslı istisna" yoxdur. Tor istifadə edə bilməyən tətbiqlər sadəcə bağlana bilməz. Bu sərt və bəzən narahatedicidir (bəzi video konfrans pozulur, əksər banking saytlar Tor çıxışlarını bloklar) amma bu təhlükəsizlik xüsusiyyətidir.

Güclü tərəfləri. Dizayn üzrə amnezik — itmiş USB sesiyanızı sızdırmır. Standart olaraq Tor — real IP-nizi təsadüfən sızdırmaq üsulu yoxdur. Kiçik hücum səthı — minimal proqram yığını. Qeyri-kommersiya təşkilat tərəfindən yaxşı saxlanılan.

Zəif tərəfləri. Gündəlik driver deyil. USB-dən boot daha yavaşdır. Proqram seçimi məqsədli şəkildə məhduddur. Tor gecikmələri bir çox kommersiya servisini pozur. Opt-in etməsəniz reboot-lar arasında davamlı sistem state yoxdur.

Ən yaxşısı.

  • Sərhədləri keçmək (gömrük qarşısında normal OS-a reboot et)
  • Jurnalistik mənbələrlə görüşmək
  • Günün qalan hissəsində kim olduğunuzla qarışmamalı olan həssas mövzu araşdırmaq
  • "İndi etdiyiniz şey günün qalan vaxtında kim olduğunuza bağlana bilməməlidir" olan istənilən sesiya

Praktiki quraşdırma. Tails-i tails.net-dən yükləyin, imzanı yoxlayın (kritik), ≥ 8 GB USB-yə flash edin, hədəf maşını ondan boot edin (BIOS/UEFI tweak tələb edə bilər). Sesiya zamanı sudo əmrlərini işlətmək lazımdırsa admin parol qoyun.

Müqayisə cədvəli

OS Telemetriya (standart) Hesab tələb olunur Açıq mənbə FDE standart Cloud standartları Məxfilik balı
Windows 11 Home Həmişə açıq + yalnız opt-out Bəli (Microsoft) Xeyr Bəzən (auto Device Encryption) OneDrive açıq ★☆☆☆☆
Windows 11 Pro Group Policy vasitəsilə azaldıla bilər Xeyr (domain join seçimi) Xeyr Bəli (BitLocker) OneDrive açıq ★★☆☆☆
macOS Sequoia AB-də opt-out, ABŞ-da standart olaraq açıq Tövsiyə (Apple ID) Xeyr Xeyr (istifadəçi FileVault aktivləşdirməlidir) Photos üçün iCloud açıq ★★★☆☆
Ubuntu 24.04 Yalnız quraşdırma zamanı opt-in Xeyr Bəli Quraşdırmada ixtiyari Yoxdur (snap telemetriya) ★★★★☆
Fedora 41 Opt-in crash report-lar Xeyr Bəli Quraşdırmada ixtiyari Yoxdur ★★★★☆
Linux Mint 22 Yoxdur Xeyr Bəli Quraşdırmada ixtiyari Yoxdur ★★★★★
Qubes OS 4.2 Yoxdur Xeyr Bəli Bəli (məcburi LUKS) Yoxdur ★★★★★
Tails 6.x Yoxdur Xeyr Bəli Persistent vol ixtiyari Yoxdur (Tor yönləndirməsi) ★★★★★

(Ulduzlar "telemetriya yükü + qapalı mənbə cəzası + FDE standart + cloud lock-in" təxmini birləşməsidir. Önəmli olan yeganə şey deyil — sərtləşdirilmiş Windows 11 Pro səhlənkar Ubuntu quraşdırmasından daha məxfi ola bilər.)

İstifadə halına görə tövsiyəmiz

1. Mainstream proqram da tələb edən məxfilik şüurlu istehlakçı (Adobe, gaming, Office, Zoom, s.). BitLocker + O&O ShutUp10++ + Firefox + lokal hesab ilə Windows 11 Pro. Və ya tələb edən tətbiqlər üçün Windows-u dual-boot edin və hər şey başqa üçün Linux Mint.

2. Bilik işçisi, developer, tələbə, yazıçı. LUKS + Firefox + uBlock Origin ilə Linux Mint. Windows/macOS iş axınlarının doxsan faizi Mint-ə təmiz şəkildə xəritələnir. Əksər sənədlər üçün LibreOffice, daha yaxşı Microsoft Office uyğunluğu lazımsa OnlyOffice.

3. Adobe Creative Cloud istifadə edən content yaradıcısı / dizayner. FileVault + Advanced Data Protection + Firefox ilə macOS Sequoia. macOS-da Adobe dəstəyi realdır; Linux-da çətin olur (Wine/Bottles bəzi tətbiqlər üçün işləyir, hamısı üçün yox). Video işində Apple Silicon performansı həqiqətən üç kommersiya seçiminin ən yaxşısıdır.

4. Həssas material emal edən jurnalist / fəal / tədqiqatçı. Gündəlik iş üçün uyğun aparatda Qubes OS + bir dəfəlik yüksək riskli sesiyalar üçün USB-də Tails. Mümkünsə "ictimai kimlik"lə "həssas iş kimliyi" üçün ayrı fiziki cihazlar istifadə edin.

5. Bəzən yüksək riskli sesiya (sərhədi keçmək, mənbə ilə görüşmək, mövzu araşdırmaq). Təmiz maşında boot edilən, sonra söndürülən USB-də Tails. Persistent volume-u silmədən fərqli risk ssenariləri arasında USB-ni təkrar istifadə etməyin.

6. Kompüter istifadə etməyi öyrənən nənə/baba. Sadəlik üçün Chromebook-da ChromeOS, VƏ YA ilkin quraşdırma edə biləcək ailə üzvü varsa Linux Mint Cinnamon. Windows 11 Home-dan qaçın — təkcə Microsoft hesab quraşdırması çaşdırıcıdır və yüngül istifadəçi üçün təmizlik işi dəyməz.

Biz həqiqətən nə işlədirik

Tam açıqlıq: ipdrop.io komandası qarışıq işlədir — content/dizayn/gündəlik iş üçün macOS, development/həssas iş üçün ayrı maşında Linux Mint və çekmecədə ildə 3-4 dəfə istifadə olunan Tails USB. Qubes-a hörmət edirik, amma gündəlik istifadə etmirik — sürtünmə realdır və təhlükə modelimiz tələb etmir.

Nə seçsəniz seçin, ən önəmli məxfilik hərəkəti OS deyil — tam disk şifrələnməsini aktivləşdirmək, parol menecer istifadə etmək və həssas kimlikləri gündəlik brauzerinizə qarışdırmamaqdır. OS seçimi çərçivədir; vərdişlər şəkildir.

Bağlantılı

İstənilən masaüstü OS-ni məxfilik üçün sərtləşdirmək

Platform-aqnostik checklist hansı OS-də olduğunuzdan asılı olmayaraq 80/20 məxfilik qazanclarını əhatə edir. Bunların əksəriyyəti bir saatdan az vaxt aparır.

  1. Tam disk şifrələnməsini aktivləşdir:BitLocker (Windows 11 Pro — Home yox), FileVault (macOS System Settings → Privacy & Security → FileVault), və ya Linux quraşdırması zamanı LUKS. FDE olmadan itirilən laptop məxfilik pozğunluğudur. 18+ təsadüfi simvoldan ibarət passphrase istifadə edin (xatırladığınız parol deyil — passphrase-i parol menecerinizdə saxlayın və bərpa açarını fiziki seyfə çap edin).
  2. Ehtiyac duymadığınız telemetriyanı söndürün:Windows 11 → Settings → Privacy & Security → aktiv ehtiyac duymadığınız hər toggle-ı söndürün; daha dərin Group Policy düzəlişləri üçün O&O ShutUp10++ işlədin. macOS → Settings → Privacy & Security → Analytics & Improvements → bütün paylaşımları söndürün. Ubuntu/Fedora → installer zamanı opt-out ("Yaxşılaşdırmaq üçün kömək et..." checkboxları) və crash reporting-i söndürün. Linux Mint → söndürəcək heç nə yoxdur, amma böyük yeniləmələrdən sonra yenidən yoxlayın.
  3. Standart brauzerinizi Firefox və ya Brave-ə keçirin, Chrome/Edge/Safari yox:Chrome hər URL-ni Google-a Safe Browsing üçün standart olaraq göndərir (opt-out mövcuddur). Edge Microsoft-a göndərir. Safari daha az pis, amma hələ də Apple mərkəzlidir. Strict rejimli və ad-blocker (uBlock Origin) ilə Firefox məxfilik və uyğunluğun ən yaxşı balansıdır. Brave daha sərt standartlara malikdir, amma ad-network-rewards bucağı bəzilərini narahat edir. Yeni OS-də hər hansı şeyə daxil olmadan əvvəl brauzeri ƏVVƏL quraşdırın.
  4. End-to-end şifrələnmə ilə parol menecerindən istifadə edin:Proton Pass və ya Bitwarden — hər ikisi açıq mənbəli, hər ikisi E2E şifrələnmiş. Parol menecerinin özündə 2FA aktivləşdirin. Heç vaxt parolları təkrar istifadə etməyin. Hansını seçmək üçün bizim Proton Pass vs Bitwarden müqayisəsinə baxın.
  5. Etimadsız şəbəkələr üçün VPN əlavə edin (və həmişə açıq saxlamağı düşünün):ISP / qəhvəxana / hava limanı / işçi şəbəkəniz bağlandığınız hər domenini görə bilər. VPN (Proton VPN və ya Mullvad, pulsuz olanlar yox) trafiyi VPN serverinə şifrələyir və ISP-nizi etimad edilən vasitəçi ilə əvəz edir. Xüsusi məxfilik üçün — sadəcə geo-unblocking yox — evdə belə açıq saxlamağı düşünün.
  6. Şifrələnmiş cloud backup quraşdırın və ya həssas papkaları cloud-sync etməyi dayandırın:Windows 11-də OneDrive standart olaraq açıqdır və Documents papkanıza atdığınız hər faylı skan edir. macOS opt-out etməsəniz iCloud Drive ilə oxşarını edir. Məxfillik üzrə sıralanmış seçimlər — (a) yalnız şifrələnmiş xarici diskə lokal backup, (b) sıfır girişli şifrələnməsi olan Proton Drive, (c) bəzən şifrələnmiş transferlər üçün Bitwarden Send və ya Magic Wormhole. Maliyyə, tibbi və ya kimlik sənədləri saxlayan istənilən papka üçün standart cloud-sync-i söndürün.
  7. Brauzer genişləndirmələri və quraşdırılmış tətbiqləri rüblük audit edin:Genişləndirmələr klassik exfiltration yoludur — ad-blocker-a hər səhifəni oxumağa icazə verən eyni icazə oğurlanmış genişləndirməyə də eyni şeyi etməyə imkan verir. Hər 90 gündə üç şey yoxlayın — quraşdırılmış brauzer genişləndirmələri (30 gündə istifadə etmədiyiniz hər şeyi silin), quraşdırılmış tətbiqlər (tanımadığınız hər şeyi uninstall edin), və "Google / Facebook / Apple ilə daxil ol" bağlı tətbiqlər siyahınız (köhnələri revoke edin).
  8. Məkan xidmətlərini hər tətbiq üçün opt-in edin:Hər OS-də Settings → Privacy → Location Services-ə gedin və aktiv ehtiyac duymadığınız tətbiqlər üçün (məsələn, Maps, Weather) standarti "Deny"-a qoyun. Brauzer xüsusi saytda "allow" promptuna click etməsəniz məkana ehtiyac duymamalıdır. macOS və Linux bunu yaxşı edir; Windows 11 daha məqsədyönlü toggle tələb edir, çünki bir çox daxili tətbiqlər standart olaraq "Allow" edir.
  9. Maksimum məxfilik üçün kimlikləri ayrı maşınlara ayırın:Ən yaxşı məxfilik gigiyena hərəkəti eyni cihaz və brauzer profilində şəxsi kimliyi işlə/professional kimlik ilə qarışdırmağı dayandırmaqdır. Ya aqressiv cookie izolyasiyası ilə ayrı brauzer profilləri istifadə edin, ya da daha yaxşısı — həssas araşdırma, banking, jurnalistika üçün ikinci fiziki cihaz (Linux Mint işləyən köhnə laptop 100-200 dollar əl-iş). Qubes OS bunu OS səviyyəsində Xen VM-ləri ilə edir, amma hətta "iki laptop" belə sizə 90% nəticəni verir.

Tez-tez Verilən Suallar

Əlaqəli Məqalələr

Məxfilik Siyahısı

VPN Nədir?

Şifrəli E-poçt

Şifrəli Yaddaş

Proton Pass vs Bitwarden (2026): Dürüst Müqayisə — Təhlükəsizlik, Funksiyalar, Qiymət