Přejít k hlavnímu obsahu

Nejprivátnější desktopový OS (2026): Windows 11 vs macOS vs Ubuntu vs Fedora vs Mint vs Qubes vs Tails

Upřímné srovnání soukromí sedmi desktopových operačních systémů: Windows 11, macOS Sequoia, Ubuntu, Fedora, Linux Mint, Qubes OS a Tails. Výchozí telemetrie, požadavky na účty, šifrování a který vybrat podle modelu hrozeb — žádné povídání.

Naposledy aktualizováno: 22. dubna 2026

Stručně řečeno

  • Pro většinu uživatelů je žebříček soukromí: **Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11**.
  • **Windows 11** má nejagresivnější výchozí nastavení: povinný účet Microsoft, nevyhnutelná telemetrie, Copilot+Recall pořizuje snímky obrazovky na kompatibilním hardware. Lze zpřísnit, ale bojujete s výchozím nastavením.
  • **macOS Sequoia** je nejprivátnější komerční OS: silná bezpečnost zařízení, šifrovaný iCloud je volitelný (Advanced Data Protection), ale je to uzavřený kód, takže nemůžete ověřit, co skutečně dělá.
  • **Desktopový Linux** (Ubuntu, Fedora, Mint) je otevřený zdrojový kód, žádný vynucený účet, žádná telemetrie po malých výjimkách. Mint má nejvíce soukromé výchozí nastavení ze tří.
  • **Qubes OS** vyhrává pro uživatele s vysokými hrozbami, kteří chtějí bezpečnost prostřednictvím kompartmentalizace. **Tails** je volba pro dočasné, amnestické, přes Tor směrované relace — ne pro každodenní použití.

Krátká odpověď

Pokud je soukromí nejvyšší prioritou a jste ochotni změnit návyky:

  • Extrémní model hrozeb (novinář chránící zdroje, aktivista v nepřátelském státě, bezpečnostní výzkumník): Qubes OS pro denní použití + Tails na samostatném USB pro jednorázové vysoce rizikové relace.
  • Zaměřený na soukromí, ale praktický (chcete normálně vypadající počítač, který netelefonuje domů): Linux Mint — Ubuntu-kompatibilní ekosystém softwaru, dodatky Canonical odstraněny, konzervativní výchozí nastavení.
  • Nejlepší komerční OS pro soukromí: macOS Sequoia s povoleným Advanced Data Protection. Platí výhrada uzavřeného zdrojového kódu, ale výchozí nastavení jsou lepší než Windows a bezpečnost zařízení je vynikající.
  • Musíte používat Windows pro práci: Windows 11 Pro (ne Home) s Group Policy, BitLocker, Firefox a seriózním zpřísňováním. Je možné provozovat rozumně soukromé Windows 11 — jen strávíte víkend konfigurací a při každé velké aktualizaci se to vrací.

Vše níže je detail za tímto žebříčkem — co každý OS dělá ve výchozím nastavení, co můžete změnit a co nemůžete.

Windows 11 — anti-soukromá základna

Windows 11 jsou nejhorší z mainstream možností, ne proto, že by byly škodlivé, ale protože obchodní model Microsoft zachází s OS jako s datovým produktem. Specifika:

Požadavek na účet. Windows 11 Home vyžaduje účet Microsoft během nastavení. Obcházení místního účtu (příkaz OOBE\BYPASSNRO, trik no@thankyou.com) se stále opravuje v kumulativních aktualizacích. Windows 11 Pro stále umožňuje místní účty během nastavení, pokud vyberete cestu "připojení k doméně".

Telemetrie. Dvě úrovně: "Požadovaná diagnostická data" (vždy zapnutá, nelze vypnout přes UI Nastavení — Group Policy umožňuje omezení, ale některé signály stále proudí) a "Volitelná diagnostická data" (plná telemetrie na úrovni prohlížení, kterou můžete vypnout, ale je ve výchozím stavu ZAPNUTÁ). Microsoft publikuje datový slovník, což je více, než dělá většina výrobců OS, ale základna je "Microsoft ví, co děláte".

Copilot + Recall. Recall (na Copilot+ PC s NPU) pořizuje snímky obrazovky každých několik sekund, OCR je a vytváří prohledávatelný místní index. Po bezpečnostním odporu z června 2024 Microsoft udělal z toho opt-in, zašifroval databázi a vyžaduje Windows Hello autorizaci pro dotazy. Základní schopnost zůstává zabudovaná do OS. Každá velká aktualizace znovu otevírá otázku "je Recall skutečně stále opt-in?" Copilot sám posílá dotazy do Azure OpenAI, pokud explicitně funkci nevypnete.

Výchozí nastavení OneDrive. Čerstvé instalace tiše přesměrují vaše Dokumenty, Obrázky a Plochu do %OneDrive%\ a začnou synchronizovat. Miliony uživatelů má své osobní soubory v cloudu Microsoft, aniž by vědomě rozhodli je nahrát.

Edge + Bing. Výchozí prohlížeč posílá dotazy do Bing. Edge má užitečné funkce soukromí (blokování sledovacích prvků, InPrivate), ale jeho výchozí chování zahrnuje posílání URL do Microsoft Defender SmartScreen.

Co můžete dělat. Windows 11 jsou nejzpřísňovatelnější OS, protože je tolik k vypnutí:

  • Instalovat s místním účtem (Pro nebo registrový hack na Home)
  • Spustit O&O ShutUp10++ — kurátorovaný seznam 100+ přepínačů soukromí s "doporučenými" výchozími nastaveními. Aplikuje Group Policy + registrové změny, které přežijí aktualizace.
  • Zakázat nastavení OneDrive během instalace, úplně odstranit, pokud se nepoužívá
  • Nahradit Edge za Firefox nebo Brave; změnit výchozí vyhledávání na DuckDuckGo, Kagi nebo Startpage
  • Odinstalovat Cortana, Teams Consumer a Xbox aplikace, pokud se nepoužívají
  • BitLocker (jen Pro) nebo VeraCrypt (Home) pro FDE
  • Group Policy: Computer Configuration → Administrative Templates → Windows Components → Data Collection

Po tomto průchodu lze Windows 11 udělat zhruba tak soukromé jako nemodifikované Ubuntu. Pokračující daň je znovu navštívit nastavení po každé Feature Update (20H2, 22H2, 23H2, 24H2 každá znovu zavedla některá chování).

macOS Sequoia 15 — nejlepší komerční OS pro soukromí

macOS Sequoia je dramaticky lepší než Windows 11 ve výchozím nastavení, ale "lepší než Microsoft" není totéž jako "soukromé".

Telemetrie Apple — Analytics, Device Analytics a iCloud Analytics — jsou ve výchozím stavu vypnuté při čerstvé instalaci v EU (GDPR), ve výchozím stavu zapnuté v USA (můžete je zakázat v Nastavení → Soukromí a bezpečnost → Analytics a vylepšení). Apple publikuje svou zásadu soukromí a činí konkrétní tvrzení o zpracování na zařízení, ale nemůžete nezávisle ověřit tato tvrzení, protože OS je uzavřený zdrojový kód.

Výchozí nastavení iCloud. Fotky, Kontakty, Kalendář a iCloud Drive se synchronizují ve výchozím stavu, pokud se přihlásíte s Apple ID. Zprávy v iCloud jsou vypnuté, pokud nepovolené. Advanced Data Protection (end-to-end šifrovaný iCloud pro většinu kategorií — Fotky, Poznámky, Drive, zálohy) je opt-in a vyžaduje iOS 16.2+ / macOS 13+ na všech vašich zařízeních. Apple to aktivně zlehčuje během nastavení, protože povolení znamená, že Apple nemůže obnovit vaše data, pokud ztratíte přístup.

Siri + Spotlight. Dotazy se posílají do Apple k vyřešení. Apple říká, že jsou anonymizované a nepřipojené k vašemu Apple ID. Můžete zakázat "Návrhy vyhledávání od Apple" v Safari, abyste zabránili psaní v URL baru dosáhnout serverů Apple.

Apple Intelligence (přidáno 2024). Většinou na zařízení pro menší modely, ale některé dotazy se posílají do infrastruktury "Private Cloud Compute" Apple. PCC používá atestovaný hardware a publikované binárky — skutečně nová architektura soukromí. Je to opt-in v EU, opt-in všude jinde také od macOS 15.

Gatekeeper + podepisování kódu. Každá aplikace, kterou spustíte, dostane kontrolu podpisu proti notářské službě Apple. Aplikace při prvním spuštění telefonují domů s hash Developer ID — Apple může (teoreticky) zaznamenat, co každý Mac spouští a kdy. To je bezpečnostní funkce (zachytává známě škodlivé aplikace) s náklady na soukromí. sudo spctl --master-disable vypíná vynucování podpisů, ale nedoporučuje se.

Silné stránky.

  • Apple Silicon + Secure Enclave = silná bezpečnost zařízení, biometrické odemykání vázané na hardware
  • Aplikace App Store mají štítky soukromí (sami-atestované vývojářem, ale stále ukazují informace)
  • Model oprávnění je přísný — aplikace musí žádat před čtením kontaktů, kalendáře, kamery, mikrofonu, polohy
  • FileVault (FDE) je triviální povolit a používá Secure Enclave
  • Žádný povinný antivirus telefonující domů

Slabé stránky.

  • Uzavřený zdrojový kód — tvrzení o soukromí jsou slovo Apple
  • iCloud opt-outy jsou rozptýlené napříč panely Nastavení
  • Nastavení Advanced Data Protection je friction-heavy (Apple aktivně ztěžuje povolení)
  • Hardware lock-in — pokud se staráte o soukromí natolik, abyste to ověřili, pravděpodobně chcete být na Linux, který můžete auditovat

Praktické nastavení. Čerstvá instalace → odmítnout volitelné analytiky → povolit FileVault → povolit Advanced Data Protection, pokud všechna vaše zařízení podporují → nainstalovat Firefox → nepřihlašovat se do iCloud, dokud nerozhodnete přesně které kategorie synchronizovat.

Ubuntu 24.04 LTS — populární Linux

Ubuntu je nejrozšířenější Linux distribuce na desktopech a rozumná základna soukromí. Canonical má smíšenou historii v tomto tématu.

Amazon lens z 2013. Po krátkou dobu Unity Ubuntu Dash search posílalo dotazy do Amazon pro nakupovací "čočky" výsledků. To spustilo několikaletou krizi důvěry v komunitě. Funkce byla odstraněna v 16.04 a Canonical to nezopakoval. Stojí za to vědět, protože to ovlivňuje, jak se dlouhodobí uživatelé Linux cítí ohledně Ubuntu.

Současná telemetrie.

  • Ubuntu Report — jednorázové, anonymní shrnutí hardware/software poslané během instalace. Opt-in; vidíte výzvu před spuštěním.
  • Apport — hlášení pádů. Ve výchozím stavu vypnuté na vydáních; přihlašujete se per pád.
  • Livepatch — hot-patche kernelu. Opt-in; vyžaduje předplatné Ubuntu Advantage.
  • PopCon — soutěž popularity balíčků. Ve výchozím stavu vypnutá.
  • Snap telemetrie — Canonical snap store sbírá počty instalace/aktualizací. Méně invazivní než telemetrie prohlížeče, ale stále volání do Canonical pro každou snap instalaci.

ubuntu-advantage-tools obtěžující obrazovky. Nedávné verze Ubuntu přidaly "motd" výzvy při SSH nebo otevření terminálu, reklamující Ubuntu Pro. Obtěžující, ale ne problém soukromí (žádná odchozí data). Odstraněno nebo ztišeno v 24.04 nastavením ENABLED=0 v /etc/default/ubuntu-advantage-tools.

Snap vs apt. Ubuntu 22.04+ dodává Firefox jako snap balíček. Snap store mluví se servery Canonical; tradiční apt balíčky mluví s kterýmkoli zrcadlem, které nakonfigurujete. Pokud vás "vše přes Canonical" směrování obtěžuje, buď přepněte na ppa:mozillateam/ppa Firefox apt balíček, nebo nainstalujte Firefox přímo z flatpak.

Silné stránky. Otevřený zdrojový kód, auditovatelný, masivní výběr balíčků, skvělá podpora hardware, Wayland ve výchozím stavu v 22.04+, GNOME 46 s rozumnými výchozími nastaveními soukromí.

Slabé stránky. Komerční zájmy Canonical někdy míří na uživatelská data; Snap telemetrie je nevyhnutelná, pokud používáte snapy; "Ubuntu Advantage" branding nags jsou viditelné.

Praktické nastavení. Čerstvá instalace → odmítnout Ubuntu Report → zakázat Apport → zakázat PopCon → nahradit Snap Firefox za apt Firefox nebo Flatpak → povolit LUKS FDE během instalace → Firefox s uBlock Origin.

Fedora 41 — upstream-first Linux

Fedora je komunitní distribuce Red Hat (IBM), používaná jako upstream pro RHEL. Co se týče soukromí, je podobná Ubuntu s několika rozdíly.

Žádný ekvivalent Canonical. Red Hat / IBM nereklamují předplatné "Advantage" desktopovým uživatelům; enterprise licencování žije na RHEL, ne Fedora. Žádné obtěžující obrazovky, žádné vynucené výzvy k upgradu.

Výchozí telemetrie. Minimální. Fedora Report (hardware census) se zavádí ve 42 — probíhající komunitní debata, aktuální stav je opt-in. ABRT (hlášení pádů) je opt-in; uvidíte notifikaci, když se pád stane a můžete rozhodnout, zda odeslat.

SELinux enforcing ve výchozím stavu. To je bezpečnostní funkce, ne soukromí per se — obsahuje exploity na úrovni procesů, takže kompromitovaná aplikace nemůže číst vše ve vašem systému. Ubuntu používá AppArmor pro stejný účel, ale v permisivnějším výchozím postoji. SELinux je přísnější.

Flatpak + dnf. Správci balíčků Fedora. Flathub flatpaky mluví s Flathub CDN (ne telemetrický signál, jen stažení); dnf mluví s Fedora zrcadly.

Wayland first. Každý desktop spin (GNOME, KDE, XFCE, atd.) dodává s Wayland jako výchozí relací, která má lepší izolaci mezi GUI aplikacemi než X11 (aplikace nemohou screenshot / keystroke-sniff navzájem).

Silné stránky. Žádné Canonical-style komerční vzorce, SELinux enforcing, rychlé upstream sledování (kernel/Mesa/GNOME jsou všechny novější než Ubuntu).

Slabé stránky. Bleeding-edge může znamenat "něco se zlomilo kvůli regresi ovladače"; 13-měsíční cyklus podpory per vydání vs 5 let Ubuntu LTS.

Praktické nastavení. Čerstvá instalace → odmítnout hlášení pádů (dostanete výzvu, když se první spustí) → povolit LUKS během instalace → Firefox je předinstalovaný a není flatpak na Fedora Workstation.

Linux Mint 22 — nejlepší soukromí-ve-výchozím-nastavení Linux

Linux Mint je dlouhodobý debloat Ubuntu. Berou upstream Ubuntu LTS, odstraňují dodatky Canonical, nahrazují desktop za Cinnamon (nebo Xfce / MATE) a dodávají to. Co dostanete:

Žádný Snap ve výchozím stavu. Mint explicitně odstraňuje snap a blokuje apt od instalace snap démona. Firefox je nainstalován jako regulární apt balíček z Mozilla PPA. Žádné obtěžující obrazovky.

Žádný Ubuntu Report, žádné ubuntu-advantage-tools. Mint zakáže nebo odinstaluje Canonical-komerční bity.

Žádná telemetrie. Mint sám netelefonuje domů. Hlášení pádů je vypnuté. Správce aktualizací mluví s Mint zrcadly pro aktualizace — standardní provoz správce balíčků — ale nehlásí použití.

LMDE fallback. Pokud chcete Canonical-free verzi Mint, LMDE (Linux Mint Debian Edition) používá Debian Stable jako základnu. Identická desktopová zkušenost, jiný upstream.

Cinnamon. GNOME fork, který prioritizuje tradiční Windows-like desktop. Méně "moderní" než GNOME, méně keyboard-driven než KDE, ale přístupný pro uživatele přecházející z Windows.

Silné stránky. Nejkonzervativnější výchozí nastavení soukromí jakékoli mainstream distro. Obrovská komunita. Stabilní. Dobrá podpora hardware přes Ubuntu základnu.

Slabé stránky. Pomalejší v přijímání nových technologií (Wayland je stále opt-in od Mint 22, výchozí na X11). Cinnamon má méně přispěvatelů než GNOME nebo KDE. Ubuntu upstream znamená, že dědíte Ubuntu bugy, jen ne jeho telemetrii.

Praktické nastavení. Čerstvá instalace → povolit LUKS během instalace → aktualizace → nainstalovat Firefox (už tam) + uBlock Origin → to je vše. Mint je distro, kde "nainstalovat a použít" vám dává rozumný postoj soukromí bez další práce.

Qubes OS 4.2 — kompartmentalizace jako model hrozeb

Qubes je ve své vlastní kategorii. Místo snahy udělat jeden OS více soukromý, Qubes předpokládá, že jakýkoli jeden systém bude kompromitován a izoluje blast radius pomocí virtualizace.

Jak to funguje. Qubes běží na holém kovu přes Xen hypervisor. Každé "VM" (nazývané qube v jejich terminologii) spouští jednorázový Linux userspace — typicky Fedora nebo Debian šablony. Když kliknete na emailovou přílohu, otevře se v DisposableVM, které se zničí po zavření. Vaše bankovnictví se děje ve vlastním AppVM se síťovým přístupem jen k vaší bance. Prohlížení náhodných odkazů se děje v Whonix-Workstation qube, který směruje přes Tor.

UX náklady. Copy-paste mezi qubes vyžaduje explicitní klávesovou zkratku (Ctrl+Shift+V), která potvrdí přenos. Soubory přesunuté mezi qubes jdou přes vyhrazený FileCopy dialog. Ztratíte předpoklad "vše prostě funguje na stejném desktopu" normálního OS — ale získáte skutečné bezpečnostní hranice.

Bezpečnostní vlastnosti.

  • Browser exploit v work qube nemůže dosáhnout souborů v personal qube.
  • Kompromitovaný PDF reader nemůže exfiltrovat vaši krypto peněženku.
  • USB palec zasunový je připojen ve vyhrazeném sys-usb qube — pokud je naložený malwarem, zasáhne jednorázové VM, ne dom0 (důvěryhodnou kontrolní doménu).
  • dom0 nemá vůbec internetový přístup; doslova nemůžete spustit prohlížeč na dom0.

Požadavky na hardware. 16 GB RAM minimum (Qubes doporučuje 16 GB), 32 GB prakticky. Rychlý SSD (NVMe preferovaný). Intel CPU s VT-x + VT-d; konkrétní laptopy jsou na seznamu kompatibility hardware (novější Thinkpady, Framework, System76 Oryx Pro).

Tor integrace přes Whonix. Po vybalení Qubes dodává s Whonix šablonami — dvou-VM nastavení, kde jedno VM dělá Tor směrování a druhé spouští váš prohlížeč, bez způsobu, jak prohlížeč zjistí skutečnou IP i když plně exploitován. Nejlepší Tor architektura kromě Tails.

Silné stránky. Gold-standard bezpečnostní model pro vysoké-hrozby uživatele. Otevřený zdrojový kód. Snowden a vysokohodnotní novináři jej používají veřejně.

Slabé stránky. Strmá křivka učení (2-4 týdny na pohodlí). Těžké požadavky na hardware. Omezená podpora hardware — konkrétní seznamy laptopů spíše než "většina moderního hardware". Žádný komerční software; jste jen na Linux aplikacích.

Praktické nastavení. Qubes vlastní průvodce instalací je vynikající. Naplánujte víkend pro první instalaci a učení qube modelu. Spárujte s kompatibilním laptopem (zkontrolujte jejich HCL seznam — nekupujte náhodný hardware).

Tails 6.x — amnestické relace na USB

Tails (The Amnesic Incognito Live System) je Debian-based live OS, který bootuje z USB a zapomíná vše při vypnutí. Každé odchozí připojení je nuceno přes Tor — pokud bug v aplikaci zkusí udělat přímé připojení, selže spíše než leak.

Jak to používáte. Bootujete cílový stroj z Tails USB. Používáte to. Restartujete. Pevný disk stroje se nikdy nedotkne (pokud explicitně neopt in). Žádná stopa relace nezůstává nikde kromě lidské paměti.

Trvalé úložiště. Opt-in, na stejném USB, šifrované s LUKS. Umožňuje vám udržet konkrétní složku, nastavení Tor mostu a krátký seznam aplikací napříč restarty. Vše ostatní zůstává amnestické.

Tor směrování. Veškerý provoz. Žádný "split tunnel", žádná "domain-based exemption". Aplikace, které nemohou použít Tor jednoduše se nemohou připojit. To je přísné a občas otravné (některé video konference se zlomí, většina bankovních stránek blokuje Tor výstupy), ale je to bezpečnostní vlastnost.

Silné stránky. Amnestické záměrně — ztracený USB nevyteče vaši relaci. Tor ve výchozím stavu — žádný způsob, jak náhodně vytéct vaši skutečnou IP. Malá útočná plocha — minimální software stack. Dobře udržované neziskovou organizací.

Slabé stránky. Není každodenním řidičem. Bootování z USB je pomalejší. Výběr softwaru je záměrně omezen. Tor latence láme mnoho komerčních služeb. Žádný trvalý systémový stav napříč restarty, pokud neopt in.

Nejlepší pro.

  • Překračování hranic (restart do normálního OS před clem)
  • Setkání novinářských zdrojů
  • Výzkum citlivého tématu, který by se neměl propojeovat s vaší denní identitou
  • Jakákoli relace, kde "co děláte nyní nesmí být linkováno k tomu, kdo jste zbytek času"

Praktické nastavení. Stáhněte Tails z tails.net, ověřte podpis (kritické), flash na USB ≥ 8 GB, bootujte cílový stroj z toho (může vyžadovat BIOS/UEFI tweak). Nastavte admin heslo, pokud potřebujete spustit sudo příkazy během relace.

Srovnávací tabulka

OS Telemetrie (výchozí) Účet požadován Otevřený zdrojový kód FDE výchozí Cloudové výchozí Skóre soukromí
Windows 11 Home Vždy zapnutá + jen opt-out Ano (Microsoft) Ne Někdy (auto Device Encryption) OneDrive zapnutý ★☆☆☆☆
Windows 11 Pro Redukovatelná přes Group Policy Ne (možnost připojení domény) Ne Ano (BitLocker) OneDrive zapnutý ★★☆☆☆
macOS Sequoia Opt-out v EU, zapnuté ve výchozím stavu USA Doporučené (Apple ID) Ne Ne (uživatel musí povolit FileVault) iCloud zapnutý pro Fotky ★★★☆☆
Ubuntu 24.04 Jen opt-in při instalaci Ne Ano Volitelné při instalaci Žádné (snap telemetrie) ★★★★☆
Fedora 41 Opt-in hlášení pádů Ne Ano Volitelné při instalaci Žádné ★★★★☆
Linux Mint 22 Žádné Ne Ano Volitelné při instalaci Žádné ★★★★★
Qubes OS 4.2 Žádné Ne Ano Ano (povinný LUKS) Žádné ★★★★★
Tails 6.x Žádné Ne Ano Trvalý vol volitelný Žádné (Tor směrované) ★★★★★

(Hvězdy jsou hrubá směs "telemetrické břemeno + uzavřený zdrojový kód penalta + FDE výchozí + cloud-lock-in". Není to jediné, co záleží — zpřísněné Windows 11 Pro může být více soukromé než nedbale Ubuntu instalace.)

Naše doporučení podle případu použití

1. Spotřebitel vědomý soukromí, který také potřebuje mainstream software (Adobe, hraní, Office, Zoom, atd.). Windows 11 Pro s BitLocker + O&O ShutUp10++ + Firefox + místní účet. Nebo dual-boot Windows pro aplikace, které to vyžadují a Linux Mint pro vše ostatní.

2. Znalostní pracovník, vývojář, student, spisovatel. Linux Mint s LUKS + Firefox + uBlock Origin. Devadesát procent Windows/macOS pracovních toků se čistě mapuje na Mint. LibreOffice pro většinu dokumentů, OnlyOffice, pokud potřebujete lepší Microsoft Office kompatibilitu.

3. Tvůrce obsahu / designér, který používá Adobe Creative Cloud. macOS Sequoia s FileVault + Advanced Data Protection + Firefox. Adobe podpora je reálná na macOS; je neobratná na Linux (Wine/Bottles funguje pro některé aplikace, ne všechny). Apple Silicon výkon na video práci je skutečně nejlepší ze tří komerčních možností.

4. Novinář / aktivista / výzkumník manipulující citlivý materiál. Qubes OS na kompatibilním hardware pro denní práci + Tails na USB pro jednorázové vysoce rizikové relace. Použijte samostatná fyzická zařízení pro "veřejnou identitu" vs "citlivou práci identitu", pokud možné.

5. Příležitostná vysoce riziková relace (překračování hranic, setkání zdroje, výzkum tématu). Tails na USB, bootovaný na čistém stroji, po tom vypnutý. Nepoužívejte znovu USB napříč různými rizikovými scénáři bez vymazání trvalého svazku.

6. Prarodič učící se používat počítač. ChromeOS na Chromebook pro jednoduchost, NEBO Linux Mint Cinnamon, pokud je jakýkoli rodinný člen, který může udělat počáteční nastavení. Vyhněte se Windows 11 Home — jen nastavení účtu Microsoft je matoucí a úklidová práce nestojí za to pro lehkého uživatele.

Co skutečně provozujeme

Úplné zveřejnění: tým ipdrop.io provozuje mix — macOS pro obsah/design/denní práci, Linux Mint na samostatném stroji pro vývoj/citlivou práci a Tails USB v zásuvce, který se používá možná 3-4krát ročně. Qubes respektujeme, ale nepoužíváme denně — tření je reálné a náš model hrozeb to nevyžaduje.

Ať vyberete cokoli, nejdůležitější krok soukromí není OS — je to povolení šifrování celého disku, používání správce hesel a nemíchání citlivých identit do vašeho každodenního prohlížeče. Volba OS je rámec; návyky jsou obraz.

Související

Jak zpřísnit jakýkoli desktopový OS pro soukromí

Platforma-agnostický checklist, který pokrývá 80/20 výhry soukromí bez ohledu na to, který OS používáte. Většina z toho trvá méně než hodinu.

  1. Povolte šifrování celého disku:BitLocker (Windows 11 Pro — ne Home), FileVault (macOS Nastavení systému → Soukromí a bezpečnost → FileVault), nebo LUKS během instalace Linux. Bez FDE je ztracený laptop narušením soukromí. Použijte heslovou frázi 18+ náhodných znaků (ne heslo, které si pamatujete — uložte heslovou frázi do správce hesel a obnovovací klíč vytištěný v fyzickém trezoru).
  2. Vypněte telemetrii, kterou nepotřebujete:Windows 11 → Nastavení → Soukromí a bezpečnost → vypněte každý přepínač, který aktivně nepotřebujete; spusťte O&O ShutUp10++ pro hlubší Group Policy úpravy. macOS → Nastavení → Soukromí a bezpečnost → Analytika a vylepšení → zakažte veškeré sdílení. Ubuntu/Fedora → odhlaste se během instalátoru (zaškrtávací políčka "Pomozte zlepšit...") a zakažte hlášení pádů. Linux Mint → nic k zakázání, ale znovu ověřte po velkých aktualizacích.
  3. Přepněte výchozí prohlížeč na Firefox nebo Brave, ne Chrome/Edge/Safari:Chrome posílá každou URL do Google pro Safe Browsing ve výchozím nastavení (opt-out existuje). Edge posílá do Microsoft. Safari je méně špatný, ale stále Apple-centrický. Firefox se strict režimem a ad-blockerem (uBlock Origin) je nejlepší rovnováha soukromí a kompatibility. Brave má tvrdší výchozí nastavení, ale úhel reklamní-síť-odměny některé znepokojuje. Nainstalujte prohlížeč NEJDŘÍVE na novém OS, než se přihlásíte kamkoli.
  4. Používejte správce hesel s end-to-end šifrováním:Proton Pass nebo Bitwarden — oba otevřený zdrojový kód, oba E2E-šifrované. Povolte 2FA na samotném správci hesel. Nikdy neopakujte hesla. Viz naše srovnání Proton Pass vs Bitwarden pro výběr.
  5. Přidejte VPN pro nedůvěryhodné sítě (a zvažte always-on):Váš ISP / kavárna / letiště / firemní síť může vidět každou doménu, ke které se připojujete. VPN (Proton VPN nebo Mullvad, ne bezplatné) šifruje provoz na VPN server a nahrazuje vašeho ISP důvěryhodným prostředníkem. Speciálně pro soukromí — ne jen geo-odblokování — zvažte ponechání zapnutého i doma.
  6. Nastavte šifrované cloudové zálohování nebo přestaňte cloud-synchronizovat citlivé složky:Pokud jste na Windows 11 OneDrive je ve výchozím stavu zapnutý a skenuje každý soubor, který vhodíte do složky Dokumenty. macOS dělá podobné s iCloud Drive, pokud se neodhlásíte. Možnosti, seřazené podle soukromí — (a) pouze místní zálohování na šifrovaný externí disk, (b) Proton Drive s jeho zero-access šifrováním, (c) Bitwarden Send nebo Magic Wormhole pro příležitostné šifrované přenosy. Zakažte výchozí cloud-sync pro jakoukoli složku držící finanční, lékařské nebo doklady totožnosti.
  7. Auditujte rozšíření prohlížeče a nainstalované aplikace čtvrtletně:Rozšíření jsou klasická cesta exfiltrace — stejné oprávnění, které umožňuje ad-blockeru číst každou stránku, také umožňuje kompromitovanému rozšíření totéž. Každých 90 dní zkontrolujte tři věci — nainstalovaná rozšíření prohlížeče (odeberte cokoliv, co jste nepoužili za 30 dní), nainstalované aplikace (odinstalujte cokoliv, co nepoznáváte), a váš seznam "Přihlásit se pomocí Google / Facebook / Apple" připojených aplikací (zrušte zastaralé).
  8. Udělejte lokalizační služby opt-in per aplikaci:Na každém OS jděte do Nastavení → Soukromí → Lokalizační služby a nastavte výchozí na "Odmítnout" pro aplikace, pokud to aktivně nepotřebujete (např. Mapy, Počasí). Prohlížeč by neměl potřebovat polohu, pokud jste neklikli na výzvu "povolit" na konkrétní stránce. macOS a Linux to dělají dobře; Windows 11 vyžaduje více záměrného přepínání, protože mnoho zabudovaných aplikací výchozí "Povolit".
  9. Pro maximální soukromí oddělte identity na samostatné stroje:Nejlepší krok hyginy soukromí je přestat míchat osobní identitu s pracovní/profesionální identitou na stejném zařízení a profilu prohlížeče. Buď používejte samostatné profily prohlížeče s agresivní izolací cookies, nebo lépe — druhé fyzické zařízení (starý laptop se spuštěným Linux Mint je $100-200 použitý) pro citlivý výzkum, bankovnictví, žurnalistiku. Qubes OS to dělá na úrovni OS s Xen VM, ale i "dva laptopy" vám dá 90% tam.

Často kladené otázky

Související články

Kontrolní seznam soukromí

Co je VPN?

Šifrovaný email

Šifrované úložiště

Proton Pass vs Bitwarden (2026): Poctivé srovnání — bezpečnost, funkce, cena