Pereiti prie pagrindinio turinio

Privačiausia darbalaukio OS 2026 — Windows, macOS, Linux

Privatumas palygintas: Windows 11, macOS, Ubuntu, Fedora, Mint, Qubes, Tails — telemetrija, šifravimas, kurią rinktis.

Paskutinį kartą atnaujinta: 2026 m. birželio 11 d.

Trumpai

  • Daugumai naudotojų privatumo reitingas yra toks: Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11.
  • Windows 11 turi agresyviausius numatytuosius nustatymus: privaloma Microsoft paskyra, neišvengiama telemetrija, Copilot+Recall fotografuoja jūsų ekraną tinkamame aparatiniame aprūpinime. Galima sustiprinti, bet kovoja su numatytaisiais nustatymais.
  • macOS Tahoe yra privačiausia komercinė OS: stipri įrenginio sauga, šifruotas iCloud yra pasirinktinis (Advanced Data Protection), bet ji yra uždaro kodo, todėl negalite patikrinti, ką iš tikrųjų daro.
  • Darbalaukio Linux (Ubuntu, Fedora, Mint) yra atviro kodo, nėra priverstinos paskyros, nereikia rūpintis telemetrija po nedidelių atsisakymų. Mint turi privačiausius numatytuosius nustatymus iš šių trijų.
  • Qubes OS laimi aukštos grėsmės naudotojams, kurie nori saugumo per skaidymą. Tails yra pasirinkimas laikiniems, amneziniams, per Tor nukreiptiems seansams — ne kasdieniniam naudojimui.

Trumpas atsakymas

Jei privatumas yra pagrindinis prioritetas ir esate pasiruošę keisti įpročius:

  • Ekstremalus grėsmės modelis (žurnalistas, ginantis šaltinius, aktyvistas priešiškoje valstybėje, saugumo tyrėjas): Qubes OS kasdieniniam naudojimui + Tails atskirame USB vienkartiams aukštos rizikos seansams.
  • Orientuotas į privatumą, bet praktiškas (norite normaliai atrodančio kompiuterio, kuris nesiunčia duomenų namo): Linux Mint — Ubuntu-suderinamos programinės įrangos ekosistema, Canonical papildymai pašalinti, konservatyvūs numatytieji nustatymai.
  • Geriausia komercinė OS privatumui: macOS Tahoe su įgalintu Advanced Data Protection. Uždaro kodo išlyga galioja, bet numatytieji nustatymai geresni nei Windows ir įrenginio sauga puiki.
  • Turite naudoti Windows darbui: Windows 11 Pro (ne Home) su Group Policy, BitLocker, Firefox ir rimtu sustiprinimo procesu. Galima paleisti pakankamai privatų Windows 11 — tiesiog praleidi savaitgalį jį konfigūruodamas, ir jis nukrypsta atgal kiekvieno pagrindiniai atnaujinimo metu.

Viskas žemiau yra šio reitingo detalė — ką kiekviena OS daro pagal numatytuosius nustatymus, ką galite pakeisti ir ko negalite.

Windows 11 — privatumo priešingybės bazė

Windows 11 yra blogiausia iš populiarių variantų, ne todėl, kad ji kenksminga, bet todėl, kad Microsoft verslo modelis traktuoja OS kaip duomenų produktą. Specifika:

Paskyros reikalavimas. Windows 11 Home reikalauja Microsoft paskyros diegimo metu. Vietinės paskyros apėjimai (OOBE\BYPASSNRO komanda, no@thankyou.com triukas) toliau pataisomi kaupiamųjų atnaujinimų metu. Windows 11 Pro vis dar leidžia vietines paskyras diegimo metu, jei pasirinksite "domain join" kelią.

Telemetrija. Du lygiai: "Reikalingi diagnostikos duomenys" (visada įjungti, negali būti išjungti per Settings UI — Group Policy leidžia juos apriboti, bet kai kurie signalai vis tiek teka) ir "Pasirinktini diagnostikos duomenys" (pilna naršymo lygio telemetrija, kurią galite išjungti, bet yra ĮJUNGTA pagal numatytuosius nustatymus). Microsoft publikuoja duomenų žodyną, ko dauguma OS gamintojų nedaro, bet bazė yra "Microsoft žino, ką darote".

Copilot + Recall. Recall (Copilot+ PC su NPU) fotografuoja jūsų ekraną kas kelias sekundes, OCR juos ir kuria ieškomą vietinį indeksą. Po 2024 metų birželio saugumo pasipiktinimo, Microsoft padarė jį pasirenkami, šifruoja duomenų bazę ir reikalauja Windows Hello autentifikacijos, kad galėtumėte jį užklausti. Pagrindinė galimybė lieka įdiegta į OS. Kiekvienas pagrindinis atnaujinimas iš naujo atveria klausimą "ar Recall iš tikrųjų vis dar pasirenkamas?" Pats Copilot siunčia užklausas į Azure OpenAI, nebent aiškiai išjungsite funkciją.

OneDrive numatytieji nustatymai. Šviežūs diegimai tyliai peradresuoja jūsų Documents, Pictures ir Desktop į %OneDrive%\ ir pradeda sinchronizuoti. Milijonai naudotojų turi savo asmeninius failus Microsoft debesyje nepriimdami sąmoningo sprendimo juos įkelti.

Edge + Bing. Numatytoji naršyklė siunčia užklausas į Bing. Edge turi naudingų privatumo funkcijų (sekiklių blokavimas, InPrivate), bet jos numatytasis elgesys apima URL siuntimą į Microsoft Defender SmartScreen.

Ką galite daryti. Windows 11 yra labiausiai sustiprinamai OS, nes yra tiek daug ką išjungti:

  • Diegti su vietine paskyra (Pro arba registro pakeitimas Home)
  • Paleisti O&O ShutUp10++ — kuratoriškas 100+ privatumo perjungiklių sąrašas su "rekomenduojamais" numatytaisiais nustatymais. Taiko Group Policy + registro pakeitimus, kurie išlieka po atnaujinimų.
  • Išjungti OneDrive nustatymą diegimo metu, pašalinti visiškai, jei nenaudojama
  • Pakeisti Edge į Firefox arba Brave; pakeisti numatytąją paiešką į DuckDuckGo, Kagi arba Startpage
  • Pašalinti Cortana, Teams Consumer ir Xbox programas, jei nenaudojamos
  • BitLocker (tik Pro) arba VeraCrypt (Home) FDE
  • Group Policy: Computer Configuration → Administrative Templates → Windows Components → Data Collection

Po šio proceso Windows 11 galima padaryti maždaug tokį pat privatų kaip nemodifikuotas Ubuntu. Nuolatinis mokestis yra iš naujo peržiūrėti savo nustatymus po kiekvieno Feature Update (20H2, 22H2, 23H2, 24H2 kiekvienas iš naujo pristatė kai kuriuos elgesys).

macOS Tahoe 26 — geriausia komercinė OS privatumui

macOS Tahoe yra dramatiškai geresnė nei Windows 11 pagal numatytuosius nustatymus, bet "geresnė nei Microsoft" nėra tas pats kaip "privatus".

Apple telemetrija — Analytics, Device Analytics ir iCloud Analytics — yra išjungti pagal numatytuosius nustatymus šviežiame diegime ES (GDPR), įjungti pagal numatytuosius nustatymus JAV (galite juos išjungti Settings → Privacy & Security → Analytics & Improvements). Apple publikuoja savo privatumo politiką ir daro konkrečius teiginius apie įrenginio apdorojimą, bet negalite nepriklausomai patikrinti šių teiginių, nes OS yra uždaro kodo.

iCloud numatytieji nustatymai. Photos, Contacts, Calendar ir iCloud Drive sinchronizuoja pagal numatytuosius nustatymus, jei prisijungiate su Apple ID. Messages in iCloud yra išjungti, nebent įgalinti. Advanced Data Protection (ištisinis iCloud šifravimas daugumai kategorijų — Photos, Notes, Drive, atsarginės kopijos) yra pasirenkamas ir reikalauja iOS 16.2+ / macOS 13+ visuose jūsų įrenginiuose. Apple aktyviai mažina jo svarbą diegimo metu, nes jo įgalinimas reiškia, kad Apple negali atkurti jūsų duomenų, jei prarandate prieigą.

Siri + Spotlight. Užklausos siunčiamos į Apple sprendimui. Apple sako, kad jos anonimiškos ir nesusijusios su jūsų Apple ID. Galite išjungti "Search Suggestions from Apple" Safari, kad sustabdytumėte URL juostos rašymą nuo pasiekimo Apple serverių.

Apple Intelligence (pridėta 2024). Daugiausia įrenginyje mažesniems modeliams, bet kai kurios užklausos siunčiamos į Apple "Private Cloud Compute" infrastruktūrą. PCC naudoja patvirtintą aparatinį aprūpinimą ir publikuotas dvejetainas — tikrai naują privatumo architektūrą. Nuo 2025 m. pradžios palaikomoje įrangoje sąrankos metu jis įjungtas pagal numatytuosius nustatymus (įskaitant ES nuo 2025 m. balandžio) — jei nenorite, išjunkite per Nustatymai → Apple Intelligence.

Gatekeeper + kodo pasirašymas. Kiekviena programa, kurią paleidžiate, gauna parašo patikrinimą per Apple notary paslaugą. Pirmą kartą paleidžiamos programos skambina namo su Developer ID hash — Apple gali (teoriškai) registruoti, ką kiekvienas Mac paleidžia ir kada. Tai yra saugumo funkcija (gaudo žinomas kenkėjiškas programas) su privatumo kaštais. sudo spctl --master-disable išjungia parašo vykdymą, bet nėra rekomenduojamas.

Privalumai.

  • Apple Silicon + Secure Enclave = stipri įrenginio sauga, biometrinis atrakinimas susietas su aparatiniu aprūpinimu
  • App Store programos turi privatumo etiketes (kūrėjų savaime patvirtintas, bet vis tiek atskleidžia informaciją)
  • Leidimų modelis yra griežtas — programos turi klausti prieš skaitydamos kontaktus, kalendorių, kamerą, mikrofoną, vietą
  • FileVault (FDE) yra triviali įgalinti ir naudoja Secure Enclave
  • Nėra privalomo antiviruso skambinimo namo

Trūkumai.

  • Uždaro kodo — privatumo teiginiai yra Apple žodis
  • iCloud atsisakymai išmėtyti per Settings skydelius
  • Advanced Data Protection nustatymas yra triukšmingas (Apple aktyviai apsunkina jo įgalinimą)
  • Aparatinio aprūpinimo užrakinimas — jei rūpinatės privatumu tiek, kad norėtumėte jį patikrinti, tikriausiai norėsite būti Linux, kurį galite audituoti

Praktinis nustatymas. Šviežias diegimas → atsisakyti pasirinktinos analitikos → įgalinti FileVault → įgalinti Advanced Data Protection, jei visi jūsų įrenginiai jį palaiko → įdiegti Firefox → neprisijungti prie iCloud, kol neapsisprendėte, kokias kategorijas sinchronizuoti.

Ubuntu 26.04 LTS — populiarus Linux

Ubuntu yra labiausiai dislokuota Linux distribucija darbalaukiuose ir pagrįstas privatumo bazė. Canonical turi mišrią istoriją šiuo klausimu.

2013 metų Amazon lens. Trumpai, Ubuntu Unity Dash paieška siuntė užklausas į Amazon prekybos rezultatų "lenses". Tai sukėlė metų trukmės pasitikėjimo krizę bendruomenėje. Funkcija buvo pašalinta 16.04 ir Canonical jos nepakartojo. Verta žinoti, nes tai formuoja, kaip ilgalaikiai Linux naudotojai jaučiasi apie Ubuntu.

Dabartinė telemetrija.

  • Ubuntu Report — vienkartinė, anoniminė aparatinio/programinio aprūpinimo santrauka siųsta diegimo metu. Pasirenkama; matote raginimą prieš paleidžiant.
  • Apport — avarijų ataskaitos. Išjungta pagal numatytuosius nustatymus leidžimuose; pasirenkate kiekvienai avariji.
  • Livepatch — branduolio karšti pataisymai. Pasirenkama; reikalauja Ubuntu Advantage prenumeratos.
  • PopCon — paketų populiarumo konkursas. Išjungta pagal numatytuosius nustatymus.
  • Snap telemetrija — Canonical snap parduotuvė renka diegimo/atnaujinimo skaičius. Mažiau invazinė nei naršyklės telemetrija, bet vis tiek skambutis į Canonical kiekvienam snap diegimui.

ubuntu-advantage-tools klausinėjimo ekranai. Naujos Ubuntu versijos pridėjo "motd" raginimai, kai SSH arba atidarote terminalą, reklamuojantys Ubuntu Pro. Erzinantys, bet ne privatumo problema (nėra išeinančių duomenų). Pašalinti arba nutildyti 24.04, nustatant ENABLED=0 /etc/default/ubuntu-advantage-tools.

Snap vs apt. Ubuntu 22.04+ pristato Firefox kaip snap paketą. Snap parduotuvė kalba su Canonical serveriais; tradiciniai apt paketai kalba su bet kokiu jūsų sukonfigūruotu veidrodžiu. Jei "viskas per Canonical" maršrutizavimas jus erzina, arba pereikite prie ppa:mozillateam/ppa Firefox apt paketo, arba įdiekite Firefox tiesiai iš flatpak.

Privalumai. Atviro kodo, audituojamas, milžiniškas paketų pasirinkimas, puikus aparatinio aprūpinimo palaikymas, Wayland pagal numatytuosius nustatymus 22.04+, GNOME 46 su pagrįstais privatumo numatytaisiais nustatymais.

Trūkumai. Canonical komerciniai interesai kartais nukreipti į naudotojų duomenis; Snap telemetrijos neišvengiama, jei naudojate snap; "Ubuntu Advantage" prekės ženklo klausinėjimai matomi.

Praktinis nustatymas. Šviežas diegimas → atsisakyti Ubuntu Report → išjungti Apport → išjungti PopCon → pakeisti Snap Firefox su apt Firefox arba Flatpak → įgalinti LUKS FDE diegimo metu → Firefox su uBlock Origin.

Fedora 44 — upstream-first Linux

Fedora yra Red Hat (IBM) bendruomenės distribucija, naudojama kaip upstream RHEL. Privatumo atžvilgiu ji panaši į Ubuntu su keliais skirtumais.

Nėra Canonical ekvivalento. Red Hat / IBM nereklaminuoja "Advantage" prenumeratos darbalaukio naudotojams; įmonės licencijavimas gyvena RHEL, ne Fedora. Nėra klausinėjimo ekranų, nėra priverstinių atnaujinimo raginimų.

Numatytoji telemetrija. Minimali. Fedora Report (aparatinio aprūpinimo surašymas) įvedamas 42 — vykstantis bendruomenės debatai, dabartinis statusas yra pasirenkamas. ABRT (avarijų ataskaitos) yra pasirenkamas; pamatysite pranešimą, kai įvyksta avarija ir galėsite nuspręsti, ar pateikti.

SELinux vykdymas pagal numatytuosius nustatymus. Tai yra saugumo funkcija, ne privatumas per se — ji saugo proceso lygio eksploitus, kad kompromituota programa negalėtų perskaityti visko jūsų sistemoje. Ubuntu naudoja AppArmor tam pačiam tikslui, bet ne tokiai griežtai numatytai pozicijai. SELinux yra griežtesnės.

Flatpak + dnf. Fedora paketų tvarkyklės. Flathub flatpaks kalba su Flathub CDN (ne telemetrijos signalas, tiesiog atsisiuntimas); dnf kalba su Fedora veidrodžiais.

Wayland pirmasis. Kiekvienas darbalaukio spinas (GNOME, KDE, XFCE, kt.) pristato Wayland kaip numatytąją sesiją, kuri turi geresnę izoliaciją tarp GUI programų nei X11 (programos negali viena kitų screenshot / keystroke-šnipinėti).

Privalumai. Nėra Canonical tipo komercinių šablonų, SELinux vykdymas, greitas upstream sekimas (kernel/Mesa/GNOME visi naujesni nei Ubuntu).

Trūkumai. Kraujo kraštas gali reikšti "kažkas subyro dėl tvarkyklės regresijos"; 13 mėnesių palaikymo ciklas per leidimą vs Ubuntu LTS 5 metai.

Praktinis nustatymas. Šviežas diegimas → atsisakyti avarijų ataskaitų (gausite raginimą pirmą kartą, kai viena paleisis) → įgalinti LUKS diegimo metu → Firefox yra iš anksto įdiegtas ir nėra flatpak Fedora Workstation.

Linux Mint 22 — geriausias private-by-default Linux

Linux Mint yra Ubuntu ilgalaikis debloat. Jie paima upstream Ubuntu LTS, pašalina Canonical papildymus, pakeičia darbalaukį su Cinnamon (arba Xfce / MATE) ir pristato jį. Ką gaudate:

Nėra Snap pagal numatytuosius nustatymus. Mint aiškiai pašalina snap ir blokuoja apt nuo snap daemon diegimo. Firefox įdiegtas kaip paprastas apt paketas iš Mozilla PPA. Nėra klausinėjimo ekranų.

Nėra Ubuntu Report, nėra ubuntu-advantage-tools. Mint išjungia arba pašalina Canonical-komercinius dalykus.

Nėra telemetrijos. Pats Mint neskambina namo. Avarijų ataskaitos išjungtos. Atnaujinimų tvarkyklė kalba su Mint veidrodžiu atnaujinimams — standartinis paketų tvarkyklės srautas — bet nepraneša naudojimo.

LMDE atsarginis variantas. Jei norite Canonical-nemokamos Mint versijos, LMDE (Linux Mint Debian Edition) naudoja Debian Stable kaip bazę. Identiška darbalaukio patirtis, skirtingas upstream.

Cinnamon. GNOME fork, kuris prioritetizuoja tradicinį Windows tipo darbalaukį. Mažiau "modernus" nei GNOME, mažiau klaviatūros valdomu nei KDE, bet prieinamas naudotojams, keičiantiems iš Windows.

Privalumai. Konservatyviausieji privatumo numatytieji nustatymai bet kurios populiaraus distro. Milžiniška bendruomenė. Stabilus. Geras aparatinio aprūpinimo palaikymas per Ubuntu bazę.

Trūkumai. Lėtesnės naujų technologijų priėmimas (Wayland vis dar pasirenkamas nuo Mint 22, numatyta X11). Cinnamon turi mažiau prisidedančių nei GNOME arba KDE. Ubuntu upstream reiškia, kad paveldite Ubuntu klaidas, tiesiog ne jos telemetriją.

Praktinis nustatymas. Šviežas diegimas → įgalinti LUKS diegimo metu → atnaujinti → įdiegti Firefox (jau ten) + uBlock Origin → tai viskas. Mint yra distribucija, kur "įdiegti ir naudoti" duoda pagrįstą privatumo poziciją be tolesnio darbo.

Qubes OS 4.2 — skaidymas kaip grėsmės modelis

Qubes yra savo kategorijoje. Vietoj bandymo padaryti vieną OS privatesnę, Qubes daro prielaidą, kad bet kuri viena sistema bus kompromituota ir izoliuoja sprogimo radiusą naudodama virtualizaciją.

Kaip veikia. Qubes veikia ant bare metal per Xen hypervisor. Kiekviena "VM" (vadinama qube jų terminologija) paleidžia dispose Linux userspace — paprastai Fedora arba Debian šablonus. Kai paspaudžiate el. pašto priedą, jis atsidaro DisposableVM, kuris sunaikinamas po uždarymo. Jūsų bankininkystė vyksta savo AppVM su tinklo prieiga tik į jūsų banką. Naršymas atsitiktiniais nuorodoms vyksta Whonix-Workstation qube, kuris maršrutizuoja per Tor.

UX kaina. Kopijavimas-įklijavimas tarp qubes reikalauja aiškaus klaviatūros sparčiojo klavišo (Ctrl+Shift+V), kuris patvirtina perdavimą. Failai, perkeliami tarp qubes, eina per specialų FileCopy dialogą. Prarandate "viskas tiesiog veikia tame pačiame darbalaukyje" prielaidą normalios OS — bet gaudate tikrus saugumo barjerus.

Saugumo savybės.

  • Naršyklės eksploitas darbo qube negali pasiekti failų asmeniniame qube.
  • Kompromituotas PDF skaitytuvas negali eksfiltrūoti jūsų kripto piniginės.
  • USB nykštukas, įkištas, prijungiamas specialiame sys-usb qube — jei jis pilnas kenkėjiškos programos, jis paveiks disposable VM, ne dom0 (patikimas valdymo domenas).
  • dom0 visiškai neturi interneto prieigos; tiesiogine negalite paleisti naršyklės dom0.

Aparatinio aprūpinimo reikalavimai. 16 GB RAM minimum (Qubes rekomenduoja 16 GB), 32 GB praktiškai. Greitas SSD (NVMe pageidautinas). Intel CPU su VT-x + VT-d; specifiniai nešiojamieji yra aparatinio suderinamumo sąraše (naujesni Thinkpad, Framework, System76 Oryx Pro).

Tor integracija per Whonix. Iš karto, Qubes pristato Whonix šablonus — dviejų VM nustatymas, kur vienas VM daro Tor maršrutizavimą ir kitas paleidžia jūsų naršyklę, be būdo naršyklei sužinoti tikrąjį IP net jei visiškai eksploituota. Geriausia Tor architektūra trumpiau nei Tails.

Privalumai. Aukso standarto saugumo modelis aukštos grėsmės naudotojams. Atviro kodo.

Trūkumai. Strmaus mokymosi kreivė (2-4 savaitės, kad jaustumėtės patogiai). Sunkūs aparatinio aprūpinimo reikalavimai. Ribotas aparatinio aprūpinimo palaikymas — specifiniai nešiojamųjų sąrašai užuot "dauguma šiuolaikinio aparatinio aprūpinimo". Nėra komercinės programinės įrangos; esate tik Linux programose.

Praktinis nustatymas. Pačių Qubes diegimo vadovas puikus. Biudžetuokite savaitgalį pirmam diegimui ir qubes modelio mokymuisi. Sugrupuokite su suderinamu nešiojamuoju (patikrinkite jų HCL sąrašą — nepirkite atsitiktinio aparatinio aprūpinimo).

Tails 7.x — amnesic seansai USB

Tails (The Amnesic Incognito Live System) yra Debian pagrindu gyva OS, kuri palaižiama nuo USB ir pamirštą viską, kai išjungiate. Kiekvienas išorinis ryšys verčiamas per Tor — jei klaida programoje bando tiesioginį ryšį, ji nepavyksta užuot nutekėjimo.

Kaip jį naudojate. Paleiskite tikslinę mašiną nuo Tails USB. Naudokite jį. Perkraukite. Mašinos kietas diskas niekada nepalietas (nebent aiškiai pasirinksite). Nė vieno seanso pėdsako nelieka niekur, išskyrus žmogaus atmintį.

Nuolatinis saugojimas. Pasirenkama, tame pačiame USB, šifruota su LUKS. Leidžia saugoti konkretų aplanką, Tor tilto nustatymus ir trumpą programų sąrašą per perkrovimus. Visa kita lieka amnesic.

Tor maršrutizavimas. Visas srautas. Nėra "skaidyto tunelio", nėra "domeno pagrindu atleidimo". Programos, kurios negali naudoti Tor, tiesiog negali prisijungti. Tai griežta ir kartais erzinanti (kai kurie video konferencijos sugenda, dauguma bankininkystės svetainių blokuoja Tor išėjimus), bet tai yra saugumo savybė.

Privalumai. Amnesic pagal dizainą — pamestas USB nenuteka jūsų seanso. Tor pagal numatytuosius nustatymus — nėra būdo atsitiktinai nutekėti tikrąjį IP. Maža atakos sritis — minimali programinės įrangos krūva. Gerai prižiūrima nonprofit.

Trūkumai. Ne kasdieninis naudotojas. Paleidimas nuo USB lėtesnė. Programinės įrangos pasirinkimas tyčia ribotas. Tor delsa sugadina daugelį komercinių paslaugų. Nėra nuolatinės sistemos būsenos per perkrovimus, nebent pasirinksite.

Geriausia.

  • Kirtimas sienas (perkraukite į normalią OS prieš muitinę)
  • Susitikimas su žurnalistikos šaltiniais
  • Jautrių temų tyrinėjimas, kuris neturėtų susimaišyti su jūsų kasdieniniu tapatumu
  • Bet kuris seansas, kur "ką darote dabar negali būti susieta su tuo, kas esate kitą laiką"

Praktinis nustatymas. Atsisiųskite Tails iš tails.net, patikrinkite parašą (kritiškai svarbu), flash į USB ≥ 8 GB, paleiskite tikslinę mašiną iš jo (gali reikėti BIOS/UEFI pakeitimo). Nustatykite admin slaptažodį, jei reikia sudo komandų seanso metu.

Palyginimo lentelė

OS Telemetrija (numatyta) Paskyra reikalinga Atviro kodo FDE numatyta Debesų numatytieji Privatumo įvertinimas
Windows 11 Home Visada įjungta + tik atsisakymas Taip (Microsoft) Ne Kartais (auto Device Encryption) OneDrive įjungta ★☆☆☆☆
Windows 11 Pro Mažinamos per Group Policy Ne (domain join parinktis) Ne Taip (BitLocker) OneDrive įjungta ★★☆☆☆
macOS Tahoe Atsisakymas ES, įjungta pagal numatytais JAV Rekomenduojama (Apple ID) Ne Ne (naudotojas turi įgalinti FileVault) iCloud įjungta Photos ★★★☆☆
Ubuntu 26.04 Tik diegimo metu pasirenkamas Ne Taip Pasirinktinis diegimo metu Nė vieno (snap telemetrija) ★★★★☆
Fedora 44 Pasirenkamos avarijų ataskaitos Ne Taip Pasirinktinis diegimo metu Nė vieno ★★★★☆
Linux Mint 22 Nė vieno Ne Taip Pasirinktinis diegimo metu Nė vieno ★★★★★
Qubes OS 4.2 Nė vieno Ne Taip Taip (privalomas LUKS) Nė vieno ★★★★★
Tails 7.x Nė vieno Ne Taip Nuolatinis tom pasirinktinis Nė vieno (Tor maršrutizuotas) ★★★★★

(Žvaigždutės yra grubėstas "telemetrijos naštos + uždaro kodo bausmės + FDE numatytojo + debesų užrakinimo" junginys. Ne vienintelis svarbus dalykas — sustiprinti Windows 11 Pro gali būti privatesnė nei netvarkingai Ubuntu diegimas.)

Mūsų rekomendacijos pagal naudojimo atvejį

1. Su privatumu susijęs vartotojas, kuriam taip pat reikia populiarios programinės įrangos (Adobe, žaidimai, Office, Zoom, kt.). Windows 11 Pro su BitLocker + O&O ShutUp10++ + Firefox + vietine paskyra. Arba dual-boot Windows programoms, kurios to reikalauja, ir Linux Mint visam kitam.

2. Žinių darbuotojas, kūrėjas, studentas, rašytojas. Linux Mint su LUKS + Firefox + uBlock Origin. Devyniasdešimt procentų Windows/macOS darbo eigų švarioai atitinka Mint. LibreOffice daugumai dokumentų, OnlyOffice, jei reikia geresnio Microsoft Office suderinamumo.

3. Turinio kūrėjas / dizaineris, naudojantis Adobe Creative Cloud. macOS Tahoe su FileVault + Advanced Data Protection + Firefox. Adobe palaikymas yra tikras macOS; nepatogus Linux (Wine/Bottles veikia kai kurioms programoms, ne visoms). Apple Silicon našumas video darbui tikrai geriausias iš trijų komercinių variantų.

4. Žurnalistas / aktyvistas / tyrėjas, tvarkantis jautrią medžiagą. Qubes OS suderintame aparatiniame aprūpinime kasdieniniam darbui + Tails USB vienkartiniams aukštos rizikos seansams. Naudokite atskirus fizinius įrenginius "viešam tapatumui" vs "jautriam darbui tapatumui", jei įmanoma.

5. Atsitiktinis aukštos rizikos seansas (kirtimas sieną, susitikimas su šaltiniu, temos tyrinėjimas). Tails USB, paleistas švarioje mašinoje, išjungtas po to. Nepakartotinai naudokite USB skirtingose rizikos scenarijuose be nuolatinio tomo ištrynimo.

6. Seneliai mokosi naudoti kompiuterį. ChromeOS ant Chromebook paprastumui, ARBA Linux Mint Cinnamon, jei yra bet kuris šeimos narys, kuris gali atlikti pradinį nustatymą. Vengti Windows 11 Home — vien Microsoft paskyros nustatymas klaidinantis ir valymo darbas neverta lengvam naudotojui.

Ką iš tikrųjų naudojame

Visiška atskleidimas: ipdrop.io komanda naudoja mišinį — macOS turiniui/dizainui/kasdieniniam darbui, Linux Mint atskiroje mašinoje kūrimui/jautriam darbui ir Tails USB stalčiuje, kuris naudojamas gal 3-4 kartus per metus. Qubes gerbiam, bet nenaudojam kasdien — trintis yra tikra, ir mūsų grėsmės modelis to nereikalauja.

Kad ir ką pasirinksite, svarbiausias privatumo žingsnis nėra OS — tai viso disko šifravimo įgalinimas, slaptažodžių tvarkyklės naudojimas ir jautrių tapatybių nemaišymas į jūsų kasdienę naršyklę. OS pasirinkimas yra rėmas; įpročiai yra paveikslas.

Kaip sustiprinti bet kurią darbalaukio OS privatumui

Platformos agnostikas patikros sąrašas, kuris apima 80/20 privatumo laimėjimus nepriklausomai nuo to, kurioje OS esate. Dauguma šių užima mažiau nei valandą.

  1. Įgalinti viso disko šifravimą:BitLocker (Windows 11 Pro — ne Home), FileVault (macOS System Settings → Privacy & Security → FileVault), arba LUKS Linux diegimo metu. Be FDE, pamestas nešiojamasis yra privatumo pažeidimas. Naudokite 18+ atsitiktinių simbolių slaptafrazę (ne slaptažodį, kurį atsimenant — saugokite slaptafrazę savo slaptažodžių tvarkyklėje ir atkūrimo raktą atspausdintą fiziniame seife).
  2. Išjungti telemetriją, kurios jums nereikia:Windows 11 → Settings → Privacy & Security → išjunkite kiekvieną perjungiklį, kurio aktyviai nenaudojate; paleiskite O&O ShutUp10++ gilesnių Group Policy pakeitimų. macOS → Settings → Privacy & Security → Analytics & Improvements → išjunkite visą dalijimąsi. Ubuntu/Fedora → atsisakykite diegimo metu ("Help improve..." varnelės) ir išjunkite avarijų ataskaitų. Linux Mint → nieko nereikia išjungti, bet patikrinkite po pagrindinių atnaujinimų.
  3. Pakeisti numatytąją naršyklę į Firefox arba Brave, ne Chrome/Edge/Safari:Chrome siunčia kiekvieną URL į Google Safe Browsing pagal numatytuosius nustatymus (atsisakymas egzistuoja). Edge siunčia į Microsoft. Safari yra mažiau blogas, bet vis tiek Apple-centrinis. Firefox su griežtu režimu ir reklamos blokikliu (uBlock Origin) yra geriausias privatumo ir suderinamumo balansas. Brave turi griežtesnius numatytuosius nustatymus, bet reklamos tinklo-apdovanojimų kampas kai kuriuos neramina. Įdiekite naršyklę PIRMĄ naujoje OS prieš prisijungdami prie bet ko.
  4. Naudoti slaptažodžių tvarkyklę su ištisinio šifravimo:Proton Pass arba Bitwarden — abu atviro kodo, abu E2E-šifruoti. Įgalinkite 2FA pačioje slaptažodžių tvarkyklėje. Niekada nepakartokite slaptažodžių. Žiūrėkite mūsų Proton Pass vs Bitwarden palyginimą, kurį rinktis.
  5. Pridėti VPN nepatikimiems tinklams (ir apsvarstyti visada įjungtą):Jūsų ISP / kavos parduotuvė / oro uostas / darbdavio tinklas gali matyti kiekvieną domeną, prie kurio jungiates. VPN (Proton VPN arba Mullvad, ne nemokamus) šifruoja srautą į VPN serverį ir pakeičia jūsų ISP patikimu tarpininku. Konkrečiai privatumui — ne tik geo-atblokavimui — apsvarstykite palikti įjungtą net namuose.
  6. Nustatyti šifruotą debesų atsarginę kopiją arba nustoti sinchronizuoti jautrius aplankas debesyse:Jei esate Windows 11, OneDrive yra įjungtas pagal numatytuosius nustatymus ir nuskaito kiekvieną failą, kurį numetate į Documents aplanką. macOS daro panašiai su iCloud Drive, nebent atsisakote. Parinktys, sureitinguotos pagal privatumą — (a) vietinė atsarginė kopija tik į šifruotą išorinį diską, (b) Proton Drive su nulinio priėjimo šifravimu, (c) Bitwarden Send arba Magic Wormhole atsitiktiniams šifruotiems perdavimams. Išjunkite numatytąją debesų sinchronizaciją bet kuriam aplankui, kuriame yra finansinių, medicinos arba tapatybės dokumentų.
  7. Audituoti naršyklės plėtinius ir įdiegtas programas kas ketvirtį:Plėtiniai yra klasikinis eksfiltriacijos kelias — tas pats leidimas, kuris leidžia reklamos blokikiui skaityti kiekvieną puslapį, taip pat leidžia kompromituotam plėtiniui daryti tą patį. Kas 90 dienų peržiūrėkite tris dalykus — įdiegtus naršyklės plėtinius (pašalinkite bet ką, ko nenaudojote 30 dienų), įdiegtas programas (pašalinkite bet ką, ko nepažįstate), ir jūsų "Prisijungti su Google / Facebook / Apple" prijungtų programų sąrašą (atšaukite senus).
  8. Padaryti vietos paslaugas pasirenkamu kiekvienai programai:Kiekvienoje OS eikite į Settings → Privacy → Location Services ir nustatykite numatytąją į "Deny" programoms, nebent aktyviai to reikia (pvz., Maps, Weather). Naršyklei neturėtų reikėti vietos, nebent spustelėjote "allow" raginimą konkrečioje svetainėje. macOS ir Linux tai daro gerai; Windows 11 reikalauja daugiau sąmoningo perjungimo, nes daugelis pridėtų programų numatyta "Allow".
  9. Maksimaliam privatumui atskirti tapatybes ant atskirų mašinų:Geriausias privatumo higienos žingsnis yra nustoti maišyti asmeninę tapatybę su darbo/profesine tapatybe tame pačiame įrenginyje ir naršyklės profilyje. Arba naudokite atskirus naršyklės profilius su agresyviu slapukų izoliacija, arba geriau — antrą fizinį įrenginį (senas nešiojamasis, kuriame veikia Linux Mint yra $100-200 naudotas) jautriems tyrimams, bankams, žurnalistikai. Qubes OS tai daro OS lygmenyje su Xen VM, bet net "du nešiojamieji" duoda 90% to.

Dažniausiai užduodami klausimai

Kokia yra vienintele privačiausia darbalaukio operacinė sistema, kurią galiu paleisti?
Kasdieniniam naudojimui, Qubes OS — kiekviena programa veikia savo atskiroje Xen VM, todėl naršyklės eksploitas negali pasiekti jūsų failų, o kompromituotas el. pašto klientas negali perskaityti jūsų piniginės. Kompromisas yra strmaus mokymosi kreivė ir mažiausiai 16 GB RAM. Vienkartiems aukštos rizikos seansams (kertant sieną, susitinkant su žurnalistikos šaltiniu, tyrinėjant jautrų temą), Tails yra nepralenkiamas — jis palaižiamas nuo USB, nukreipia viską per Tor ir pamirša viską, kai perkraunate. Jei norite standartinių programų + lengvo diegimo + gerų numatytųjų nustatymų, Linux Mint yra geriausias privatumo pasirinkimas pagal numatytuosius nustatymus.
Ar Windows 11 iš tikrųjų blogesnė už Windows 10 privatumui?
Taip, reikšmingai. Windows 10 leido naudoti vietinę paskyrą diegimo metu; Windows 11 Home verčia naudoti Microsoft paskyrą (apėjimai toliau pataisomi). Recall (Copilot+ PC) fotografuoja jūsų ekraną kas kelias sekundes, kad sukurtų ieškant pasiekiamą indeksą — iš pradžių buvo pasirenkamas po saugumo pasipiktinimo, bet infrastruktūra dabar įdiegta. OneDrive pagal numatytuosius nustatymus įjungiamas diegimo metu. Telemetrijos kategorijos "Reikalingi diagnostikos duomenys" negali būti išjungtos. Windows 11 galima sustiprinti su tokiais įrankiais kaip O&O ShutUp10++ ir Group Policy, bet kovojai su numatytaisiais nustatymais kiekvieno kaupiamojo atnaujinimo metu.
Ar macOS yra privatus, nes Apple taip save reklamuoja?
Iš dalies. Apple renka mažiau telemetrijos nei Microsoft ir nuoširdžiai sukūrė stiprią įrenginio saugą (Secure Enclave, griežtas kodo pasirašymas, App Store privatumo etiketės). Apple Intelligence 2024 metais pridėjo Private Cloud Compute — bandymą daryti serverio AI su tikrinamu aparatinio aprūpinimo atestavimu. Bet macOS yra uždaro kodo; negalite jo audituoti. iCloud sinchronizacija pagal numatytuosius nustatymus įjungta nuotraukoms, kontaktams ir žinutėms; Advanced Data Protection (ištisinis šifravimas daugumai iCloud duomenų) yra pasirenkamas ir mažai reklamuojamas. Pragmatiškai, macOS yra geriausia komercinė OS privatumui — bet "Apple taip sakė" nėra patikrinimas.
Kuri Linux distribucija yra privačiausia iš karto?
Linux Mint, nežymiai. Ubuntu turėjo "Amazon lens" privatumo kontroversijos 2013 metais ir bendruomenė vis dar atsimena — nuo to laiko jie pašalino didžiąją dalį, bet Canonical ubuntu-advantage klausinėjimo ekranai ir numatytasis Snap parduotuvės diegimas vis dar erzina žmones. Fedora yra švaresnė nei Ubuntu, bet jos avarijų ataskaitos infrastruktūra (ABRT) anksčiau siųsdavo branduolio išmetimus į Red Hat pagal numatytuosius nustatymus (dabar pasirenkamas). Linux Mint pašalina Canonical papildymus, išjungia telemetriją pagal numatytuosius nustatymus ir niekada neturėjo privatumo skandalo. Antrasis pasirinkimas yra Debian Stable, jei esate pakankamai techniškas, kad galėtumėte jį įdiegti.
Ar Qubes OS yra per daug paprastam žmogui?
Atvirai tariant, taip, 95% žmonių. Qubes skirtas žurnalistams, disidentams, saugumo tyrinėtojams ir bet kam, kurio grėsmės modelyje yra "sofistikuotas kenkėjiškos programos taikinys mano įrenginiui". Skaidymas (kiekviena programa savo VM) lėtina įprastus veiksmus, tokius kaip kopijavimas ir įklijavimas tarp programų. Išteklių reikalavimai yra dideli — mažiausiai 16 GB RAM, praktiškai 32 GB, reikalingas SSD. Jei jūsų grėsmės modelis yra "Meta ir Google mane profiliuoja reklamoms", Linux Mint + Firefox + VPN duoda 95% naudos su 5% trinties. Qubes yra teisingas atsakymas, kai "kažkas su tikrais ištekliais nori kompromituoti mano konkretų įrenginį" pereina iš hipotetinio į tikėtiną.
Ar galiu naudoti Tails kaip kasdieninę sistemą?
Įmanoma, bet nerekomenduojama. Tails yra amnezinis pagal dizainą — jis pamirša viską perkrovimo metu, nebent aiškiai įgalinsite šifruotą nuolatinį tomą. Kiekviena programa ir kiekvienas failas turi būti atsiųstas iš naujo kiekvieno seanso metu. Visko maršrutizavimas per Tor prideda 1-3 sekundžių delsos per puslapio įkėlimą ir sugadina daugelį komercinių svetainių, kurios blokuoja Tor išėjimo mazgus (bankai, srautinis perdavimas, kai kurie naujienos). Tails šviečia kaip vienkartinis seansas — paleiskite jį USB dėl aukštos rizikos užduoties, užbaikite, perkraukite. Nuolatiniam kasdieniniam naudojimui pereikite prie Qubes + Whonix (kuris duoda Tor skaidymą su nuolatiniu saugojimu) arba Linux Mint su rankiniu Tor Browser.
O kaip dėl ChromeOS / ChromeOS Flex?
ChromeOS turi padorų įrenginio saugumą — patikrintą paleidimą, automatinius atnaujinimus, sandbox programas — bet privatumo istorija yra "jūs pasitikite Google su viskuo". Kiekviena paieška, kiekvienas dokumentas Google Drive, kiekvienas naršyklės signalas maitina Google reklamų ir ML konvejerius. ChromeOS Flex (nemokama versija senam aparatiniam aprūpinimui) turi tą patį pasitikėjimo modelį. Jei norite "pigaus Chromebook patirties" su privatumu, įdiekite lengvą Linux distribuciją (Mint XFCE, Lubuntu) ant to paties aparatinio aprūpinimo — prarandom OS lygio auto-atnaujinimo elegantumą, bet gaujame visą duomenų nuosavybę.
Ar viso disko šifravimas svarbus darbalaukyje?
Labai. Be jo, bet kas, kuris pavogtų jūsų nešiojamąjį (sienos kontrolė, viešbučio vagystė, rastų daiktų skyrius), gali paleisti USB, prijungti jūsų diską ir perskaityti viską. BitLocker (Windows 11 Pro), FileVault (macOS), LUKS (dauguma Linux distribucijų) yra visi stiprūs ir turėtų būti įgalinti diegimo metu. Windows 11 Home kartais automatiškai įgalina "Device Encryption" naujesniems įrenginiams — bet ne visada. Maksimaliam privatumui sujunkite FDE su ilga slaptafraze (18+ atsitiktinių simbolių) ir aparatinio aprūpinimo remiamu TPM / Secure Enclave. Nešifruotas diskas yra didžiausia privatumo spragą nešiojamajame kompiuteryje, kuris kada nors palieka jūsų namus.

Susiję straipsniai

Privatumo kontrolinis sąrašas

Kas yra VPN?

Kas yra užšifruotas el. paštas?

Šifruota failų saugykla

Proton Pass prieš Bitwarden

Šis turinys sukurtas dirbtinio intelekto ir gali turėti netikslumų. Stengiamės, kad jis būtų tikslus ir atnaujintas.