簡短答案
如果隱私是首要優先考量且您願意改變習慣:
- 極端威脅模型(保護線人的記者、敵對國家的活動家、安全研究員):Qubes OS 用於日常使用 + Tails 在獨立 USB 上用於一次性高風險會話。
- 重視隱私但實用(您想要一台看起來正常且不會對外通訊的電腦):Linux Mint — Ubuntu 相容的軟體生態系統,移除了 Canonical 的新增功能,保守的預設值。
- 最佳商業隱私作業系統:macOS Sequoia 啟用進階資料保護。閉源警告適用,但預設值比 Windows 好,裝置安全性優秀。
- 您必須為工作使用 Windows:Windows 11 Pro(非家用版)配合群組原則、BitLocker、Firefox 和認真的強化過程。運行相當私密的 Windows 11 是可能的 — 您只需花費週末配置它,而且每次主要更新都會偏移。
以下是此排名背後的詳細資料 — 每個作業系統預設做什麼、您可以改變什麼,以及什麼無法改變。
Windows 11 — 反隱私基準
Windows 11 是主流選項中最糟的,不是因為它惡意,而是因為 Microsoft 的商業模式將作業系統視為資料產品。具體而言:
帳戶要求。 Windows 11 家用版在設定期間需要 Microsoft 帳戶。本機帳戶變通方法(OOBE\BYPASSNRO 命令、no@thankyou.com 技巧)在累積更新中持續被修補。Windows 11 Pro 如果您選擇「網域加入」路徑,設定期間仍允許本機帳戶。
遙測。 兩個層級:「必需診斷資料」(始終開啟,無法透過設定 UI 停用 — 群組原則讓您限制它,但某些信號仍會流出)和「可選診斷資料」(完整瀏覽級別遙測,您可以關閉但預設開啟)。Microsoft 發布資料字典,這比大多數作業系統供應商做得多,但基線是「Microsoft 知道您在做什麼」。
Copilot + Recall。 Recall(在具有 NPU 的 Copilot+ PC 上)每隔幾秒對您的螢幕截圖,OCR 識別它們,並建立可搜尋的本機索引。在 2024 年 6 月安全性反彈後,Microsoft 使其選擇性加入,加密資料庫,並需要 Windows Hello 認證來查詢。底層能力仍然內建在作業系統中。每次主要更新都重新開啟問題「Recall 真的仍然是選擇性加入嗎?」Copilot 本身向 Azure OpenAI 發送查詢,除非您明確停用功能。
OneDrive 預設值。 新安裝會悄悄將您的文件、圖片和桌面重新導向到 %OneDrive%\ 並開始同步。數百萬使用者的個人檔案在 Microsoft 的雲端中,而未有意識地決定上傳它們。
Edge + Bing。 預設瀏覽器向 Bing 發送查詢。Edge 有有用的隱私功能(追蹤器阻擋、InPrivate),但其預設行為包括向 Microsoft 的 Defender SmartScreen 發送 URL。
您可以做什麼。 Windows 11 是最可強化的作業系統,因為有太多要關閉的:
- 使用本機帳戶安裝(Pro 或家用版上的註冊表調整)
- 執行 O&O ShutUp10++ — 100+ 隱私切換的策劃清單,具有「建議」預設值。應用群組原則 + 註冊表變更,在更新後保留。
- 安裝期間停用 OneDrive 設定,如果未使用則完全移除
- 用 Firefox 或 Brave 取代 Edge;將預設搜尋變更為 DuckDuckGo、Kagi 或 Startpage
- 如果未使用則解除安裝 Cortana、Teams Consumer 和 Xbox 應用程式
- BitLocker(僅 Pro)或 VeraCrypt(家用版)用於 FDE
- 群組原則:電腦設定 → 系統管理範本 → Windows 元件 → 資料收集
經過此處理,Windows 11 可以變得大約與未修改的 Ubuntu 一樣私密。持續的稅收是在每次功能更新(20H2、22H2、23H2、24H2 各自重新引入一些行為)後重新檢視您的設定。
macOS Sequoia 15 — 最佳商業隱私作業系統
macOS Sequoia 預設比 Windows 11 明顯好得多,但「比 Microsoft 好」與「私密」不同。
Apple 的遙測 — 分析、裝置分析和 iCloud 分析 — 在歐盟(GDPR)新安裝時預設關閉,在美國預設開啟(您可以在設定 → 隱私與安全性 → 分析與改進中停用它們)。Apple 發布其隱私政策並對裝置內處理做出具體聲明,但您無法獨立驗證這些聲明,因為作業系統是閉源的。
iCloud 預設值。 如果您使用 Apple ID 登入,照片、聯絡人、行事曆和 iCloud Drive 預設同步。iCloud 中的訊息除非啟用否則關閉。進階資料保護(大多數類別的端對端加密 iCloud — 照片、備忘錄、Drive、備份)是選擇性加入,需要您所有裝置使用 iOS 16.2+ / macOS 13+。Apple 在設定期間積極淡化它,因為啟用意味著如果您失去存取權,Apple 無法恢復您的資料。
Siri + Spotlight。 查詢被發送到 Apple 進行解析。Apple 說它們是匿名的且未連結到您的 Apple ID。您可以在 Safari 中停用「來自 Apple 的搜尋建議」以停止 URL 列輸入到達 Apple 伺服器。
Apple Intelligence(2024 年新增)。較小模型大多在裝置上,但某些查詢被發送到 Apple 的「私人雲端運算」基礎設施。PCC 使用證明硬體和已發布的二進位檔案 — 真正新穎的隱私架構。在歐盟是選擇性加入,其他地方也是選擇性加入,截至 macOS 15。
Gatekeeper + 程式碼簽章。 您執行的每個應用程式都會對 Apple 的公證服務進行簽章檢查。首次執行應用程式會使用開發者 ID 雜湊對外通訊 — Apple 理論上可以記錄每台 Mac 正在執行什麼以及何時執行。這是安全功能(捕獲已知惡意應用程式),但有隱私成本。sudo spctl --master-disable 關閉簽章執行但不建議。
優勢。
- Apple Silicon + 安全元件 = 強大裝置安全性,生物識別解鎖綁定到硬體
- App Store 應用程式有隱私標籤(開發者自我證明,但仍顯示資訊)
- 權限模型嚴格 — 應用程式必須在讀取聯絡人、行事曆、相機、麥克風、位置前詢問
- FileVault(FDE)很容易啟用並使用安全元件
- 無強制防毒對外通訊
弱點。
- 閉源 — 隱私聲明是 Apple 的一面之詞
- iCloud 選擇退出分散在設定面板中
- 進階資料保護設定摩擦重(Apple 積極讓它更難啟用)
- 硬體鎖定 — 如果您對隱私關心到要驗證它,您可能想要在可審查的 Linux 上
實用設定。 新安裝 → 拒絕可選分析 → 啟用 FileVault → 如果您所有裝置支援則啟用進階資料保護 → 安裝 Firefox → 在決定同步哪些類別前不要登入 iCloud。
Ubuntu 24.04 LTS — 流行的 Linux
Ubuntu 是桌面上部署最多的 Linux 發行版,是合理的隱私基準。Canonical 在這個話題上有混合歷史。
2013 年 Amazon lens。 有一段時間,Ubuntu Unity 的 Dash 搜尋向 Amazon 發送查詢以獲得購物結果「lens」。這在社群中引發了多年的信任危機。該功能在 16.04 中被移除,Canonical 未曾重複。值得了解,因為它影響長期 Linux 使用者對 Ubuntu 的感受。
當前遙測。
- Ubuntu Report — 安裝期間發送的一次性、匿名硬體/軟體摘要。選擇性加入;您在執行前看到提示。
- Apport — 當機報告。釋出版本預設關閉;您為每次當機選擇加入。
- Livepatch — 核心熱補丁。選擇性加入;需要 Ubuntu Advantage 訂閱。
- PopCon — 套件受歡迎度競賽。預設關閉。
- Snap 遙測 — Canonical 的 snap store 收集安裝/更新計數。比瀏覽器遙測侵入性較小,但對每次 snap 安裝仍然呼叫 Canonical。
ubuntu-advantage-tools 提示畫面。 最近的 Ubuntu 版本在您 SSH 或開啟終端時新增「motd」提示,宣傳 Ubuntu Pro。惱人但非隱私問題(無出站資料)。在 24.04 中透過在 /etc/default/ubuntu-advantage-tools 中設定 ENABLED=0 移除或靜音。
Snap vs apt。 Ubuntu 22.04+ 將 Firefox 作為 snap 套件發佈。snap store 與 Canonical 的伺服器通話;傳統 apt 套件與您配置的任何鏡像通話。如果「所有內容透過 Canonical」的路由困擾您,要麼切換到 ppa:mozillateam/ppa Firefox apt 套件,或直接從 flatpak 安裝 Firefox。
優勢。 開源、可審查、大量套件選擇、良好硬體支援、22.04+ 預設 Wayland、GNOME 46 具有合理隱私預設值。
弱點。 Canonical 的商業利益有時指向使用者資料;如果您使用 snap,Snap 遙測不可避免;「Ubuntu Advantage」品牌提示可見。
實用設定。 新安裝 → 拒絕 Ubuntu Report → 停用 Apport → 停用 PopCon → 用 apt Firefox 或 Flatpak 取代 Snap Firefox → 安裝期間啟用 LUKS FDE → Firefox 配合 uBlock Origin。
Fedora 41 — 上游優先的 Linux
Fedora 是 Red Hat(IBM)的社群發行版,用作 RHEL 的上游。隱私方面類似 Ubuntu,有一些差異。
無 Canonical 等價物。 Red Hat / IBM 不向桌面使用者宣傳「Advantage」訂閱;企業授權存在於 RHEL,而非 Fedora。無提示畫面,無強制升級提示。
預設遙測。 最少。Fedora Report(硬體普查)正在 42 中引入 — 持續社群辯論,當前狀態是選擇性加入。ABRT(當機報告)是選擇性加入;當機發生時您會看到通知,可決定是否提交。
預設執行 SELinux。 這是安全功能,而非隱私本身 — 它包含程序級別的漏洞,所以受感染的應用程式無法讀取您系統上的所有內容。Ubuntu 為相同目的使用 AppArmor,但預設姿態更寬鬆。SELinux 更嚴格。
Flatpak + dnf。 Fedora 的套件管理器。Flathub flatpak 與 Flathub CDN 通話(非遙測信號,只是下載);dnf 與 Fedora 鏡像通話。
Wayland 優先。 每個桌面版本(GNOME、KDE、XFCE 等)都將 Wayland 作為預設會話發佈,它在 GUI 應用程式間有比 X11 更好的隔離(應用程式無法對彼此截圖/鍵盤記錄偵探)。
優勢。 無 Canonical 風格的商業模式,SELinux 執行,快速上游追蹤(核心/Mesa/GNOME 都比 Ubuntu 新)。
弱點。 前沿可能意味著「因為驅動程式回歸而出錯」;每個釋出版本 13 個月支援週期 vs Ubuntu LTS 的 5 年。
實用設定。 新安裝 → 拒絕當機報告(首次觸發時您會收到提示)→ 安裝期間啟用 LUKS → Firefox 在 Fedora Workstation 上已預安裝且非 flatpak。
Linux Mint 22 — 最佳預設私密 Linux
Linux Mint 是 Ubuntu 的長期精簡版。他們取 Ubuntu LTS 上游,移除 Canonical 的新增功能,用 Cinnamon(或 Xfce / MATE)取代桌面,然後發佈。您得到:
預設無 Snap。 Mint 明確移除 snap 並阻止 apt 安裝 snap 守護程式。Firefox 作為來自 Mozilla PPA 的常規 apt 套件安裝。無提示畫面。
無 Ubuntu Report、無 ubuntu-advantage-tools。 Mint 停用或解除安裝 Canonical 商業部分。
無遙測。 Mint 本身不對外通訊。當機報告關閉。更新管理器與 Mint 的鏡像通話進行更新 — 標準套件管理器流量 — 但不報告使用情況。
LMDE 後備。 如果您想要無 Canonical 版本的 Mint,LMDE(Linux Mint Debian Edition)使用 Debian Stable 作為基礎。相同桌面體驗,不同上游。
Cinnamon。 GNOME 分支,優先考慮傳統 Windows 風格桌面。比 GNOME 不那麼「現代」,比 KDE 鍵盤驅動較少,但對從 Windows 切換的使用者來說平易近人。
優勢。 任何主流發行版中最保守的隱私預設值。龐大社群。穩定。透過 Ubuntu 基礎有良好硬體支援。
弱點。 採用新技術較慢(Wayland 在 Mint 22 中仍是選擇性加入,預設為 X11)。Cinnamon 貢獻者比 GNOME 或 KDE 少。Ubuntu 上游意味著您繼承 Ubuntu 的錯誤,只是沒有其遙測。
實用設定。 新安裝 → 安裝期間啟用 LUKS → 更新 → 安裝 Firefox(已在那裡)+ uBlock Origin → 就是這樣。Mint 是「安裝並使用」就能提供合理隱私姿態而無需進一步工作的發行版。
Qubes OS 4.2 — 分隔化作為威脅模型
Qubes 在自己的類別中。與其試圖讓一個作業系統更私密,Qubes 假設任何單一系統都會被入侵,並使用虛擬化隔離爆炸半徑。
運作方式。 Qubes 透過 Xen hypervisor 在裸機上執行。每個「VM」(在他們的術語中稱為 qube)執行一次性 Linux 使用者空間 — 通常是 Fedora 或 Debian 範本。當您點擊電子郵件附件時,它在銷毀後關閉的 DisposableVM 中開啟。您的銀行業務在自己的 AppVM 中進行,僅對您的銀行有網路存取權。瀏覽隨機連結在透過 Tor 路由的 Whonix-Workstation qube 中進行。
UX 成本。 qube 間複製貼上需要明確的鍵盤快捷鍵(Ctrl+Shift+V),確認傳輸。qube 間移動的檔案透過專用的 FileCopy 對話框進行。您失去正常作業系統的「一切在相同桌面上正常運作」假設 — 但您獲得真正的安全邊界。
安全屬性。
- 工作 qube 中的瀏覽器漏洞無法觸及個人 qube 中的檔案。
- 受感染的 PDF 閱讀器無法滲透您的加密錢包。
- 插入的 USB 隨身碟在專用 sys-usb qube 中掛載 — 如果它載入惡意軟體,它擊中一次性 VM,而非 dom0(受信任控制網域)。
- dom0 完全無網路存取權;您根本無法在 dom0 上執行瀏覽器。
硬體要求。 16 GB RAM 最少(Qubes 建議 16 GB),32 GB 實際。快速 SSD(偏好 NVMe)。具有 VT-x + VT-d 的 Intel CPU;特定筆電在硬體相容性清單上(較新 Thinkpad、Framework、System76 Oryx Pro)。
透過 Whonix 的 Tor 整合。 開箱即用,Qubes 附帶 Whonix 範本 — 兩個 VM 設定,其中一個 VM 進行 Tor 路由,另一個執行您的瀏覽器,即使完全被利用,瀏覽器也無法得知真實 IP。除了 Tails 外最佳 Tor 架構。
優勢。 高威脅使用者的金標準安全模型。開源。Snowden 和高價值記者公開使用它。
弱點。 陡峭學習曲線(2-4 週才舒適)。沉重硬體要求。有限硬體支援 — 特定筆電清單而非「大多數現代硬體」。無商業軟體;您只能使用 Linux 應用程式。
實用設定。 Qubes 自己的安裝指南很優秀。為第一次安裝和學習 qube 模型預算週末。與相容筆電配對(檢查他們的 HCL 清單 — 不要購買隨機硬體)。
Tails 6.x — USB 上的健忘會話
Tails(健忘匿名即時系統)是基於 Debian 的即時作業系統,從 USB 開機,關機時忘記一切。每個出站連線都被迫透過 Tor — 如果應用程式中的錯誤嘗試直接連線,它會失敗而非洩漏。
使用方式。 從 Tails USB 開機目標機器。使用它。重開機。機器的硬碟從未被觸碰(除非您明確選擇加入)。除了人類記憶外,會話的任何痕跡都不會留在任何地方。
持久儲存。 選擇性加入,在相同 USB 上,用 LUKS 加密。讓您跨重開機保留特定資料夾、Tor 橋接設定和簡短應用程式清單。其他一切保持健忘。
Tor 路由。 所有流量。無「分離通道」,無「基於網域的豁免」。無法使用 Tor 的應用程式根本無法連線。這很嚴格,偶爾惱人(某些視訊會議中斷,大多數銀行網站阻擋 Tor 出口),但這是安全屬性。
優勢。 設計健忘 — 放錯位置的 USB 不會洩漏您的會話。預設 Tor — 無法意外洩漏您的真實 IP。小攻擊面 — 最少軟體堆疊。由非營利組織維護良好。
弱點。 非日常驅動器。從 USB 開機較慢。軟體選擇有意限制。Tor 延遲破壞許多商業服務。除非您選擇加入,否則跨重開機無持久系統狀態。
最適合。
- 過境(在海關前重開機進入正常作業系統)
- 會見新聞線人
- 研究不應與您日常身分混合的敏感主題
- 任何「您現在正在做的事情不得與您其餘時間是誰聯繫」的會話
實用設定。 從 tails.net 下載 Tails,驗證簽章(關鍵),閃存到 ≥ 8 GB USB,從中開機目標機器(可能需要 BIOS/UEFI 調整)。如果會話期間需要執行 sudo 命令,設定管理員密碼。
比較表
| 作業系統 | 遙測(預設) | 需要帳戶 | 開源 | FDE 預設 | 雲端預設 | 隱私評分 |
|---|---|---|---|---|---|---|
| Windows 11 家用版 | 始終開啟 + 僅選擇退出 | 是(Microsoft) | 否 | 有時(自動裝置加密) | OneDrive 開啟 | ★☆☆☆☆ |
| Windows 11 Pro | 可透過群組原則減少 | 否(網域加入選項) | 否 | 是(BitLocker) | OneDrive 開啟 | ★★☆☆☆ |
| macOS Sequoia | 歐盟選擇退出,美國預設開啟 | 建議(Apple ID) | 否 | 否(使用者必須啟用 FileVault) | iCloud 對照片開啟 | ★★★☆☆ |
| Ubuntu 24.04 | 僅安裝時選擇性加入 | 否 | 是 | 安裝時可選 | 無(snap 遙測) | ★★★★☆ |
| Fedora 41 | 選擇性加入當機報告 | 否 | 是 | 安裝時可選 | 無 | ★★★★☆ |
| Linux Mint 22 | 無 | 否 | 是 | 安裝時可選 | 無 | ★★★★★ |
| Qubes OS 4.2 | 無 | 否 | 是 | 是(強制 LUKS) | 無 | ★★★★★ |
| Tails 6.x | 無 | 否 | 是 | 持久卷可選 | 無(Tor 路由) | ★★★★★ |
(星級是「遙測負擔 + 閉源懲罰 + FDE 預設 + 雲端鎖定」的粗略組合。不是唯一重要的事 — 強化的 Windows 11 Pro 可能比草率的 Ubuntu 安裝更私密。)
我們的使用案例建議
1. 重視隱私的消費者,也需要主流軟體(Adobe、遊戲、Office、Zoom 等)。 Windows 11 Pro 配合 BitLocker + O&O ShutUp10++ + Firefox + 本機帳戶。或為需要它的應用程式雙重開機 Windows,為其他一切使用 Linux Mint。
2. 知識工作者、開發者、學生、作家。 Linux Mint 配合 LUKS + Firefox + uBlock Origin。百分之九十的 Windows/macOS 工作流程乾淨地對應到 Mint。大多數文件使用 LibreOffice,如果您需要更好的 Microsoft Office 相容性使用 OnlyOffice。
3. 使用 Adobe Creative Cloud 的內容創作者/設計師。 macOS Sequoia 配合 FileVault + 進階資料保護 + Firefox。Adobe 對 macOS 的支援是真實的;在 Linux 上很尷尬(Wine/Bottles 對某些應用程式有效,不是全部)。Apple Silicon 在視訊工作上的效能真正是三個商業選項中最好的。
4. 處理敏感材料的記者/活動家/研究員。 相容硬體上的 Qubes OS 用於日常工作 + USB 上的 Tails 用於一次性高風險會話。如果可能,為「公開身分」vs「敏感工作身分」使用獨立實體裝置。
5. 偶爾高風險會話(過境、會見線人、研究主題)。 USB 上的 Tails,在乾淨機器上開機,之後關機。不要跨不同風險情況重複使用 USB,除非擦拭持久卷。
6. 學習使用電腦的祖父母。 Chromebook 上的 ChromeOS 因為簡單,或如果有家庭成員可以做初始設定則使用 Linux Mint Cinnamon。避免 Windows 11 家用版 — 僅 Microsoft 帳戶設定就令人困惑,對輕度使用者而言清理工作不值得。
我們實際執行什麼
完全揭露:ipdrop.io 團隊執行混合 — macOS 用於內容/設計/日常工作,獨立機器上的 Linux Mint 用於開發/敏感工作,以及抽屜中的 Tails USB 每年使用也許 3-4 次。我們尊敬 Qubes 但不日常使用 — 摩擦是真實的,我們的威脅模型不需要它。
無論您選擇什麼,最重要的隱私舉措不是作業系統 — 而是啟用全磁碟加密、使用密碼管理器,以及不將敏感身分混入您的日常瀏覽器。作業系統選擇是框架;習慣是圖片。
相關
- 隱私檢查清單 — 審查您帳戶的 20 個步驟
- 什麼是 VPN? — 網路隱私的作業系統上層
- 加密電子郵件 — Proton Mail、Tutanota、Mailbox.org 比較
- 加密檔案儲存 — Proton Drive、Tresorit、Sync.com 比較
- Proton Pass vs Bitwarden — 密碼管理器深度剖析