简短答案
如果隐私是首要考虑并且您愿意改变习惯:
- 极端威胁模型(保护消息来源的记者、敌对国家的活动家、安全研究员):日常使用 Qubes OS + 在单独 USB 上使用 Tails 进行一次性高风险会话。
- 注重隐私但实用(您想要一台看起来正常且不会回传数据的计算机):Linux Mint — Ubuntu 兼容的软件生态系统,剥离了 Canonical 的添加,保守的默认设置。
- 隐私方面最佳商业 OS:启用高级数据保护的 macOS Sequoia。闭源警告适用,但默认设置比 Windows 更好,设备安全性优秀。
- 您必须为工作使用 Windows:配合组策略、BitLocker、Firefox 和严格加固的 Windows 11 Pro(不是家庭版)。运行合理私密的 Windows 11 是可能的——您只需花一个周末配置它,每次主要更新后它都会漂移回来。
下面的所有内容是这个排名背后的详细信息——每个操作系统默认做什么、您可以改变什么以及不能改变什么。
Windows 11 — 反隐私基准
Windows 11 是主流选项中最糟糕的,不是因为它是恶意的,而是因为微软的商业模式将操作系统视为数据产品。具体情况:
账户要求。 Windows 11 家庭版在设置期间需要 Microsoft 账户。本地账户变通方法(OOBE\BYPASSNRO 命令、no@thankyou.com 技巧)在累积更新中不断被修补。如果您选择"域加入"路径,Windows 11 专业版在设置期间仍允许本地账户。
遥测。 两个层次:"所需诊断数据"(始终开启,无法通过设置 UI 禁用——组策略让您限制它,但某些信号仍会流动)和"可选诊断数据"(完整的浏览级别遥测,您可以关闭但默认开启)。微软发布数据字典,这比大多数操作系统供应商做得更多,但基线是"微软知道您在做什么"。
Copilot + Recall。 Recall(在具有 NPU 的 Copilot+ PC 上)每隔几秒钟截取您的屏幕,对其进行 OCR,并构建可搜索的本地索引。在 2024 年 6 月的安全反弹后,微软使其选择加入,加密了数据库,并要求 Windows Hello 身份验证来查询它。潜在能力仍然内置在操作系统中。每次主要更新都重新提出问题"Recall 真的仍然是选择加入吗?"除非您明确禁用该功能,Copilot 本身会将查询发送到 Azure OpenAI。
OneDrive 默认设置。 全新安装会静默地将您的文档、图片和桌面重定向到 %OneDrive%\ 并开始同步。数百万用户在没有有意识地决定上传文件的情况下将个人文件存储在微软的云中。
Edge + Bing。 默认浏览器将查询发送到 Bing。Edge 具有有用的隐私功能(跟踪器阻止、InPrivate),但其默认行为包括将 URL 发送到微软的 Defender SmartScreen。
您可以做什么。 Windows 11 是最可加固的操作系统,因为有太多要关闭的:
- 使用本地账户安装(专业版或家庭版上的注册表调整)
- 运行 O&O ShutUp10++ — 100 多个隐私开关的精选列表,具有"推荐"默认设置。应用在更新后仍然有效的组策略 + 注册表更改。
- 在安装期间禁用 OneDrive 设置,如果不使用则完全删除
- 用 Firefox 或 Brave 替换 Edge;将默认搜索更改为 DuckDuckGo、Kagi 或 Startpage
- 如果不使用,卸载 Cortana、Teams 消费者版和 Xbox 应用
- BitLocker(仅专业版)或 VeraCrypt(家庭版)进行 FDE
- 组策略:计算机配置 → 管理模板 → Windows 组件 → 数据收集
经过这一轮处理,Windows 11 可以变得大致与未修改的 Ubuntu 一样私密。持续的代价是在每次功能更新(20H2、22H2、23H2、24H2 各自重新引入了一些行为)后重新检查您的设置。
macOS Sequoia 15 — 隐私方面最佳商业 OS
macOS Sequoia 默认情况下明显比 Windows 11 更好,但"比微软更好"与"私密"不同。
苹果的遥测 — 分析、设备分析和 iCloud 分析 — 在欧盟(GDPR)的全新安装中默认关闭,在美国默认开启(您可以在设置 → 隐私与安全 → 分析与改进中禁用它们)。苹果发布他们的隐私政策并对设备处理做出具体声明,但您无法独立验证这些声明,因为操作系统是闭源的。
iCloud 默认设置。 如果您使用 Apple ID 登录,照片、联系人、日历和 iCloud Drive 默认同步。除非启用,否则 iCloud 中的消息是关闭的。高级数据保护(大多数 iCloud 数据的端到端加密 — 照片、备忘录、Drive、备份)是选择加入的,需要在您的所有设备上使用 iOS 16.2+ / macOS 13+。苹果在设置期间主动淡化它,因为启用它意味着如果您失去访问权限,苹果无法恢复您的数据。
Siri + Spotlight。 查询被发送到苹果进行解析。苹果说它们是匿名的且不与您的 Apple ID 关联。您可以在 Safari 中禁用"来自苹果的搜索建议"以阻止 URL 栏键入到达苹果服务器。
Apple Intelligence(2024 年添加)。对于较小的模型主要在设备上,但一些查询会发送到苹果的"私有云计算"基础设施。PCC 使用验证硬件和已发布的二进制文件——一个真正新颖的隐私架构。在欧盟是选择加入的,在其他地方也是选择加入的,截至 macOS 15。
Gatekeeper + 代码签名。 您运行的每个应用都会对苹果的公证服务进行签名检查。首次运行的应用使用开发者 ID 哈希回传 — 苹果可以(理论上)记录每个 Mac 正在运行什么以及何时运行。这是一个安全功能(捕获已知恶意应用),但有隐私成本。sudo spctl --master-disable 关闭签名强制,但不推荐。
优势。
- Apple Silicon + Secure Enclave = 强大的设备安全,绑定到硬件的生物识别解锁
- App Store 应用有隐私标签(开发者自我验证,但仍提供信息)
- 权限模型是严格的 — 应用必须在读取联系人、日历、相机、麦克风、位置之前询问
- FileVault(FDE)很容易启用并使用 Secure Enclave
- 没有强制的防病毒回传
劣势。
- 闭源 — 隐私声明是苹果的话
- iCloud 退出选项分散在设置面板中
- 高级数据保护设置有很大摩擦(苹果主动使启用变得更困难)
- 硬件锁定 — 如果您足够关心隐私来验证它,您可能想使用可以审计的 Linux
实用设置。 全新安装 → 拒绝可选分析 → 启用 FileVault → 如果您的所有设备都支持则启用高级数据保护 → 安装 Firefox → 在您决定确切要同步哪些类别之前不要登录 iCloud。
Ubuntu 24.04 LTS — 流行的 Linux
Ubuntu 是桌面上部署最多的 Linux 发行版,是一个合理的隐私基线。Canonical 在这个话题上有复杂的历史。
2013 年 Amazon lens。 在一个短暂的时期内,Ubuntu Unity 的 Dash 搜索将查询发送到 Amazon 以获取购物结果"镜头"。这引发了社区中长达数年的信任危机。该功能在 16.04 中被删除,Canonical 没有重复它。值得了解,因为它影响了长期 Linux 用户对 Ubuntu 的感受。
当前遥测。
- Ubuntu 报告 — 在安装期间发送的一次性、匿名硬件/软件摘要。选择加入;在运行之前您会看到提示。
- Apport — 崩溃报告。在发布版本上默认关闭;您按崩溃选择加入。
- Livepatch — 内核热补丁。选择加入;需要 Ubuntu Advantage 订阅。
- PopCon — 包流行度竞赛。默认关闭。
- Snap 遥测 — Canonical 的 snap 商店收集安装/更新计数。比浏览器遥测侵入性较小,但每次 snap 安装仍会调用 Canonical。
ubuntu-advantage-tools 提示屏幕。 最近的 Ubuntu 版本在您 SSH 或打开终端时添加了"motd"提示,宣传 Ubuntu Pro。烦人但不是隐私问题(没有出站数据)。通过在 /etc/default/ubuntu-advantage-tools 中设置 ENABLED=0 在 24.04 中删除或静音。
Snap vs apt。 Ubuntu 22.04+ 将 Firefox 作为 snap 包发布。snap 商店与 Canonical 的服务器通信;传统的 apt 包与您配置的任何镜像通信。如果"通过 Canonical 的一切"路由困扰您,要么切换到 ppa:mozillateam/ppa Firefox apt 包,或者直接从 flatpak 安装 Firefox。
优势。 开源、可审计、庞大的包选择、出色的硬件支持、22.04+ 中默认 Wayland、具有合理隐私默认设置的 GNOME 46。
劣势。 Canonical 的商业利益有时指向用户数据;如果您使用 snaps,Snap 遥测不可避免;"Ubuntu Advantage"品牌提示是可见的。
实用设置。 全新安装 → 拒绝 Ubuntu 报告 → 禁用 Apport → 禁用 PopCon → 用 apt Firefox 或 Flatpak 替换 Snap Firefox → 在安装期间启用 LUKS FDE → 带 uBlock Origin 的 Firefox。
Fedora 41 — 上游优先的 Linux
Fedora 是 Red Hat(IBM)的社区发行版,用作 RHEL 的上游。在隐私方面它与 Ubuntu 相似,但有一些差异。
没有 Canonical 等价物。 Red Hat / IBM 不向桌面用户宣传"Advantage"订阅;企业许可存在于 RHEL 而不是 Fedora。没有提示屏幕,没有强制升级提示。
默认遥测。 最少。Fedora 报告(硬件普查)将在 42 中引入——正在进行社区辩论,当前状态是选择加入。ABRT(崩溃报告)是选择加入;当崩溃发生时您会看到通知,可以决定是否提交。
默认 SELinux 强制执行。 这是一个安全功能,不是隐私本身——它包含进程级别的漏洞,因此被攻陷的应用无法读取您系统上的所有内容。Ubuntu 为了相同目的使用 AppArmor,但在更宽松的默认姿态中。SELinux 更严格。
Flatpak + dnf。 Fedora 的包管理器。Flathub flatpaks 与 Flathub CDN 通信(不是遥测信号,只是下载);dnf 与 Fedora 镜像通信。
Wayland 优先。 每个桌面版本(GNOME、KDE、XFCE 等)都将 Wayland 作为默认会话发布,它比 X11 在 GUI 应用之间有更好的隔离(应用无法截屏/键盘记录彼此)。
优势。 没有 Canonical 风格的商业模式,SELinux 强制执行,快速的上游跟踪(内核/Mesa/GNOME 都比 Ubuntu 新)。
劣势。 前沿可能意味着"由于驱动程序回归而出现故障";每个发布版 13 个月的支持周期 vs Ubuntu LTS 的 5 年。
实用设置。 全新安装 → 拒绝崩溃报告(第一次触发时您会得到提示) → 在安装期间启用 LUKS → Firefox 在 Fedora Workstation 上预装且不是 flatpak。
Linux Mint 22 — 最佳的默认隐私 Linux
Linux Mint 是 Ubuntu 的长期精简版。他们采用上游 Ubuntu LTS,剥离 Canonical 的添加,用 Cinnamon(或 Xfce / MATE)替换桌面,然后发布。您得到的是:
默认没有 Snap。 Mint 明确删除 snap 并阻止 apt 安装 snap 守护进程。Firefox 作为来自 Mozilla PPA 的常规 apt 包安装。没有提示屏幕。
没有 Ubuntu 报告,没有 ubuntu-advantage-tools。 Mint 禁用或卸载 Canonical 商业位。
没有遥测。 Mint 本身不会回传。崩溃报告是关闭的。更新管理器与 Mint 的镜像通信进行更新——标准包管理器流量——但不报告使用情况。
LMDE 回退。 如果您想要 Mint 的无 Canonical 版本,LMDE(Linux Mint Debian 版)使用 Debian Stable 作为基础。相同的桌面体验,不同的上游。
Cinnamon。 一个 GNOME 分支,优先考虑传统的类 Windows 桌面。比 GNOME 不那么"现代",比 KDE 不那么键盘驱动,但对从 Windows 切换的用户来说是可接近的。
优势。 任何主流发行版中最保守的隐私默认设置。庞大的社区。稳定。通过 Ubuntu 的基础获得良好的硬件支持。
劣势。 采用新技术较慢(截至 Mint 22,Wayland 仍然是选择加入的,默认为 X11)。Cinnamon 的贡献者比 GNOME 或 KDE 少。Ubuntu 上游意味着您继承 Ubuntu 的错误,只是不继承其遥测。
实用设置。 全新安装 → 在安装期间启用 LUKS → 更新 → 安装 Firefox(已经存在)+ uBlock Origin → 就这样。Mint 是"安装并使用"就能给您合理隐私姿态而无需进一步工作的发行版。
Qubes OS 4.2 — 隔离作为威胁模型
Qubes 在自己的类别中。Qubes 不是试图让一个操作系统更私密,而是假设任何单一系统都会被攻陷,并使用虚拟化隔离爆炸半径。
它的工作原理。 Qubes 通过 Xen 虚拟机监控器在裸机上运行。每个"VM"(在他们的术语中称为 qube)运行一个一次性 Linux 用户空间——通常是 Fedora 或 Debian 模板。当您点击电子邮件附件时,它在您关闭后销毁的 DisposableVM 中打开。您的银行业务在自己的 AppVM 中进行,只能访问您银行的网络。浏览随机链接在通过 Tor 路由的 Whonix-Workstation qube 中进行。
UX 成本。 qube 之间的复制粘贴需要明确的键盘快捷键(Ctrl+Shift+V)来确认传输。qube 之间移动的文件通过专用的文件复制对话框。您失去了普通操作系统的"一切都在同一桌面上正常工作"假设——但您获得了真正的安全边界。
安全属性。
- 工作 qube 中的浏览器漏洞无法到达个人 qube 中的文件。
- 被攻陷的 PDF 阅读器无法泄露您的加密钱包。
- 插入的 USB 拇指驱动器在专用的 sys-usb qube 中挂载——如果它装载了恶意软件,它会击中一次性 VM,而不是 dom0(可信控制域)。
- dom0 完全没有互联网访问;您实际上无法在 dom0 上运行浏览器。
硬件要求。 最少 16 GB RAM(Qubes 推荐 16 GB),实际需要 32 GB。快速 SSD(首选 NVMe)。带有 VT-x + VT-d 的 Intel CPU;特定笔记本电脑在硬件兼容性列表中(较新的 Thinkpad、Framework、System76 Oryx Pro)。
通过 Whonix 的 Tor 集成。 开箱即用,Qubes 配备 Whonix 模板——一个双 VM 设置,其中一个 VM 进行 Tor 路由,另一个运行您的浏览器,即使完全被利用,浏览器也无法学习真实 IP。除了 Tails 之外最佳的 Tor 架构。
优势。 高威胁用户的黄金标准安全模型。开源。斯诺登和高价值记者公开使用它。
劣势。 陡峭的学习曲线(2-4 周才能熟悉)。沉重的硬件要求。有限的硬件支持——特定的笔记本电脑列表而不是"大多数现代硬件"。没有商业软件;您只能使用 Linux 应用。
实用设置。 Qubes 自己的安装指南非常出色。为第一次安装和学习 qube 模型预留一个周末。配备兼容的笔记本电脑(检查他们的 HCL 列表——不要购买随机硬件)。
Tails 6.x — USB 上的失忆会话
Tails(失忆隐身实时系统)是一个基于 Debian 的实时操作系统,从 USB 启动并在关机时忘记一切。每个出站连接都被强制通过 Tor——如果应用中的错误试图进行直接连接,它会失败而不是泄露。
您如何使用它。 从 Tails USB 启动目标机器。使用它。重启。机器的硬盘从未被触及(除非您明确选择加入)。除了人类记忆之外,会话的任何痕迹都不会留在任何地方。
持久存储。 选择加入,在同一 USB 上,用 LUKS 加密。让您在重启后保留特定文件夹、Tor 网桥设置和简短的应用列表。其他一切保持失忆。
Tor 路由。 所有流量。没有"分割隧道",没有"基于域的豁免"。无法使用 Tor 的应用根本无法连接。这很严格,偶尔很烦人(一些视频会议中断,大多数银行网站阻止 Tor 出口),但这是安全属性。
优势。 设计上的失忆——放错地方的 USB 不会泄露您的会话。默认 Tor——没有办法意外泄露您的真实 IP。小攻击面——最小软件栈。由非营利组织维护良好。
劣势。 不是日常驱动。从 USB 启动较慢。软件选择故意有限。Tor 延迟破坏了许多商业服务。除非您选择加入,否则重启后没有持久的系统状态。
最适合。
- 穿越边境(在海关之前重启到正常操作系统)
- 会见新闻来源
- 研究不应与您的日常身份混合的敏感话题
- 任何"您现在在做的事情不得与您其余时间的身份关联"的会话
实用设置。 从 tails.net 下载 Tails,验证签名(关键),刷写到 USB ≥ 8 GB,从中启动目标机器(可能需要 BIOS/UEFI 调整)。如果您需要在会话期间运行 sudo 命令,设置管理员密码。
比较表
| 操作系统 | 遥测(默认) | 需要账户 | 开源 | FDE 默认 | 云默认设置 | 隐私评分 |
|---|---|---|---|---|---|---|
| Windows 11 家庭版 | 始终开启 + 仅退出选择 | 是(Microsoft) | 否 | 有时(自动设备加密) | OneDrive 开启 | ★☆☆☆☆ |
| Windows 11 专业版 | 通过组策略可减少 | 否(域加入选项) | 否 | 是(BitLocker) | OneDrive 开启 | ★★☆☆☆ |
| macOS Sequoia | 欧盟退出选择,美国默认开启 | 推荐(Apple ID) | 否 | 否(用户必须启用 FileVault) | 照片的 iCloud 开启 | ★★★☆☆ |
| Ubuntu 24.04 | 仅安装时选择加入 | 否 | 是 | 安装时可选 | 无(snap 遥测) | ★★★★☆ |
| Fedora 41 | 选择加入崩溃报告 | 否 | 是 | 安装时可选 | 无 | ★★★★☆ |
| Linux Mint 22 | 无 | 否 | 是 | 安装时可选 | 无 | ★★★★★ |
| Qubes OS 4.2 | 无 | 否 | 是 | 是(强制 LUKS) | 无 | ★★★★★ |
| Tails 6.x | 无 | 否 | 是 | 持久卷可选 | 无(Tor 路由) | ★★★★★ |
(星级是"遥测负担 + 闭源惩罚 + FDE 默认 + 云锁定"的粗略复合。不是唯一重要的事情——加固的 Windows 11 Pro 可能比马虎的 Ubuntu 安装更私密。)
我们按使用案例的推荐
1. 注重隐私的消费者,同时需要主流软件(Adobe、游戏、Office、Zoom 等)。 配合 BitLocker + O&O ShutUp10++ + Firefox + 本地账户的 Windows 11 Pro。或者为需要的应用双启动 Windows,为其他一切使用 Linux Mint。
2. 知识工作者、开发者、学生、作家。 配合 LUKS + Firefox + uBlock Origin 的 Linux Mint。Windows/macOS 工作流程的 90% 可以干净地映射到 Mint。LibreOffice 用于大多数文档,如果您需要更好的 Microsoft Office 兼容性则使用 OnlyOffice。
3. 使用 Adobe Creative Cloud 的内容创作者/设计师。 配合 FileVault + 高级数据保护 + Firefox 的 macOS Sequoia。macOS 上的 Adobe 支持是真实的;在 Linux 上很尴尬(Wine/Bottles 对一些应用有效,不是全部)。Apple Silicon 在视频工作上的性能确实是三个商业选项中最好的。
4. 处理敏感材料的记者/活动家/研究员。 在兼容硬件上日常工作使用 Qubes OS + 在 USB 上一次性高风险会话使用 Tails。如果可能,为"公共身份"vs"敏感工作身份"使用单独的物理设备。
5. 偶尔的高风险会话(穿越边境、会见消息来源、研究话题)。 在干净机器上启动的 USB 上的 Tails,之后关机。不要在不同风险场景之间重复使用 USB,除非清除持久卷。
6. 学习使用计算机的祖父母。 Chromebook 上的 ChromeOS 为了简单,或者如果有任何家庭成员可以进行初始设置则使用 Linux Mint Cinnamon。避免 Windows 11 家庭版——单是 Microsoft 账户设置就令人困惑,对于轻度用户来说清理工作不值得。
我们实际运行的
完全透露:ipdrop.io 团队运行混合——用于内容/设计/日常工作的 macOS,用于开发/敏感工作的单独机器上的 Linux Mint,以及抽屉里一年可能使用 3-4 次的 Tails USB。我们尊重 Qubes 但不日常使用——摩擦是真实的,我们的威胁模型不需要它。
无论您选择什么,最重要的隐私措施不是操作系统——而是启用全盘加密、使用密码管理器,并且不将敏感身份混合到您的日常浏览器中。操作系统选择是框架;习惯是图片。
相关
- 隐私检查清单 — 审计您账户的 20 个步骤
- 什么是 VPN? — 操作系统之上的网络隐私层
- 加密邮件 — Proton Mail、Tutanota、Mailbox.org 比较
- 加密文件存储 — Proton Drive、Tresorit、Sync.com 比较
- Proton Pass vs Bitwarden — 密码管理器深度对比