告别 Windows 10 与微软迈向监控国家的步伐
近日,安全弹性未来基金会发布了一份通讯稿,呼吁微软将Windows 10的支持期限延长至10月14日截止日之后。
随着Windows 11的发布,数据隐私面临的威胁已达到前所未有的严重程度。在近期文章《反用户时代的Windows转Linux历程回顾]》中,我讲述了转向Linux如何让我免于为便利牺牲自由。
无论您是企业用户还是家庭用户,我要告诉您:在多数情况下,Linux 都是 Windows 的真正替代方案。与其在奥威尔式噩梦边缘不断推迟行动,我建议我们现在就考虑转向 Linux。
微软对Windows 11的设计令人担忧,原因如下:
- 受微软施压,电脑制造商在新品中设置TPM和安全启动等人为限制。这些冗余附加功能迫使消费者进行不必要的硬件升级1。
- 新购消费级电脑的安装流程存在语言混淆。许多默认选项旨在迷惑用户,诱导其选择与厂商共享数据的选项:
- 将OneDrive设置为数据备份的流程。未经用户同意,该配置会将所有用户数据迁移至云端服务,并将所有用户文件夹重定向至专属OneDrive云文件夹,此操作极难撤销。
- 浏览器选择流程被微软Edge浏览器设置所混淆
- AI工具Co-pilot在未经用户同意的情况下被安装并启用,且难以或无法卸载。
- 即将推出的历史记录追踪工具“Recall”会将用户操作快照保存至微软OneDrive云端。该功能看似便利,实则将与其他特性共同推动监控体系的建立。
- Windows 11阻止用户彻底卸载多项内置功能。这些功能虽可从单个账户移除,但在更新过程中或升级电脑时会未经许可自动重新安装。
- 微软通过多种手段混淆选择,强制用户使用Edge浏览器替代原有浏览器。
鉴于上述问题,我将向客户推荐在自组新机时采用Linux替代方案。若Linux无法满足需求,您仍可要求安装Windows。
适用于Windows的Linux发行版替代方案
- Zorin OS:提供类Windows体验,需现代硬件支持
- PopOS:专为游戏玩家打造的开箱即用系统
- Ubuntu:全能型桌面系统,需现代硬件支持
- Elementary OS: 面向极简主义用户 5. MX Linux:十年老牌发行版,兼容各类硬件
若您当前使用的Windows电脑令您不满,此刻正是拥抱Linux自由的最佳时机。
注意事项
Linux与Windows的桌面环境存在差异,需使用不同程序才能访问您的数据。请注意:若您是资深用户或游戏玩家,由于开发者在软件产品中采用供应商锁定策略,部分软件或游戏可能无法运行,或需替换为替代方案。以下为当前无法兼容的典型场景不完整列表。若对此类问题存疑,欢迎留言交流,我们将针对您的具体使用场景及相关成本进行深入探讨:
- Adobe云产品 – 参考替代方案
- 大多数反作弊专用游戏
- Microsoft Office和Outlook – Office替代方案:WPS,LibreOffice;Outlook替代方案:Thunderbird(对Office 365服务支持有限;建议将联系人、日历及邮件迁移至IMAP托管邮件服务商)
- QuickBooks – 需采用在线托管替代方案
- Turbotax – 需采用在线托管替代方案
- 微软利用其在PC市场的垄断地位,迫使硬件制造商采用TPM 2.0等安全硬件进行改造,通过此类技术将用户锁定在反消费者软件产品中,剥夺了用户的自由选择权。基于我的直接观察,我阐述了这些变化对技术未来的影响。^
本文文字及图片出自 Retiring Windows 10 and Microsoft's move towards a surveillance state
这仅适用于已具备相当计算机经验的用户。对绝大多数人而言,Linux将带来难以逾越的挑战,最终只会引发严重挫败感。
作为日常使用Linux的用户,我必须指出:它尚未准备好面向大众。一旦普通用户试图进行任何定制操作,就会陷入困境。
除首点外我完全认同文章观点:TPM和安全启动既不限制用户选择,也不助长政府或企业监控。若要防范根套件,安全启动不可或缺;若需存储无需用户密码解锁且无法通过拆机窃取的机密数据,则必须配备TPM——或采用功能相当的替代方案。
我认为安全启动功能实际上扩大了用户选择权:符合Windows徽标认证的PC必须默认安装微软信任根,但微软并未止步于此——这类设备还必须允许用户自行安装信任根。微软本可省略此项要求。当然,大型企业和政府采购方可能坚持此类需求,但他们完全可以(不失普遍性地)说服戴尔等厂商提供定制服务。然而微软却要求所有PC都必须支持该功能,结果是任何希望利用安全启动的用户,只要愿意费心安装自有信任根并签名启动映像,都能实现这一目标。
> 我认为在安全启动方面,微软实际上促进了用户选择权:符合Windows徽标认证的PC默认需安装微软信任根。微软本可止步于此,但他们并未如此。
但安全启动初期的部署并非如此,当时它与锁定BIOS相结合,使某些设备只能启动Windows 8。当时的Windows RT ARM设备便是如此。
如今要重新锁定设备,只需翻转一个位或熔断电子保险丝即可。手机和平板电脑已实现这种控制。
此外,存在滥用TPM或加密协处理器强制实施远程验证的真实风险。
我作为认同你首段观点且在所有设备启用安全启动+TPM的人士,特此说明。
> 此外,存在滥用TPM或加密协处理器强制实施远程验证的真实风险。
大家必须真正理解这个问题。远程验证技术一旦被滥用,将一夜之间终结自由计算。
安卓系统的Play Protect/Integrity功能已实现远程验证,微软的Pluton协处理器同样具备此功能
s/if/when/
若无法向第三方证明你正在使用TPM和安全启动,或无法证明它们被特定配置(即远程验证),这些技术本应是好事。正是这种可能性削弱了用户选择权,助长了政府与企业的监控行为。
问题在于,由于整个设计及固件均属封闭体系,其安全性近乎为零——即便对固件设备映像(如选项ROM)进行封装亦然,更遑论引导程序。目前已发现多个安全漏洞。
使用标准Windows引导加载程序启动根套件根本不成问题——除非手动通过命令行或组策略封装映像。即便如此,仍可通过安装全新引导加载程序绕过防护,因为映像完全相同,擦除后仍能启动。
表面看这些只是安全特性,我并不否认,但整个行业正利用这些特性构建设备验证系统,以此锁定平台并集中掌控软件生态。
若关键应用和网站拒绝在其上运行,安装其他操作系统便毫无意义。
>若关键应用和网站拒绝在其上运行,安装其他操作系统便毫无意义。
这场战役早已败局已定。看看那些只提供应用程序、拒绝推出网页版本的公司就知道了。
我不认为战局已定,但趋势确实不容乐观。
老实说我只遇到过一家纯应用公司。当时正巧在他们转型期间,否则我绝不会注册。
那是我常去的本地健身房,他们解雇前台员工改为纯应用访问,更糟的是应用里充斥着追踪器。不用说,我再也没去过那家健身房。
它在金融科技公司中颇受欢迎,尤其是新兴企业。例如Robinhood在推出网页版本前,曾有数年仅提供应用程序服务。Revolut理论上虽有网页版本,但功能远不及移动应用。餐厅订餐和优惠“应用”也常仅限于移动端。
我认为若相关功能发生变化,确实可能形成这种局面。或许我该更新相关表述,但从消费者选择角度看,这些解决方案仍显得供应商专属,未受开放组织监管。
您完全正确,手机领域就存在这种现象——未经厂商许可的程序根本无法启动。
这些都是该淘汰的旧式自由软件基金会(FSF)陈词滥调,却依然顽固存在。
没错,前几天就有人发消息问我:“Windows 11在我的电脑上运行不了,该怎么办?”…我建议他们试试Linux。他们主要上网和玩纸牌游戏。Linux自带的游戏数量远超Windows,而且游戏里还不会捆绑广告!
我为公众和小型企业提供IT解决方案。我认为Windows 11的改动旨在配合机构构建监控体系。
因此我决定在为客户组装电脑时推广Linux替代Windows。若您有推广建议,请务必告知。
若真要这么做,请为他们配置能获得商业支持的系统。
依我之见,若用户需求可由Chromebook满足,那么Linux+浏览器+邮件+Zoom等工具组合已足够适用。
但若客户依赖Office或其他Windows独占软件,推广将面临困境。即便初衷良好,若无法运行其习惯的软件,反而可能造成困扰。
> 啰嗦啰嗦Chromebook啰嗦啰嗦
何必等待大规模监控和远程监控?今天就能拥有!!! 😀
对,我正考虑ZoroOS。他们有专业版套餐。
用Wine在Linux上运行Office?
可惜Wine只能运行旧版Office
务必包含LibreOffice和UBlock Origin。让他们见识更快的运行速度、更少的广告,以及无需订阅微软就能撰写文档的优势。
企业客户或许该知道:Linux数据库成本低得多,尤其适合中小企业。
上周与某自动化公司交谈时,对方坦言:“每次数据库逼近10GB就得删除大量数据,否则就要向微软付费。”
况且Linux系统本身也无需许可证费用。
对于数百名员工的企业,若微软系统已根深蒂固,这些方案或许不可行;但对小型企业而言绝对是更优选择。
> 确保包含LibreOffice
这话可能不得人心,但根据我的经验,在Linux迁移过程中强迫非技术人员使用LibreOffice,会让他们迅速产生抵触情绪。
实际使用中,Google文档的友好度明显更高。LibreOffice某些特性确实难以赢得非技术用户的共鸣。
说得对,不能强推。新版系统确实可用,但新手可能感受不到。至于LibreOffice…嗯,那又是另一回事了。
深表赞同。向非技术用户推广Linux需要缓坡过渡,而非悬崖跳水。LibreOffice的界面如同时间胶囊,更像考古学标本而非生产力工具。多数千禧一代会以为自己误开了飞行模拟器。
OnlyOffice或许是更优选择——其界面与MS Office相似,且相比LibreOffice拥有更出色的MS Office文件格式兼容性。
从未听闻OnlyOffice,但看起来确实很有潜力。稍后我会深入研究,即便它完全基于网页应用,速度也不可能比LibreOffice更慢…
我无法想象用LibreOffice替代企业级MS Word。我尊重这个项目及其复杂性,但它连轻量级专业用途都难以胜任。
例如最近我用LibreOffice提交遵循标准格式[0]的稿件。要求很基础,仅需基本专业功能。
实现方式只能通过修改全局默认页面样式(因为自定义样式无法应用于封面页?),还需调用其他高级功能。姑且算合理,至少能实现。可惜导出时格式全毁且页码混乱。
最终只能转用谷歌文档修改稿件,操作起来轻松多了。
[0] https://www.shunn.net/format/story/1/
程序员反正都用Markdown或LaTeX;几乎没人对开发办公套件感兴趣。这完全是件毫无回报的工作。
我用typst。
几个月前我从谷歌文档转用LibreOffice。没想到LO居然这么不稳定,十年前试用时就觉得问题不少,现在似乎毫无改进。虽然不打算回归微软或谷歌产品,但LO电子表格的bug实在令人抓狂,所以我尽量保持表格结构简单,并且疯狂按CTRL-S保存!
例如:[1] 最近我通过点击拖拽选中一组单元格,松开鼠标后所有选中单元格竟整体向上右移了一格,Ctrl+Z也无法撤销![2] 在工作簿中复制含图表的表格时,图表会变成空白,只能删除后重新插入。[3] 有时左侧X轴会莫名截断一半,新建文档后问题消失。我真心想推广LO,但它实在太不稳定。我能忍受这些问题,但其他人恐怕不会。
我主要用LO的文字处理器,体验相当满意。但电子表格方面我百分百支持Gnumeric——它稳定可靠,比Excel本身更少bug,对Excel公式和格式的支持甚至优于微软自己的网页版客户端。
若必须使用电子表格,我首选Gnumeric。虽无确凿证据,但整体感觉它更少出错。
我不建议在客户设备上部署uBlock。至少要先了解他们的工作流程。启用广告拦截后,大量SaaS网站会出现功能异常。
我个人设备运行火狐+UBO+隐私卫士组合,近几年仅因工作需求在B2B SaaS应用中暂时禁用过隐私扩展。几年前我在公司将UBO推送到用户设备(Win10上的Chrome),引发大量用户问题。最终不得不禁用该扩展,对我们而言并未带来净收益。这并非“开启后无需管”的工具,用户遇到问题时往往不会想到或记得尝试关闭扩展并刷新页面。
话虽如此,为微软支付10GB容量限制的数据库费用在我看来简直荒谬,但我确实看过他们的价目表。我也接触过许多没有内部IT团队的小企业,他们最终往往为这类糟糕的服务支付了过高费用。
但愿这次Win11迁移能促使更多MSP和顾问将中小企业转向Linux——微软对企业客户的掠夺性定价已持续太久,如今随着大量工作迁移到浏览器端,切换系统的难度远低于往年。
我几乎不会遇到uBlock的问题,通常是NoScript搞砸了操作流程
如果用户连“在需要使用的网站上开启uBlock”这个双击操作都记不住,说明当初讲解时根本没用心听,只需补个基础操作培训就能解决。
说起来容易做起来难。我们聘请会计师正是因为他们精通专业领域。他们掌握着我缺乏的知识与经验,某些对他们显而易见的事物,我可能根本不知晓或早已遗忘。
把责任推给低级用户(LUsers)并调侃“是你的问题,不是电脑的问题”(pebkac)确实轻松,我也欣赏《黑客帮》式的幽默,但说真的——当NetSuite抛出晦涩错误或运行异常时,并非所有人都记得那30秒培训里教过的“进入这个菜单关闭扩展”操作。我认为对他人保持同理心更为重要——并非所有人都像计算机那样思考,他们无法将“API调用错误的乱码提示”与“两个月前IT人员提过的'网站加载异常需关闭某项功能'”建立关联。
并非为其辩护,但为澄清事实:受限于10GB容量的是SQL Server Express(免费版本)。他们刻意控制在该限额内,正是为了避免向微软付费——当然Windows系统许可费另当别论。
感谢澄清。若我解读微软混乱的定价表无误,升级到标准版的年费是989美元。这涨幅对多数企业而言绝对是预算大项。迁移到其他数据库引擎通常并非易事,但维持数据库在容量限制内更像是件麻烦事,还容易误删重要数据。真不羡慕得处理这事的人。
仅传统SQL领域就有sqlite、mariadb/mysql、postgres等多种选择。更别提其他类型了… 8)
变革的时刻到了。VMware把自己推入了困境,而微软似乎执意要用W11的系统要求疏远大批用户——这简直是史上最离谱的A/B测试。
我正在处理一些大客户的项目…
我还会尝试OnlyOffice、FreeOffice/Softmaker、Collabora和WPS,看看哪款与Office文档兼容性最佳。
依我看,若真需要Office,干脆直接用Windows算了。
没错。最近试用LibreWolf浏览器,发现它预装了Ublock广告拦截器。打算设置宽松隐私选项后安装。LibreOffice肯定会默认启用。
选择合适的发行版并尽可能自动化更新。Mint对Windows用户最友好,但他们永远永远永远永远不会主动更新任何东西。
永远不会。
永远。
或者用Fedora配合kickstart/修改过的atomic基础镜像/可启动容器。
确实需要考虑有效的更新自动化方案…
选用支持原子更新的发行版,首选Aurora[1]这类不可变系统。更新过程自动化且不会破坏系统。即便极少数情况下出现问题,也可直接通过启动菜单回滚至前一版本,无需任何复杂命令或技术干预。
[1] https://getaurora.dev/
“自动化更新”
可通过cron定时任务在凌晨时分唤醒设备执行“apt update && apt upgrade && apt autoremove && shutdown -r now”。
Debian官方部署的apt本身就支持通过cron实现自动更新,这是更优方案。请查阅/etc/apt/apt.conf.d/目录下的配置文件。
我正考虑在系统构建时部署远程维护包,但担心每半年手动更新的周期是否过长。这样若系统故障,必要时可直接前往客户现场修复。
我听说TurboTax要转向纯网页模式,但或许仅限个人用户而非企业版?
他们怎么可能创造出已存在的东西?
你该考虑自己作为企业使用Linux安装的行为可能涉及许可问题。
若免费推广、协助安装或提供资源,通常没问题。但销售预装Linux的系统,至少需要标注来源。
好的,感谢提醒。我会去查证。
别费心了——根本搞不清你父母在搞什么名堂。
Linux内核采用GPL 2协议——这意味着你可以随心所欲地使用它。若你做了修改,分享出来会更理想,请务必分享。
Linux发行版通常采用类似许可。核心理念是:你所做的积极改进应惠及所有人。
这正是GNU通用公共许可证的宗旨:若你使用我们的开源资源并进行增补,也应公开你的修改成果。
这很公平!
那么如果有人将我们免费提供的资源打包到新组装的系统中,以加价方式销售(如同常规商业行为),只要未提及GPL2及其对最终用户的影响,就不构成问题。
“积极改进成果应共享给所有人”这一理念尚未广泛普及。至少现在,发帖者应该清楚这个条件。
你似乎熟悉GPL2条款,那么当有人将发行版封装到光盘或U盘中牟利销售时会怎样?这也是需要警惕的。
能否具体说明你认为存在哪些隐患?为何认定这是问题?仅提出这类疑问并不能有效警示风险。我们应当直截了当,避免传播不确定性和疑虑。
为中小型企业提供IT与软件开发服务。上月因紧急项目未能完成迁移,但我们正在将公司几乎所有系统迁移至Linux。用户90%的工作在浏览器中完成,其余10%使用我开发的内部应用。该应用在Linux上运行良好,因为我的工作机多年来一直使用Linux系统。
我们将保留少量Mac设备和2台Win11机器,其余设备均将迁移。
由于邮件、文档和云端硬盘都使用谷歌生态系统,我将直接部署Chrome而非LibreChromium。既不想处理用户配置文件问题,况且他们本就能访问所有数据。说实话,我完全预期会有不少用户甚至不会察觉操作系统已更换。
过去一年我一直在使用Ubuntu衍生系统(Pop_OS),体验出乎意料地好。需要说明的是,在此之前我已有十年左右的Mac+部分Windows桌面使用经历,更早还有大量Linux使用经验——因此我正经历着十年间的系统体验对比。
令我着迷的事物:
– 处理照片时,darktable的表现令人惊喜。作为Lightroom用户,这大概是我最大的意外发现。
– GIMP一直很出色,如今更是精益求精。
– LibreOffice足够优秀,完全能满足日常需求。虽然怀念Keynote,但这并非不可逾越的障碍。
– Dia 绘制图表完全够用,虽然怀念 OmniGraffle。
– 注意我竟没有怀念任何 Windows 应用。倒是怀念 Mac 应用(Keynote 和 OmniGraffle)。
– 任何涉及网络的功能都运行顺畅。
– Linux 笔记本的休眠/唤醒比 Windows 更稳定,但仍不及苹果 M 系列硬件的表现。
– Linux笔记本的续航优于Windows,主要因为Windows会在休眠时唤醒设备——若关闭Windows笔记本并断电携带,数小时后电池就会耗尽。Linux不存在此问题。
– 开发流程令人惊叹。比起其他平台,我更愿在Linux上编程。
– 系统纯净无垃圾软件和烦人广告软件,体验极佳。
– 绘制图表时,draw.io是不错的替代方案
– Photoshop用户不妨尝试Photopea,它比GIMP更适合。若坚持使用Adobe生态,也可选择Photoshop Express/Online。
如今Draw.io已成为我跨平台的首选工具。本科和硕士期间所有图表设计都靠它完成。
我欣赏OmniGraffle,但个人认为它不值那个价——毕竟Draw.io本就是免费工具。尤其考虑到OmniGraffle不支持跨平台,实在难以说它比Draw.io高出150-250美元的价值。
除上述优质发行版外,Debian稳定版也是值得考虑的选择:
https://cdimage.debian.org/debian-cd/current/amd64/iso-dvd/d…
桌面环境有多种选择,您可在启动安装镜像时选择安装(后续也可增减组件,登录时更改偏好设置)。
其中外观最精美且操作直观(对使用过95版后任何微软Windows系统的用户而言)的是Cinnamon桌面环境。其他桌面环境大多默认风格相似,唯独当前默认的Gnome环境在设计上略显创意,但操作逻辑不够直观。
我主机采用Debian稳定版+Gnome。仅使用少量原生应用(Linux均可获取),其余多为网页应用。我曾不喜Gnome桌面,但现代版运行迅捷、精简高效,且不会干扰操作。
作者提及迁移Windows用户,故建议选用他们熟悉的方案。
Cinnamon桌面虽沿用了大量Gnome组件,但其开始菜单和任务栏等元素比默认Gnome桌面更符合Windows用户的操作习惯。
> 我建议客户转向Linux而非升级Windows 11 (scottrlarson.com)
但标题却玩起了诱饵式营销……
> 告别Windows 10与微软迈向监控国家的动向
至少遵守HN的标题规范就能省去我忍受“recomming”这种拼写错误的痛苦。
抱歉,我本想向Hacker News读者阐明转换原因。
我肯定会后悔的,总会有变故让我高喊“去你的Win11!”。但目前用Windows 11专业版(从Win10专业版升级而来),几乎没察觉差异。
或许因为是专业版而非家庭版?或许因为我设置了两个用户配置文件:安装系统时需用微软账户登录的账户,以及日常使用的本地账户。我几乎记不清上次使用另一个账户是什么时候了,可能是在升级Windows 11时吧。
我并非为微软开脱。我不得不深入设置关闭所有能找到的选项,还得折腾半天才能阻止系统在每次按Win-E(或Win-W)时弹出安装Exchange的提示——我经常按这个组合键,因为在Mac和Win系统都用同一键盘,而Win-W对应Cmd-W(打开新窗口)(注:Powertoys功能)。所以没错,我确实骂过它。不过后来找到了解决办法。
除此之外,目前系统基本不会干扰我,运行也相当流畅。实在很难察觉太多差异。是因为我用的是专业版?还是因为使用本地账户?抑或是运气使然?不得而知。但至少说明,目前使用它还是可行的。
听起来你还没达到“为摆脱系统干扰而进行配置”的临界点。这终究是每个人的个人选择。
Windows 10最终因安装后需修改大量默认设置而超出我的忍耐极限,更糟的是每次更新补丁后又得反复调整。这发生在Windows 10刚发布不久,而此前Windows 8那怪诞的混合界面已让我深感厌恶——它接替了堪称Windows巅峰之作的完美Windows 7。
我转投Pop! OS阵营,过去五年间在台式机和笔记本上都享受着它的服务。
将TPM和安全启动称为“人为限制”并不公平。许多Linux发行版都能完美兼容这两项技术,它们确实具有重要价值。
问题不在于它们的存在或Windows 11的支持,而在于微软假装它们是 必需的——而事实并非如此。
> 问题在于微软假装它们是必需的
我认为这就是“人为限制”的含义:微软在它们并非必需时强行宣称其必要性。
我不使用Windows,偶尔借用他人电脑体验时反而觉得它有些荒谬…
但TPM和安全启动是否成为软件要求,本质上是微软的选择。若其软件基于操作系统能访问可信硬件的安全假设,那自然构成必要条件。有人或许会主张微软应推出安全版与非安全版Windows,但我认为这不过是空谈,没人会当真。
假设硬件具备基本可信度确实有诸多优势。但弊端在于,你可能不愿让微软掌控你设备上何为可信的定义。若真如此,你大概也不希望微软在你的设备上拥有根权限,此时选择其他操作系统才是明智之举。
我理解你的观点,但实在觉得没必要。依我之见,这些功能本质上是在剥夺用户对自购硬件的控制权。
若真要增强计算机安全性,就该采用可选机制,而非强迫不需要的人使用。
没错,它们能提供难以验证的安全启动链。我曾任职的公司就用TPM加密保护磁盘密钥(例如通过TrouSrS实现)。
它们还常被用作(较慢的)硬件随机数源。
多数现代英特尔(8系列起)和AMD Zen架构处理器均支持fTPM。通常可在升级时通过BIOS启用,后续再禁用。
我个人在Win11发布当天就升级了,但纯粹为了延续免费使用微软系统的传统——我仅用它运行游戏,且频率正逐渐降低。
我注意到他列举“可能无法适用”的场景时遗漏了Teams。我超过半数收入都来自只用Teams的客户。对此我并不满意,但这恰恰是微软近乎垄断地位的又一体现。
我知道这不属于Stackoverflow范畴,但…有人能提供清晰的 思维模型 来厘清全盘加密与安全启动的区别吗?我正为此事严重拖延着台式机新SSD的安装。
具体场景如下:
* 双系统启动:通过BIOS/UEFI选择现有Win10分区或新Linux分区
_ 完全不需要_ 无人值守*启动,宁愿每次输入密码。
* 抵御恶意女仆攻击虽好,但相比防盗并非首要需求。
* 希望能在设备故障时取出硬盘在别处访问数据,而非必须重新格式化并从备份恢复。
* 若初始安装时禁用安全启动,后续能否为获取安全优势而启用?反之亦然?
我赞同slicktux的建议:尝试OPAL加密方案,其配置和使用都比LUKS简单得多。最棒的是加密过程对操作系统透明,因此可在多系统间自由启动,无需担心加密兼容性或分区工具等问题。
但硬盘必须支持OPAL,可参考sedcli管理自灭磁硬盘。
微软放弃OPAL/SED支持是因为厂商搞砸了加密机制导致其形同虚设。具体情况具体分析。
OPAL本就是对操作系统透明的,微软根本无需关注。我在ThinkPad Z13上用OPAL2加密硬盘同时运行Win11、Linux和GhostBSD,毫无问题。
既然是SSD,默认就已启用加密。只需设置用户和管理员密码,即可实现全盘加密!
可通过BIOS/UEFI设置HDD/SSD密码,或(我推荐的方法)使用HDPARM —SECURITY命令。
那么如果你取出硬盘,可以在另一台电脑上解锁它——只要直接连接且UEFI支持在POST阶段解锁HDD/SSD;若不支持,可在运行Linux的硬盘上安装预启动认证(PBA)来解锁,解锁后通过PBA重启即可作为普通未加密硬盘使用。
建议研究HDPARM和OPAL标准以实现全盘加密。
关于Windows双系统启动无法给出建议。据闻Windows更新会频繁覆盖自定义EFI变量设置,并恢复Windows启动加载器等组件。
除此之外,FDE与安全启动无关联。
主板UEFI将加载EFI二进制文件,该文件可能是内核+初始化文件系统(UKI二进制),也可能是您选择的引导程序(该引导程序随后加载内核+初始化文件系统)。根据发行版不同,您可能已使用经微软第三方CA签名的引导程序(如grub或systemd-boot),且主板已支持该第三方CA——此时无需自行生成密钥签名。否则需:生成自有密钥、配置安全启动,再用这些密钥签名UKI二进制文件/引导程序二进制文件。
该初始化文件系统将负责定位并挂载根分区等目录。对于采用UAPI可发现分区规范的systemd发行版(此处使用根分区专属类型ID),systemd内置cryptsetup目标会通过终端提示输入该分区的LUKS密码。其他情况请查阅发行版的初始化文件系统选项实现方式。
>* 双系统启动:我在 BIOS/UEFI 中选择启动现有 Win10 驱动器或新 Linux 驱动器。
grub 和 systemd-boot 均会显示菜单,供用户选择要链接的可用 EFI 二进制文件。
>* 我希望在设备故障时能取出硬盘在其他设备上访问数据,而非必须重新格式化并从备份恢复。
任何其他电脑都能像原始电脑那样,通过cryptsetup挂载并解密该驱动器——只要使用相同的密码。
>* 若在禁用安全启动的状态下安装发行版,后续能否为获取安全优势而启用?反之亦然?
可以。你需要启动主板的UEFI界面,将SB状态设为“设置模式”,启动操作系统后生成并注册新密钥,此时SB将转入“用户模式”并在下次启动时开始强制签名验证。若出现故障,可通过主板UEFI界面将SB设回“设置模式”,启动操作系统后进行故障排查/重新注册密钥。操作系统不会在意您先前启用过SB,但当前以禁用SB状态启动。
请注意:安全启动≠可测量启动。在标准可测量启动配置中,磁盘加密密钥由板载安全元件(如TPM)通过测量启动链进行保护——当启动链与先前测量值匹配时磁盘自动解密,不匹配时则自动解密失败。您担忧的磁盘解密失败问题适用于此机制,而非安全启动本身。此外,LUKS加密分区可配置多重解锁密钥,既可设置受测量启动保护的加密密钥,也可配置手动解锁磁盘的应急备用密码。
安全启动功能可随时启用或禁用,唯一影响是可能丢失与测量值绑定的加密密钥。
要有效防范恶意保姆攻击,必须将LUKS密钥绑定至安全启动。但您既可绑定密钥,又可为LUKS密钥设置强密码。
在我们公司,我很想把剩余的Windows设备迁移到Linux,但常有软件只能在Windows上运行。如今Wine的兼容性如何?比如能否运行CAD软件?
CAD工作站是我们公司少数坚持使用Windows而非迁移到Linux的设备。我们是Autodesk用户,半年前我在Debian系统上测试Fusion效果欠佳。尝试过Proton和Wine,两者都存在运行问题:虽能启动,但打开中等复杂度的装配体时卡顿严重,CAM模块更频繁崩溃。其他软件的兼容性则无法从个人经验中判断。
话虽如此,在ondsel变更合并后,FreeCAD的家用体验已大幅提升。我曾使用Fusion 360的免费许可证进行个人项目,六个月前转投FreeCAD。七八年前初次尝试时体验极其糟糕,但如今的版本确实相当出色。学习门槛不高,且尚未遇到该程序无法实现的功能。作为业余CAD工具,我用它进行3D打印、数控铣削和手工加工的图纸制作。坦白说,相比Fusion360,Freecad让我少受挫感——它更能“退居幕后”,专注于设计本身。不过我毕竟是软件开发和IT背景,不确定它是否适合商业用途。我当然没强迫工程师们更换工具,但他们的工作站已预装Win11系统,我不得不进行精简优化。
以下是AppDB上CAD应用及其评分列表:https://appdb.winehq.org/objectManager.php?sClass=category&i…
关键往往在于“厂商是否提供支持”而非“能否运行”。
厂商支持即便在最佳状态下也多半形同虚设。我更关心的是“能否运行”。
此刻看到这个帖子真有意思,恰逢我对Windows的忍耐已达沸点。微软对客户展现的敌意与轻蔑实在令人费解。这些问题还只是冰山一角——他们根本无视用户实际需要这些产品开展工作和业务,却频繁强制更新破坏系统,只为迫使你接受他们那些监控类臃肿软件。今天我深切感受到,回首此刻,这将成为压垮骆驼的最后一根稻草。
即便我对隐私问题毫不在意,仍想重申几天前说过的话:
我母亲的电脑因自动更新Windows 11彻底报废。系统无法启动,转圈后提示需进入修复模式,而修复模式毫无作用。
我最初以为是硬盘损坏,但父母存放着大量从未备份的无价文件。于是我指导父亲用USB启动Ubuntu系统[1],挂载NTFS分区后运行smartctl检测,硬盘未报告任何错误。又执行了其他命令,依然没有异常。最终通过rsync将文件同步到家庭服务器,数据得以保全。初步推测是Windows更新团队未充分验证CPU兼容性,可能调用了母亲这台老旧笔记本未支持的新指令集。
在劝说父母转用Linux未果后,我指导他们使用微软官方镜像和硬盘刷写工具制作了Windows 11启动盘,最终成功安装系统——目前看来运行完全正常。
我的推测是:负责构建Windows更新的团队搞砸了某个启动密钥,导致系统安装失败。要么就是他们认定我妈该买新电脑了。
Windows 11完美运行反而更让我恼火——不仅意味着父母不会转向Linux,更说明这台电脑根本不该变砖,纯粹是Windows更新服务的彻底无能。必须强调:这并非盗版Windows 11,而是直接从微软官网下载、用官方工具刷入的纯净系统,我们未作任何改动——说明原版Windows 11完全正常。我强烈怀疑遭遇此问题的绝非我母亲一人,而多数受害者既没有软件工程师子女,最终恐怕只能被迫购买新电脑。
说真的,这次强制更新究竟会产生多少电子垃圾?
[1] 到底为什么没有官方的“Live USB”版Windows?我说的是正版系统,不是什么盗版货!为什么修复Windows的最佳方案竟要借助Linux?
我觉得这个方案不错,虽然可能有些麻烦。
我那张普通的AMD显卡在Linux下完全无法工作。试过多个发行版及其不同版本,也尝试过Linux和AMD官方驱动,屏幕就是随机闪烁。该去哪里求助?谁知道呢?
Framework的新款AMD芯片组也出现过这种情况。一次固件更新后有所改善,随后内核6.12?我认为彻底修复了。当时运行近乎完美,但内核6.13或6.14又搞砸了。;-)
我很好奇它运行NetBSD或OpenBSD的效果如何…你测试过吗?
我不指望用户会这么做,但你是否已在kernel.org上为amdgpu驱动提交了错误报告?
AMD的内核开发者在那里的响应速度极快,我曾与他们合作修复过许多遇到的错误。
建议尝试你所用发行版的论坛或Discord频道。LinuxQuestions.org和“Linux for All” Discord群组适合咨询跨发行版通用问题。
具体是哪款显卡?若早于火山岛架构(2015年),当前amdgpu驱动对老旧型号支持有限,需使用仍兼容旧版ATI驱动的发行版。相关文章推荐MX Linux用于老旧设备。Arch Linux虽可实现兼容,但需要更高技术门槛。
升级显卡或换新卡?是老旧型号导致支持有限吗?
我懂你的感受,我的爱普生WF打印机至今还有打印问题。
我有一台装Win10的笔记本,正犹豫是彻底断网保留Win10系统,还是升级Linux。但不确定升级这台200美元的Thinkpad Carbon x1是否值得折腾,或许直接换新机更划算。我还有台Windows 7笔记本,虽然很少开机,但每次启动都会涌起怀旧之情。这台Win10机器的运行状态令我满意,真希望能延长它的使用寿命,可惜这恐怕无法实现。唯一确定的是,我绝不会升级到Windows 11,微软和我这个用户就此分道扬镳。
在ThinkPad上装Linux或BSD就搞定了。我至今每天都在用ThinkPad X230和T480/A485,运行Linux和BSD系统。
放手去做吧(升级到Linux)。我的T480s至今仍是出差首选笔记本(丢了也不心疼——用户目录加密,且能连续播放视频/运行网页应用5-7小时),而工作用的Windows 11笔记本两小时就没电了。
我可能也会给父母推荐同样的方案。
二十年前Ubuntu是新手入门Linux的首选,现在依然如此吗?
遗憾的是Ubuntu已沦为Linux世界的Windows——这绝非褒义。
除非你想成为父母永不间断的IT支持,否则我建议选择用户友好的不可变/原子化发行版,比如Aurora[1]。Aurora采用KDE界面,多数Windows用户会感到熟悉。其不可变特性极大降低了系统崩溃风险,并采用原子化更新机制(更新要么完全生效要么完全失败,不会出现导致系统崩溃的半吊子状态)。即便极少数情况下系统崩溃,你也能直接从启动菜单回滚到前一版本,无需手动执行任何回滚命令。我70岁的母亲也在用Aurora,从未出过问题。
[1] https://getaurora.dev/
根据我的经验,普通用户(非资深技术人员)基本不可能搞砸Linux系统。标准权限机制能阻止他们做出愚蠢操作,而他们本身也不具备造成危害的技术能力。
关键在于,常规Linux发行版在更新时最易出问题——尤其是Ubuntu及其衍生版本[1]。我年迈的母亲毫无技术背景,过去十年一直使用Linux系统。她用过Xubuntu、Mint和Zorin——这些系统原本运行良好,直到更新导致崩溃(这只是台普通的戴尔Optiplex台式机,搭载英特尔集成显卡)。因此几年前我为她切换到Aurora系统,至今运行稳定如磐石。
正因如此,我向新手推荐不可变/原子化发行版,尤其当安装者不愿成为用户全天候技术支持时。
[1] https://ounapuu.ee/posts/2025/02/05/done-with-ubuntu/
或许15年前的Windows是这样。但如今使用Ubuntu的体验,远比不上当前Windows那么糟糕。
你现在或许这么觉得,但等到需要dist-upgrade升级系统时就知道了… https://ounapuu.ee/posts/2025/02/05/done-with-ubuntu/
最近可能用Linux Mint。
Mint太棒了!用了好几年,开箱即用毫无问题
我不会排除像Rocky Linux或AlmaLinux(或其他基于RHEL的发行版)这类系统,只要安装了Gnome或KDE桌面环境即可。它们能获得长达10年的内核和操作系统安全更新,必要时既可使用其仓库中的Firefox,也可通过Flatpak或Snap获取更新版软件包。
Canonical坚持将Firefox等软件打包为Snap格式,这有时会引发奇怪的问题。若由我决定,我会避免使用任何Snap软件,因为它们可能带来麻烦。
许多客户在Windows 11发布前就已从Windows转向Linux。为支持他们,我们必须为大量C# .NET桌面应用提供Linux等效版本。
经过多方案评估,pyQT + nuitka组合实现了可靠的跨平台效果(可轻松适配基于Debian和企业版Linux的发行版),同时仍能为Windows用户提供支持。
他们想逼我买新电脑?在这种经济形势下?
自2010年以来首次将Ubuntu作为日常系统使用,我完全不讨厌它。
虽然考虑过其他桌面环境,但这个既简单又熟悉。所有功能都完美运行…这还是我用Linux的第一次体验。
建议从Windows 10升级到XP或7。那些漏洞早就被摸透了。
标题应为:《告别Windows 10与微软迈向监控国家的步伐》
能修改吗?
我在HN上说过十遍,现在再说一遍:发布一个名为“Windows Optimal”的版本,实现零遥测、零追踪器、零臃肿软件,在现代硬件上运行速度超越Windows 7。就算定价翻四倍,我也心甘情愿买单。
自2000年代初便开始使用Linux,却始终无法完全摆脱Windows或Mac的束缚。
长期困扰我的问题在于:日常应用更新时,一个有缺陷的库文件就可能导致程序彻底失效。多数应用依赖关系错综复杂,而Linux应用开发者数量不足,难以提供优质支持。
年轻时囊中羞涩,我有大把时间折腾Linux机器,费尽心思让系统恢复正常。如今我只求操作系统稳定运行。若非Windows,我会推荐Mac。
> 长期困扰我的问题在于:日常应用更新时,某个库文件出错就可能导致程序彻底报废。多数应用依赖关系错综复杂,而Linux应用开发者数量有限,难以提供完善的技术支持。
不可变/原子发行版已彻底解决此问题。整个系统以单一镜像形式整体升级,所有依赖冲突均由服务器端处理(存在问题时镜像构建将直接失败)。而用户应用大多通过Flatpak或其他方式(如Homebrew/Nix等)安装,因此你永远不必像传统发行版那样受制于依赖关系问题。
若想获得“开箱即用”的发行版,请选择不可变+原子化发行版(如Aurora、Bazzite等)。当然前提是你拥有兼容硬件。
这篇精彩文章既是时代缩影,也令人遗憾未将Mint列入Linux选择清单——它本质上是去掉Snaps的Ubuntu。Snaps作为Ubuntu的半闭源项目,与Linux开放精神相悖。
Linux用户可安装自由软件套件LibreOffice,它不仅能替代Office,还能读写相同文件格式。类似选择不胜枚举,此举仅为一例。
游戏玩家可在Linux上安装免费的Steam游戏兼容层,畅玩与Windows平台相同的众多游戏。
与此同时,微软近期强制要求用户注册微软账户,并强推“云端回忆”监听功能且不设用户退出机制,这清楚表明微软认为客户不应拥有选择权。
以下是当前Windows系统中本应可选却无法由终端用户控制的特性:
* 强制要求微软账户
* 未经知情同意的用户追踪与遥测
* 需专业技术才能禁用的云存储追踪服务OneDrive
* 将桌面图像上传至云端的“回忆”功能(实质是微软大规模监控)
* 无法禁用或卸载的Edge浏览器
* 反直觉的用户界面,用户无法掌控。
* 无处不在的广告。
Linux 解决了这些常见痛点,且完全免费。
我使用 Linux 已三十年。目前仅保留一台双系统电脑,既为协助朋友解决 Windows 问题,也为体验多数人认定的“正常终端用户电脑体验”。
背景补充——我的第一台电脑是1977年的Apple II,因此我对个人计算的定义或许显得与时代脱节(https://www.atariarchives.org/deli/cottage_computer_programm…)。
对苹果而言也是巨大机遇。
如果问题在于操作系统供应商对硬件选择的过度干预,那么苹果的机遇何在就难以理解了。
苹果从未真正试图争夺企业桌面市场,该领域利润率过低。
正是如此。谷歌和微软才是该领域的双雄,苹果产品始终游离于企业云生态的边缘。
我以前用Wine运行Office。现在不行了吗?
旧版还能运行,但2019年后的版本会卡顿——最新M365版本就别想了。
所幸OnlyOffice是相当不错的替代方案,对MSO格式兼容性极佳。还有Office网页版,如今已是可靠选择(除非你是需要宏/VBA等功能的高级用户)。
感谢您坚持正义之战。我最担心的是您会疏远部分客户——普通用户总认为隐私保护是怪人的专利。虽然我没有小型企业电脑维修经验,但作为中立第三方,这只是我的直觉判断。
请先明确客户的实际痛点。若隐私并非其关切重点,仅凭此理由说服他们更换PC操作系统并不妥当。
说得有道理。感谢指点。您说得对,我会设计评估问卷,确保将客户需求置于首位。
我觉得有必要从长期使用角度解释Windows 11的负面变化——广告推送、强制绑定服务、OneDrive默认激活将用户数据迁移至云端、LLM技术干扰用户体验等问题。虽然最终选择权在客户手中,但至少让他们清楚自己将面临什么。
我觉得有必要让符合条件的客户(那些Linux能满足其使用场景的客户)知道,由于微软正在制造桌面体验的摩擦,Linux能提供更优质的体验。
普通用户不认为隐私是怪人的专利,这是技术圈试图为监控用户辩护的梗。
普通人其实渴望隐私,却认为保护隐私太难——他们觉得自己太笨搞不懂,就算搞懂了也未必有效,更担心会因此失去不可或缺的工具。他们往往是对的,因为他们比自己想象的更聪明,而整个行业正全天候地与他们作对。许多人的收入(包括这个网站上的)都依赖于让普通用户保持无知。
难道没人觉得,对一个发布多年、与旧版几乎毫无区别的操作系统更新做出这种反应很奇怪吗?
根本不存在“召回”机制。副驾驶功能并未强行推送,因此移除它并非当务之急。Edge浏览器并非强制安装,它只是捆绑软件的一部分——就像几十年来每个Windows系统里的一大堆其他组件一样。虽然刻意移除这些组件或脱离生态系统确实会很麻烦,但消费者根本不在乎,而且这些东西大多不会强行出现在他们眼前。
若非企业版Windows 11用户,微软会频繁重置浏览器、SVG、PDF等默认应用——我最近一周就遭遇两次。正是这个导火索让我彻底放弃微软。
若从企业视角衡量“Windows不烦人”,这根本无法公平对比普通消费者和家庭用户承受的体验。
更别提强制升级和重启功能,这些操作根本无法轻松禁用。
1995年我经营着一家小公司。我们免费提供Slackware Linux系统,并为有意尝试的客户提供免费培训和安装服务。当Windows 95发布时,我用一台486DX 50MHz的电脑同时运行Windows 95和Linux——Linux比Windows 95更稳定。它也优于OS/2,但当时还无法在Linux下运行DOS和Windows程序。
选择Linux的用户对此感到满意,但他们始终是少数群体。
如今Windows 11的系统要求让大量PC面临淘汰,除非安装Linux系统。
就在过去两个月,我因对Win10的不满而将家用系统切换至MX Linux。
Win11绝对不行,我保留一台装Win10的笔记本仅用于少量游戏。近期甚至可能尝试用WINE运行游戏,只是还没着手准备。
试试Valve的Proton。只要游戏不受内核级反作弊限制,基本都能运行。遇到特殊情况时,ProtonDB能提供所需的魔法咒语。
若你的游戏在Steam平台,Steam Flatpak运行效果极佳。
“升级 到Linux”