none
建议微软为了安全问题做个取消了服务器和工作站功能的Windows 7 ClientCore。(相应于Windows 2008 ServerCore) RRS feed

  • 常规讨论

  • 由于大部分的个人电脑从来都不作为服务器或者工作站,所以ClientCore是很有意义的。
    服务器功能意味着更多可以被攻击被利用的漏洞和可能性。

    据说RPC远程代码执行漏洞从远古的NT Server时代就开始爆了,一直爆到了Windows 7 PreBeta
    几乎可以肯定已经发布了的Windows 7也一定会爆出此种漏洞。
    建议微软在ClientCore中将RPC使用的IP地址绑定到本地环路127.0.0.1。

    每台Windows 7电脑的IP动态端口映射开始部分几乎是一样的,这是一种安全隐患。
    建议微软在ClientCore中将IP动态端口范围(dynamicportrange)设定为随机范围(从49152到65535),512个端口几乎就足够了。

    建议取消LLMNR,这功能能让客户端当个DNS Server。

    建议取消Terminal Server。

    建议取消NetBIOS和NetBT,据说Tcpip已经完完全全的取代了NetBIOS和NetBT了。

    建议取消lmhosts,据说dns已经取代了lmhosts。

    建议取消W32Time,据说W32Time是在局域网内同步时间的服务。

    建议取消RemoteDesktopServer功能。

    建议取消NetLogon,这允许其他电脑在本电脑登录。

    建议取消Remote Registry,这允许本电脑的注册表被其他电脑修改。

    建议取消Telnet,这允许其他电脑使用Telnet在本电脑登录。

    建议取消System Event Notifier Service,这允许本电脑向其他电脑自动发送事件消息。

    建议取消Link-Layer Topology Discovery,这允许其他电脑向本电脑发送欺骗性的消息。

    建议取消Windows Remote Manager,这允许其他电脑远程控制本电脑。

    建议取消SMB,这允许本电脑与其他电脑共享数据。

    建议取消文件和打印机共享的功能。
    2010年2月27日 14:17

全部回复

  • 据说Windows病毒传播的途径只有三种:局域网工作站组件、自动播放和IE浏览器。

    消灭局域网工作站组件和自动播放,把IE运行在受限帐户里,不就没有病毒了吗!
    2010年2月28日 11:14
  • 据说Windows病毒传播的途径只有三种:局域网工作站组件、自动播放和IE浏览器。

    消灭局域网工作站组件和自动播放,把IE运行在受限帐户里,不就没有病毒了吗!

    这几乎不可能,你这样做是没有病毒了,但是很多企业应用都无法使用了,所以病毒的防范还应在于人,而不是阉割系统,这和Server Core的设计原理不同。
    2010年3月1日 3:51
  • 据说Windows病毒传播的途径只有三种:局域网工作站组件、自动播放和IE浏览器。

    消灭局域网工作站组件和自动播放,把IE运行在受限帐户里,不就没有病毒了吗!

    这几乎不可能,你这样做是没有病毒了,但是很多企业应用都无法使用了,所以病毒的防范还应在于人,而不是阉割系统,这和Server Core的设计原理不同。
    现在Ubuntu已经在电脑城炸了锅了,已经有越来越多的人要求安装Windows和Ubuntu双系统,而且Windows下的网卡驱动要被禁用。

    如果Windows无法发布适应现实需求的版本,则可能会被历史淘汰。。。。。。
    2010年3月1日 12:51
  • 我们不能因噎废食,把这些功能去掉了,恐怕会有更多的人提出意见希望恢复某某功能。另外,微软是致力于解决Windows相关的安全问题的,从不断发布的补丁,应该也能看到我们对此的态度,不是封杀,而是不断改进。


    据说Windows病毒传播的途径只有三种:局域网工作站组件、自动播放和IE浏览器。

    消灭局域网工作站组件和自动播放,把IE运行在受限帐户里,不就没有病毒了吗!

    想必以前也有不少用户因为磁盘,U盘感染病毒,只是目前尚未看到有提议说取消PC上的USB接口,放弃U盘,以彻底杜绝此类病毒的传播,呵呵。USB从1.0到3.0也是不断的在改进和壮大。我想这样的积极处理问题的态度才是趋势。而我们也正是这样做的。谢谢。
    Sean Zhu - MSFT
    2010年3月3日 1:42
    版主
  • 据说Windows病毒传播的途径只有三种:局域网工作站组件、自动播放和IE浏览器。

    消灭局域网工作站组件和自动播放,把IE运行在受限帐户里,不就没有病毒了吗!

    这几乎不可能,你这样做是没有病毒了,但是很多企业应用都无法使用了,所以病毒的防范还应在于人,而不是阉割系统,这和Server Core的设计原理不同。
    现在Ubuntu已经在电脑城炸了锅了,已经有越来越多的人要求安装Windows和Ubuntu双系统,而且Windows下的网卡驱动要被禁用。

    如果Windows无法发布适应现实需求的版本,则可能会被历史淘汰。。。。。。

    企业用户没有要装Ubuntu的,至少我没有发现。Windows会被历史淘汰,呵呵,,危言耸听了吧,10年后看看吧。至少就我看来,你说要废除的功能我全部都需要,没有废除的理由,而我的系统也没有象你说的那样天天中毒,相反我有快2年没有重新安装过系统了,怎么解释呢?你觉得企业用户会去电脑城买软件吗?去电脑城的大多是个人用户,很多Windows功能本来就是他们用不到的,家庭用Windows7有个专业版就足够足够了。如果只是上网聊天,我承认Ubuntu系统可以取代Windows,但是使用Windows系统的用户,有多少是仅仅上网聊天的呢?企业应用始终是Windows系统经久不衰的重点。

    另外多说一点,你说的很多功能是可以通过组策略(不用解释吧)和对服务的控制来取消的,也就是说你完全可以根据你的需要来进行系统的部分定制,没有必要要求微软去开发一个专门的什么Clientcore来。我认为可定制性才是微软要加强的部分,而不是开发什么精简版的所谓Clentcore,因为你不用的功能不能等于大家都不需要。你说呢? 从企业应用和可定制性来看,我实在看不出一点Ubuntu系统能取代Windows的迹象,恕我等愚昧。
    2010年3月5日 14:37
  • 没有必要
    linux在桌面想取代windows,要走的路还很长

    2010年3月6日 2:15