Windows 实用服务设置一览.doc

Windows 实用服务设置一览通常，在Windows系统启动后，会默认自动加载许多服务，当然其中大多数是系统运行所必需的，但也有部分是大多数用户根本用不到的，这些“无用”的服务，不仅大量占用系统资源，还有可能被黑客所利用，找到进入并控制我们系统的途径。下面我们以Windows XP为例，具体分析如何检查系统中启动的服务及探讨是否禁用相应服务的判断原则。一、认识Windows服务1.什么是系统服务在Windows2000/XP/2003系统中，服务是一种应用程序类型，在系统后台运行，与UNIX后台应用程序类似。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。Windows XP SP2共计79个系统服务：34个服务会自动运行，38个服务会在需要时启动，只有7个服务没有被激活。在多数情况下，有大约20个自动运行的服务是不必要运行的，关掉它们会提高系统运行效率和安全性。2.查看系统中运行的服务要查看系统中已启动的服务，我们可以在“开始控制面板管理工具”中双击“服务”，或者直接在“运行”中输入“Services.msc”打开服务设置对话框，如图1所示。在图1中，你可以看到每一个服务都有以下几个属性：名称、描述、状态、启动类型、登录身份、依存关系。比如Task Scheduler服务，其作用是“使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止，这些任务将无法在日程时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。”默认状态下，Task Scheduler服务的启动状态是“自动”，它会随着Windows的启动而启动。而在依存关系中，你可以看到它依赖于Remote Procedure Call (RPC)服务。Task Scheduler服务的可执行文件的路径是“C:WINDOWSSystem32svchost.exe -k netsvcs”，因此它在任务管理器中的进程名就是“svchost.exe”，由于有好几个服务都是用svchost.exe来调用的，因此你会在任务管理器中看到多个“svchost.exe”进程。3.服务的启动类型从启动方式上看，服务分为如下三种：自动：如果一些无用服务被设置为自动，它就会随系统一起启动，这样会延长系统启动时间。通常与系统有紧密关联的服务才必须设置为自动。手动：只有在需要它的时候，才会被启动。 已禁用：表示这种服务将不再启动，即使是在需要它时，也不会被启动，除非修改为上面两种类型。4.禁用服务的方式如果我们要关闭正在运行的服务，需要选中它，然后在右键菜单中选择“停止”命令即可。但是下次启动机器时，它还可能自动或手动运行。 如果服务项目确实无用，可以选择禁止服务。在右键菜单中选择“属性”命令，然后在打开对话框的“常规启动类型”列表中选择“已禁用”，这项服务就会被彻底禁用。如果以后需要重新启用它，只要在此选择“自动”或“手动”即可。二、必须启动的服务1.Application Management（应用程序管理服务）服务描述：提供软件安装服务，例如，分派、发行以及删除。从Windows2000开始，微软引入的一种基于msi文件格式的全新有效软件管理方案：程序管理组件服务。该服务不仅可以管理软件的安装、删除，还可以使用此服务修改、修复现有应用程序，监视文件复原并通过复原排除基本故障等。进程名称：svchost.exe -k netsvcs依赖本项的服务：NDIS Usermode I/O Protocol、Remote Procedure Call （RPC）运行方式：手动建议设置：自动2.DCOM Server Process Launcher（DCOM服务器进程启动服务）服务描述：Windows XP SP2新增服务，为DCOM（分布式组件对象模式）服务提供加载功能。关闭该服务会造成很多手动服务无法在需要时自动启动，将提示“RPC服务器不可用”。进程名称：svchost -k DcomLaunch运行方式：自动建议设置：自动3.Event Log（系统日志记录服务）服务描述：启用在事件查看器中查看基于Windows的程序和组件颁发的事件日志消息。进程名称：services.exe依赖本项的服务：Windows Management Instrumentation运行方式：自动建议设置：自动4.Plug and Play（即插即用服务）服务描述：使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。一般计算机中都需要即插即用环境的支持。进程名称：services.exe依赖本项的服务：Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio运行方式：自动建议设置：自动5.Remote Procedure Call（RPC）（远程过程调用服务）服务描述：系统级服务。提供终结点映射程序（Endpoint Mapper）以及其他RPC服务。进程名称：svchost -k rpcss依赖本项的服务：绝大部分服务均依赖于它。运行方式：自动建议设置：自动6.Windows Audio（Windows音频服务）服务描述：管理基于Windows的程序的音频设备。停止该服务系统将无声。进程名称：svchost.exe -k netsvcs依赖本项的服务：Plug and Play、Remote Procedure Call （RPC）运行方式：自动建议设置：自动7.Windows Installer（Windows安装服务）服务描述：系统级服务。添加、修改和删除以 Windows 安装程序（*.msi）的软件包提供的应用程序。该服务协助使用者正确地安装、设定、追踪、升级和移除软件程序，可管理应用程序建立和安装的标准格式，并且追踪例如文件群组、登录项目及快捷方式等组件，很多软件的安装都需要用到这个服务。进程名称：msiexec.exe /V依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：自动8.Windows Management Instrumentation（Windows管理规范服务）服务描述：提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。进程名称：svchost.exe -k netsvcs依赖本项的服务：Event Log、Remote Procedure Call （RPC）运行方式：自动建议设置：自动9.Workstation（工作站服务）服务描述：创建和维护到远程服务的客户端网络连接。如果该服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。进程名称：svchost.exe -k netsvcs运行方式：自动建议设置：自动三、推荐禁用的服务1.Fast User Switching Compatibility（多用户快速切换服务）服务描述：为在多用户环境下需要协助的应用程序提供管理。基于安全性考虑，并且不使用多用户环境，可停止该服务。进程名称：svchost.exe -k netsvcs依赖本项的服务：Terminal Services运行方式：手动建议设置：手动。2.Messenger（信使服务）服务描述：传输客户端和服务器之间的NET SEND和Alerter服务消息。此服务与Windows Messenger无关。该服务允许网络之间互相传送提示信息，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。可停止该服务。进程名称：svchost.exe -k netsvcs依赖本项的服务：NetBIOS Interface、Plug and Play、Remote Procedure Call （RPC）、Workstation运行方式：禁用建议设置：禁用3.NetMeeting Remote Desktop Sharing（NetMeeting远程桌面共享服务）服务描述：使授权用户能够通过NetMeeting跨企业Intranet远程访问此计算机。用户上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。基于安全性考虑，并且不使用NetMeeting的用户，可停止该服务。进程名称：mnmsrvc.exe运行方式：手动建议设置：禁用，除非你需要远程桌面求助或帮助别人4.Performance Logs and Alerts（效能记录日志及警示服务）服务描述：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，可停止该服务。进程名称：smlogsvc.exe运行方式：手动建议设置：禁用5.Remote Desktop Help Session Manager（远程桌面协助服务）服务描述：管理并控制远程协助。该服务用于管理和控制远程协助，对于普通用户来说，用处不大。基于安全性考虑，可停止该服务。进程名称：sessmgr.exe依赖本项的服务：Remote Procedure Call （RPC）运行方式：手动建议设置：禁用，除非需要使用远程协助6.Remote Registry（远程注册表服务）服务描述：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。基于安全性考虑，可停止该服务。进程名称：svchost.exe -k LocalService依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：禁用7.TCP/IP NetBIOS Helper（TCP/IP NetBIOS助手服务）服务描述：允许对“TCP/IP上NetBIOS （NetBT）”服务以及NetBIOS名称解析的支持。对于不需要文件和打印共享的用户，此项可以禁用。进程名称：svchost.exe -k LocalService依赖本项的服务：AFD 网络支持环境、NetBt运行方式：自动建议设置：禁用8.Telnet（远程登录服务）服务描述：允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户，包括基于UNIX和Windows的计算机。如果启用该服务，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则停止该服务。进程名称：tlntsvr.exe依赖本项的服务：NT LM Security Support Provider、Remote Procedure Call （RPC）、TCP/IP Protocol Driver运行方式：禁用建议设置：禁用9.Terminal Services（终端机服务）服务描述：允许多用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。基于安全性考虑，如果没有特别的需求，可停止该服务。进程名称：svchost -k DComLaunch依赖本项的服务：N/A运行方式：手动建议设置：禁用10.Universal Plug and Play Device Host（统一即插即用驱动主机服务）服务描述：为通用即插即用设备提供支持。该服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Windows XP系统的网络发送一个虚假的UDP包，就可能会造成这些Windows XP主机对指定的主机进行攻击。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的Chargen端口，就有可能使系统陷入死循环，消耗系统的所有资源。基于安全性考虑，可停止该服务。进程名称：svchost.exe -k LocalService依赖本项的服务：SSDP Discovery Service运行方式：手动建议设置：禁用四、其他服务1.Alerter（警报器）服务描述：通知所选用户和计算机有关系统管理级警报。一般家用计算机根本不需要传送或接收计算机系统管理来的警示（Administrative Alerts），除非你的计算机用在局域网络上。进程名称：svchost.exe -k LocalService依赖本项的服务：Workstation运行方式：禁用建议设置：非局域网用户禁用2.Application Layer Gateway Service（应用层网关服务）服务描述：为Internet连接共享和Windows防火墙提供第三方协议插件的支持。如果不使用Internet联机共享（ICS）提供多台计算机的Internet存取和Internet联机防火墙（ICF）软件，可停止该服务。进程名称：alg.exe依赖本项的服务：Internet Connection Firewall （ICF） / Internet Connection Sharing （ICS）运行方式：手动建议设置：使用第三方防火墙用户可禁用3.Automatic Updates（自动更新服务）服务描述：允许下载并安装Windows更新。在需要安装Windows更新时，打开该服务即可。进程名称：svchost.exe -k netsvcs运行方式：自动建议设置：手动。自己管理更新可禁用，用时打开4.Background Intelligent Transfer Service（后台智能传输服务）服务描述：在后台传输客户端和服务器之间的数据。启用该服务可使用闲置的网络频宽来传输数据。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：禁用5.Clipbook（剪贴板查看器服务）服务描述：启用“剪贴簿查看器”储存信息并与远程计算机共享。该服务可将剪贴簿内的信息与其他计算机分享，一般家用计算机根本使用不到该功能。进程名称：clipsrv.exe依赖本项的服务：Network DDE运行方式：禁用建议设置：禁用6.COM+ Event System（COM+ 事件系统服务）服务描述：支持系统事件通知服务（SENS），此服务为订阅组件对象模型（COM）组件事件提供自动分布功能。有些程序可能用到COM+组件，如系统优化工具BootVis。如果C:Program FilesComPlus Applications目录为空，可以把该服务关闭。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）、System Event Notification运行方式：手动建议设置：手动7.COM+ System Application（COM+系统应用程序服务） 服务描述：管理基于COM+组件的配置和跟踪。如果COM+ Event System是一台车，那么COM+ System Application就是司机，如事件查看器内显示的DCOM没有启用，则会导致一些COM+软件无法正常运行。如果C:Program FilesComPlus Applications目录为空，可以把该服务关闭。进程名称：dllhost.exe /Processid:02D4B3F1-FD88-11D1-960D-00805FC79235依赖本项的服务：Remote Procedure Call （RPC）运行方式：手动建议设置：手动8.Computer Browser（计算机浏览服务）服务描述：维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。一般家用计算机不需要，除非你的计算机应用在局域网环境中。进程名称：svchost.exe -k netsvcs依赖本项的服务：Server、Workstation运行方式：自动建议设置：手动。非局域网用户禁用9.Cryptographic Services（安装认证服务）服务描述：该服务提供3种管理功能：编录数据库服务，它确定Windows文件的签字；受保护的根服务，它从此计算机添加和删除受信根证书机构的证书；密钥（Key）服务，它帮助注册此计算机获取证书。该服务即微软的一种认证服务（Windows Hardware Quality Lab，WHQL），例如你使用Automatic Updates升级驱动程序，你就会需要该服务。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：手动10.DHCP Client（DHCP客户端服务）服务描述：通过注册和更改IP地址以及DNS名称来管理网络配置。使用DSL/Cable、ICS和IPSEC的用户都需要这个来指定动态IP。进程名称：svchost.exe -k netsvcs依赖本项的服务：AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP运行方式：自动建议设置：自动11.Distributed Link Tracking Client（分布式连结追踪客户端服务）服务描述：在计算机内NTFS文件之间保持链接或在网络中的计算机之间保持链接。该服务对于绝大多数用户来说，形同虚设，可以停止。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：禁用12.Distributed Transaction Coordinator（分布式交易协调器）服务描述：协调跨多个数据库、消息队列、文件系统等资源管理器的事务。一般家庭用计算机用不太到，除非你启用的Message Queuing。进程名称：msdtc.exe依赖本项的服务：Remote Procedure Call （RPC）、Security Accounts Manager运行方式：手动建议设置：禁用13.DNS Client（DNS客户端服务）服务描述：为此计算机解析和缓冲域名系统（DNS）名称。停止该服务后DNS解析会转移到各进程，因此想节省资源可手动甚至禁用。进程名称：svchost.exe -k NetworkService依赖本项的服务：TCP/IP Protocol Driver运行方式：自动建议设置：手动14.Error Reporting Service（错误报告服务）服务描述：服务和应用程序在非标准环境下运行时允许错误报告。启用该服务后，每当在使用微软软件时如果发生了错误，系统会自动将错误代码作为一个备份文件，并且询问你是否要把文件发送至微软以寻求帮助。该服务对于大多数用户来说用处不大。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：禁用15.Help and Support（帮助及支持服务）服务描述：启用在此计算机上运行帮助和支持中心。很少使用系统帮助的用户，可以停止。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）运行方式：自动建议设置：禁用16.HTTP SSL（HTTP安全套接服务）服务描述：Windows XP SP2新增服务。此服务通过安全套接字层（SSL）实现HTTP服务的安全超文本传送协议（HTTPS）。进程名称：svchost.exe -k HTTPFilter运行方式：手动建议设置：禁用17.Human Interface Device Access（人性化接口装置服务）服务描述：启用对智能界面设备（HID）的输入访问，它激活并保存键盘、远程控制和其他多媒体设备上的预定义的热键。例如，键盘上调音量的按钮就属于智能界面设备。如果没有此类装置，可以停止。进程名称：svchost.exe -k netsvcs依赖本项的服务：Remote Procedure Call （RPC）运行方式：禁用建议设置：禁用18.IMAPI CD-Burning COM Service（IMAPI CD刻录服务）服务描述：Windows XP整合了CD-R和CD-RW光驱上拖放的刻录功能，该服务用Image Mastering Applications Programming Interface（IMAPI）管理CD刻录。如果你习惯