微软官方服务详解卷(doc 70页).doc

系统服务更新日期： 2006年07月17日系统服务的介绍方式不同于本指南中的其他设置，因为所有服务的漏洞、对策及潜在影响的说明几乎都相同。首次安装 Microsoft Windows Server 2003 或 Microsoft Windows XP 时，某些服务被安装和配置为在计算机启动时默认运行。其默认服务与 Windows 2000 Server 中的相比要少一些，对于 Windows Server 2003 来说，某些特定服务将依照分配给每个服务器的角色而相应改变。在您的环境中，可能并不需要所有的默认服务，应将任何不需要的服务禁用以增强安全性。本章将帮助您了解每项服务的功能和目的，并解释了哪些服务在 WindowsServer2003 和 WindowsXP 中保持启用，以确保应用程序兼容性、客户端兼容性，或者便于计算机系统的管理。Microsoft Excel 工作簿“Windows 默认安全和服务配置”（本指南的可下载版本附带）说明了默认系统服务设置。本页内容服务概述服务必须登录才能访问操作系统中的资源和对象，并且大多数服务都没有被设计为更改其默认登录帐户。如果更改默认帐户，该服务很可能将失败。如果选定帐户没有作为服务登录的权限，Microsoft 管理控制台 (MMC) 服务管理单元将自动为该帐户授予在计算机上作为服务登录的能力。但是，此自动配置并不能保证启动服务。Windows Server 2003 包括三个内置的本地帐户，分别用作各系统服务的登录帐户：本地系统帐户。本地系统帐户功能强大，它可对计算机进行完全访问，并作为网络中的计算机工作。如果某项服务使用本地系统帐户登录到域控制器，则该服务可访问整个域。某些服务被默认配置为使用本地系统帐户，不应更改。本地系统帐户没有用户访问密码。本地服务帐户。本地服务帐户是一种特殊的内置帐户，类似于经身份验证的用户帐户。它与 Users 组的成员具有相同级别的资源和对象访问权限。这种限制性访问有助于在个别服务或进程受损时保障计算机安全。使用本地服务帐户的服务使用有匿名凭据的空会话来访问网络资源。此帐户的名称为 NT AUTHORITYLocal Service，它没有用户访问密码。网络服务帐户。网络服务帐户也是一种特殊的内置帐户，类似于经身份验证的用户帐户。类似于本地服务帐户，它与 Users 组的成员也具有相同级别的资源和对象访问权限，能够帮助保障计算机安全。使用网络服务帐户的服务使用计算机帐户的凭据来访问网络资源。此帐户的名称为 NT AUTHORITYNetwork Service，它没有用户访问密码。重要：如果更改默认的服务设置，重要服务可能不能正常运行。如果更改配置为自动启动的服务的“启动类型”和“登录为”设置，务必要小心谨慎，这一点特别重要。您可以在组策略对象编辑器的下列位置配置系统服务设置：计算机配置Windows 设置安全设置系统服务漏洞任何服务或应用程序都是潜在的攻击点。因此，应该禁用或删除环境中任何不需要的服务或可执行文件。Windows Server 2003 有一些附加可选服务（如 Certificate Services），它们不在操作系统的默认安装过程中安装。重要：如果启用附加服务，它们可能依赖于其他服务。将特定服务器角色所需的所有服务添加到该角色在组织中执行的服务器角色策略中。对策禁用所有不必要的服务。对于每项系统服务，都可以通过组策略为其分配一种服务状态。这些组策略设置的可能值为：自动手动已禁用没有定义管理服务安全性的另一种方式是，配置一个每项服务都具有用户定义的帐户列表的访问控制列表 (ACL)。此方法提供了一种控制服务的启动和对正在运行的服务进行访问的方式。潜在影响如果某些服务（如安全帐户管理器）被禁用，将不能重新启动计算机。如果其他关键服务被禁用，计算机可能不能向域控制器验证身份。如果您想要禁用某些系统服务，应先在非生产计算机上测试该设置更改的影响，然后才在生产环境中进行更改。 不要在服务对象上设置权限有一些基于图形用户界面 (GUI) 的工具可用于编辑服务。但是，Windows 操作系统早期版本（Windows Server 2003 之前）中包含的以前版本的这些工具可以在配置某项服务的任何属性时将权限自动应用于各项服务。如组策略对象编辑器和 MMC 安全模板管理单元等工具均使用安全配置编辑器 DLL 来应用这些权限。例如，当您使用 MMC 安全模板管理单元在 Windows XP 中配置服务的启动状态时，系统将显示以下对话框：图 7.1 服务安全性对话框不论是单击“确定”或是“取消”，权限都将应用到正被配置的服务。很抱歉，此对话框中列出的权限与 Windows 中包含的大多数服务的默认权限不匹配。事实上，这些权限会导致许多服务出现多种问题。Microsoft 建议不要更改 Windows XP 或 Windows Server 2003 中包含的服务的权限，因为默认权限的限制性已非常严格。此项功能在 Windows Server 2003 中已发生更改，且其安全配置编辑器 DLL 的版本不强制在编辑服务属性时必须配置权限。针对这种富有挑战性的情况，可以有多种不同的处理选择：使用安全配置向导，它是 Windows Server 2003 Service Pack 1 (SP1) 中包括的一个可选 Windows 组件。Microsoft 建议您在需要针对多种 Windows Server 2003 服务器角色配置服务和网络端口筛选器时，使用此方法。在运行 Windows Server 2003 SP1 的服务器上运行 MMC 安全模板管理单元和组策略对象编辑器。Microsoft 建议当您需要为将应用于 Windows XP 的安全模板或组策略配置服务时，使用此方法。使用文本编辑器（如记事本）在运行 Windows XP Professional 的计算机上编辑安全模板或组策略。此方法是最少用到的，但某些客户可能必要这样选择。下面部分将详细说明。手动编辑安全模板尽管可使用文本编辑器（如记事本）来手动编辑它们，但安全模板是很复杂的文件。如果未使用正确定义的模板规范来创建安全模板，可能会使计算机无法启动。尽管大多数类型的错误不会导致这类严重问题，但是如果需要手动编辑安全模板则必须小心并注意细节。当使用其中一种基于 GUI 的工具来配置安全模板时，配置信息存储在文件的“Service General Setting”部分。以下示例文本来自于某个安全模板，在此模板中 Alerter、ClipBook和 Computer Browser 服务的启动状态都已配置为“已禁用”，而 DHCP 客户端服务的启动状态都已配置为“自动”。Service General Setting Alerter,4,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD) ClipSrv,4,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD) Browser,4,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD) Dhcp,2,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD)每个条目的格式均包括以逗号分隔的三个字段。第一个字段指示服务名称。例如，ClipSrv 表示 ClipBook 服务。第二个字段定义启动状态：4 指定“已禁用”3 指定“手动”2 指定“自动”第三个字段以安全描述符定义语言 (SDDL) 定义服务对象的权限。使用安全配置向导并不必要理解 SDDL 的详细信息。有关 SDDL 的详细信息，请参阅 MSDN 上关于的文章，网址为 /library/en-us/secauthz/security/security_descriptor_definition_language.asp。要解决服务对象的潜在权限问题，可以删除第三个字段中的 SDDL 字符串，但保留一对双引号标记。以下示例显示四项引用服务的正确文本：Service General Setting Alerter,4, ClipSrv,4, Browser,4, Dhcp,2,在删除安全模板中所有服务的 SDDL 信息后，保存文件。然后可以通过任何典型方法应用安全模板。当然，在将安全模板应用到生产计算机之前，对其进行充分测试是极其重要的。 系统服务描述下面各小节介绍了 Windows Server 2003 和 Windows XP 服务（按字母顺序）。包括默认安装的服务以及可添加到计算机的附加服务。注意：如果某项服务没有启动，则依赖于该服务的其他服务也将无法启动。因此，如果更改某项服务的状态，可能会影响其他看起来不相关的服务。这种依存关系存在于本部分介绍的所有服务中。要检查某项服务的依存关系，在 MMC 服务管理单元的服务属性对话框中单击“依存关系”选项卡。AlerterAlerter 服务通知选定的用户和计算机管理警报。可以使用此服务向连接在您的网络上的指定用户发送警报消息。警报消息可提醒用户与安全、访问和用户会话等相关的故障。警报消息从服务器发送到客户端计算机，Messenger 服务必须在客户端计算机上运行，用户才能接收警报消息。（默认情况下，Windows XP 和 Windows Server 2003 中的 Messenger 服务被禁用，以使恶意用户无法发送错误通知。）如果 Alerter 服务已关闭，使用 NetAlertRaise 或 NetAlertRaiseEx 应用程序编程接口 (API) 的应用程序将无法通过 Messenger 服务显示的消息框通知用户或计算机发生了管理警报。例如，很多不间断电源 (UPS) 管理工具使用 Alerter 服务向管理员通知与 UPS 相关的重要事件。如果要使用此服务，应将其启动状态配置为“自动”，以使外部组件在需要时可以使用它。Application Experience Lookup ServiceApplication Experience Lookup Service(AELookupSvc) 是应用程序兼容性管理器的一部分。它在应用程序启动时为应用程序处理应用程序兼容性查找请求，为域中的 Windows Server 2003 计算机提供支持，报告兼容性问题，并将软件更新自动应用到程序。Application Experience Lookup Service 必须处于活动状态才能应用应用程序兼容性软件更新。不能自定义此项服务，操作系统内部使用它。此服务不使用任何网络、Internet 或 Active Directory 目录服务资源。如果禁用 Application Experience Lookup Service，服务将继续运行但不会对服务进行调用。您无法停止实际进程。Application Layer Gateway ServiceApplication Layer Gateway Service 是 Windows 网络子系统的子组件。它为允许网络协议穿越防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口并更改数据包中嵌入的数据，如端口和 IP 地址。文件传输协议 (FTP) 是唯一的网络协议，它在 Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 中有相应的插件。ALG FTP 插件经设计，可以通过 Windows 中包含的网址转换 (NAT) 引擎来支持活动的 FTP 会话。要达到此目的，ALG FTP 插件将穿过 NAT 的、目标为端口 21 的所有通信重定向到环回适配器上范围为 3000-5000 的专有侦听端口。然后 ALG FTP 插件监视/更新 FTP 控制通道上的通信，以便 FTP 插件可以通过此 FTP 数据通道的 NAT 来探测到端口映射。FTP 插件还会更新 FTP 控制通道流中的端口。如果停止 Application Layer Gateway Service，所引用的协议的网络连接将不可用，而且会对网络产生反面影响。例如，如果禁用此服务，Windows Messenger 和 MSN Messenger 即时消息应用程序将失败。Application ManagementApplication Management 服务提供各种软件安装服务，例如“分配”、“发布”和“删除”。它处理枚举、安装和删除通过组织网络部署的应用程序的请求。在加入域的计算机控制面板的“添加或删除程序”中单击“添加”时，程序将调用此服务来检索部署的应用程序列表。使用“添加或删除程序”安装或删除应用程序时，也会调用该服务。如果组件（如 shell 或 COM）请求安装应用程序以处理文件扩展名、组件对象模型 (COM) 类或计算机中不存在的 ProgID，系统同样要调用该服务。服务在首次被调用时启动，启动后永不终止。注意：有关 COM、COM 类或 ProgID 的详细信息，请参阅软件开发工具包 (SDK) 信息，该信息位于 MSDN 库中的“”页面上，网址为 /windows/reskits/webresources 上（页面可能为英文）。如果 Application Management 服务停止或被禁用，用户将无法安装、删除或枚举通过 Microsoft IntelliMirror 管理技术在 Active Directory 中部署的应用程序。如果禁用此服务，系统将无法检索已部署的应用程序信息，此信息也无法显示在控制面板“添加或删除程序”的“添加新程序”部分。“从网络添加程序”对话框将显示下面的消息：网络上没有可用的程序。如果不重新启动计算机，则在此服务启动后无法停止它。如果不需要此服务且不希望启动它，则必须禁用它。ASP .NET State ServiceASP .NET State Service 为 ASP.NET 的进程外会话状态提供支持。ASP.NET 有所谓的会话状态概念，会话状态是一组与客户端会话相关联的值列表，它可通过“会话”设置从 ASP.NET 页中获取。有三个选项可用于存储会话数据：进程内、Microsoft SQL Server 数据库和进程外会话状态服务器。ASP.NET State Service 存储进程外会话数据。此服务与运行在使用套接字的 Web 服务器上的 ASP.NET 进行通信。如果此服务停止或者被禁用，将不会处理进程外请求。此服务的可执行代码在默认情况下安装，但是服务本身被禁用，除非手动将其启动类型更改为“自动”或“手动”。Automatic UpdatesAutomatic Updates 服务允许下载并安装 Windows 和 Office 的安全更新。它自动为 Windows 计算机提供最新的更新程序、驱动程序和增强功能。您无需手动搜索安全更新和信息，操作系统可将它们直接传送到计算机中。操作系统可识别您联机的时间，并使用 Internet 连接通过 Windows Update 服务搜索可用的更新。根据具体的配置设置，该服务或在下载前、安装前通知您，或服务将自动安装更新程序。可以通过“控制面板”中的“系统”设置关闭“自动更新”功能。或者，也可以右键单击“我的电脑”，然后单击“属性”。也可以使用 MMC 组策略对象编辑器管理单元来配置 Intranet 服务器，该服务器使用 Windows Server 更新服务配置为宿主 Microsoft Update 站点中的更新内容。此设置允许您指定网络上的一台服务器，使其充当内部更新服务提供者角色。自动更新客户端将搜索此服务，以查找适用于您网络中的计算机的更新。注意：有关 Windows Server 更新服务的详细信息，请参阅网站，网址为 /fwlink/?LinkId=21133（页面可能为英文）。如果 Automatic Updates 服务停止或者被禁用，更新将不会自动下载到计算机。将需要通过网站（网址为：）搜索、下载，并安装相应的修补程序。Background Intelligent Transfer Service (BITS)Background Intelligent Transfer Service 是一种后台文件传输机制和队列管理器。BITS 可在客户端和 HTTP 服务器之间异步传输文件。在默认情况下，提交了 BITS 请求后，文件将通过其他空闲网络带宽传输，因此其他与网络相关的活动（如浏览）不受影响。如果连接丢失或用户注销，BITS 将使传输挂起。BITS 连接是永久的，在用户注销、网络连接中断和计算机重新启动过程中，信息仍然传输。一旦用户登录，BITS 将恢复用户的传输作业。BITS 通过队列来管理文件传输。您可对队列中的传输作业安排优先排序，并指定文件是在前台传输还是在后台传输。后台传输由 BITS 进行优化，基于空闲网络带宽的可用量来提高和降低（或限制）传输速率。如果网络应用程序开始消耗较多的带宽，BITS 将降低传输速率来保证用户交互。BITS 提供了一个前台优先级和三个后台优先级，可以使用这些优先级来排定传输作业。优先级较高的作业先于优先级较低的作业执行。同等优先级的作业共享传输时间和轮转调度，这样可防止大型作业阻塞传输队列。只有所有的高优先级作业都已完成或处于错误状态，低优先级作业才能接收传输时间。BITS 在 Windows Server 2003 和 Windows XP 上均设置为手动启动。在提交第一个作业时根据需要来启动。当未完成的作业都已完成时，BITS 停止。如果 BITS 停止，一些功能（如“自动更新”）将无法自动下载程序和其他信息。此功能意味着，计算机还将无法接收来自组织软件更新服务服务器（如果已通过组策略配置）的自动更新。如果禁用此服务，所有明显依赖于此服务的其他服务都将无法传输文件，除非存在失败保护机制来直接通过其他方法（例如 Internet Explorer）传输文件。Certificate ServicesCertificate Services 是核心操作系统的一部分，它使公司可充当自己的证书颁发机构 (CA)，并为应用程序颁发和管理数字证书。这些应用程序包括安全/多用途 Internet 邮件扩展 (S/MIME)、安全套接字层 (SSL)、加密文件系统 (EFS)、IP 安全 (IPSec) 和智能卡登录。Windows Server 2003 支持多级 CA 层次结构和交叉验证信任网络，包括脱机和联机 CA。默认情况下不会安装 Certificate Services。管理员必须通过控制面板中的“添加或删除程序”来安装它。如果 Certificate Services 停止或在安装后被禁用，系统将无法接受证书请求，也无法发布证书吊销列表 (CRL) 和增量 CRL。如果该服务的停止时间超过 CRL 有效期，现有的证书将无法验证。Client Service for NetWare安装了 Client Service for NetWare 服务的服务器可为交互式登录用户提供访问 NetWare 网络中的文件和打印资源的权限。使用 Client Service for Netware，您可以访问 Netware 服务器中的文件和打印资源。这些服务器在计算机中运行 Novell 目录服务 (NDS) 或二进制安全（NetWare 版本 3.x 或 4.x）。Client Service for NetWare 不支持 IP 协议，无法与仅支持 IP 环境的 NetWare 5.x 交互操作。要提供此能力，必须在 NetWare 5.x 服务器中加载网间数据包交换 (IPX) 协议，或使用与 Netware Core Protocol (NCP) 兼容、并支持纯 IP 的重定向程序。如果 Client Service for NetWare 服务停止或被禁用，您将失去访问 NetWare 网络中的文件和打印资源的权限，除非安装了 Novell Client for NetWare。默认情况下不安装和启用此服务。ClipBookClipBook 服务启用“剪贴簿查看器”创建并共享供远程用户查看的数据页。此服务依赖于 Network Dynamic Data Exchange (NetDDE) 服务来创建其他计算机可以连接到的实际文件共享。ClipBook 应用程序和服务允许创建共享的数据页。默认情况下安装 ClipBook 服务，但其启动状态被配置为“已禁用”。如果此服务停止，“剪贴簿查看器”将无法与远程计算机共享信息。Clipbrd.exe 仍可用于查看本地剪贴簿。如果用户突出显示文本，然后单击“编辑”菜单中的“复制”，或按键盘中的 Ctrl+C，数据将被存储在剪贴簿中。Cluster ServiceCluster Service 控制服务器的群集操作并管理群集数据库。群集是一起工作以提供负载平衡和故障转移支持的多台独立计算机的集合。能够识别群集的应用程序（如 Microsoft Exchange Server 和 Microsoft SQL Server）使用群集向用户显示单台虚拟计算机。群集软件可在群集节点中传播数据和计算任务。如果某一节点出现故障，其他节点将提供以前由故障节点提供的服务和数据。如果添加或修复节点，群集软件可向该节点迁移部分数据和计算任务。支持不同应用程序类型的 Windows 平台有两种不同类型的群集解决方案：服务器群集和网络负载平衡 (NLB) 群集。服务器群集为必须长时间可靠运行的应用程序（如数据库或文件服务器）提供高可用性的环境，并通过高度集成的群集管理提供故障转移支持。NLB 群集则可向其他类型的应用程序（如前端 Web 服务器）提供高可用、高可扩展的环境，并在一组同样的服务器中平衡客户端请求负载。Cluster Service 为服务器群集提供支持。它是控制群集操作的所有方面和管理群集数据库的必要软件组件。群集中的每个节点都运行 Cluster Service 的一个实例。Windows Enterprise Server 和 Datacenter Server 版本的 WindowsServer2003 均支持多达 8 个节点的服务器群集。但是，群集只能由运行一种 Windows 版本或其他版本的节点组成，单个群集中不能运行不同版本。服务器群集可以有三种不同配置：单一节点。这种服务器群集既可以配置为有外部群集存储设备，也可以配置为没有外部群集存储设备。对于没有外部群集存储设备的单一节点群集，本地磁盘被配置为群集存储设备。使用单一节点配置可开发能够识别群集的应用程序，或在生产中提供本地运行状况监视并重新启动应用程序的功能。单一仲裁设备。这种服务器群集有两个或多个节点配置，每个节点都与一个或多个群集存储设备相连。群集配置数据都存储在单个群集存储设备（即所谓的仲裁磁盘）中。多数节点集。这种服务器群集有两个或多个节点，这些节点既可以与一个或多个群集存储设备相连，也可以不与之相连。群集配置数据存储在群集的多个磁盘中，“Cluster Service”可确保此数据在不同磁盘中保持一致。默认情况下不安装和启用 Cluster Service。如果 Cluster Service 在安装后停止，群集将不可用。有关如何配置 Windows 群集的安全性的其他信息，请查阅本章末尾“更多信息”部分中的相关链接。COM+ Event SystemCOM+ Event System 服务为订阅 COM 组件提供自动事件分发。COM+ 事件扩展了 COM+ 编程模型，它支持在发布服务器或订阅服务器与事件系统之间使用后期绑定事件或调用方法。事件系统将在信息可用时通知事件接收器，而不会反复轮询服务器。COM+ Event System 服务可处理发布服务器和订阅服务器的大部分事件语义。发布服务器提供发布事件类型，订阅服务器则请求特定发布服务器的事件类型。订阅在发布服务器和订阅服务器外维护，且在需要时才检索，这简化了两者的编程模型。订阅服务器无需包含构建订阅的逻辑（构建订阅服务器与创建 COM 组件一样简单）。订阅的生命周期独立于发布服务器或订阅服务器的生命周期。订阅可在订阅服务器或发布服务器被激活之前构建。默认情况下安装此服务，但是直到应用程序请求该服务才会启动。如果 COM+ Event System 停止，System Event Notification 服务将关闭，且将不能提供登录和注销通知。Volume Shadow Copy 服务，Windows 备份和依赖于 Windows 备份 API 的备份应用程序均需要此服务。COM+ System ApplicationCOM+ System Application 服务管理基于 COM+ 的组件的配置和跟踪。如果停止该服务，则大多数基于 COM+ 的组件将不能正常工作。Volume Shadow Copy 服务，Windows 备份和依赖于 Windows 备份 API 的备份应用程序均需要此服务。默认情况下安装并启用此服务。Computer BrowserComputer Browser 服务维护网络上计算机的更新列表，并将列表提供给需要它的程序。Computer Browser 服务由需要查看网络域和资源的基于 Windows 的计算机所使用。指派为浏览器的计算机可维护浏览列表，该列表包括网络中使用的所有共享资源。较早版本的 Windows 应用程序（如网上邻居、NET VIEW 命令和 Windows NT 资源管理器）都必须使用浏览功能。例如，如果在基于 Windows 95 的计算机上打开“网上邻居”，被指派为浏览器的计算机会生成显示的域和计算机列表。在浏览环境中，计算机可扮演几种不同的角色。在某些情况下，如为特定浏览器角色指派的计算机出现故障或关机时，浏览器或潜在浏览器可能会转换为另一操作角色。Computer Browser 服务在默认情况下启用并已启动。如果服务停止，浏览器列表不会被更新或维护。Cryptographic ServicesCryptographic Services 服务提供计算机的密钥管理服务。Cryptographic Services 实际上由三种不同的管理服务组成：编录数据库服务。此服务添加、删除和查找目录文件，这些文件用于对操作系统中的所有文件进行签名。Windows 文件保护 (WFP)、驱动程序签名和安装都使用此服务来验证签名文件。在安装期间无法停止此服务。如果服务在安装之后停止，它将根据需要再启动。受保护的根服务。此服务添加和删除受信根证书颁发机构的证书。该服务可在显示的服务消息框中提供证书名称和指纹。如果单击“确定”，证书将添加至或从受信任的根颁发机构的当前列表中删除。只有“本地系统”帐户有列表的写入权限。如果此服务停止，当前用户将无法添加或删除受信任的根证书颁发机构证书。密钥服务。此服务允许管理员以本地计算机帐户的名义注册证书。该服务提供注册所需的若干功能：枚举可用证书颁发机构、枚举可用计算机模板，在本地计算机上下文中创建并提交证书请求的能力，等等。只有管理员可使用本地计算机帐户身份进行注册。密钥服务还允许管理员为计算机远程安装个人信息交换 (PFX) 文件。如果此服务停止，自动注册将无法自动获取默认的计算机证书集。Cryptographic Services 服务在默认情况下已启用并自动启动。如果该服务停止，前面段落中提到的管理服务将无法正常运行。DCOM Server Process Launcher在早期版本的 Windows 中，Remote Procedure Call (RPC) 服务 (RPCSS) 作为本地系统运行。为缩小 Windows 受攻击面并提供深层防御，在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中 RPC 服务功能被分成了两项服务。RPCSS 服务保留了不需要“本地系统”特权的所有原始功能，现在它在“网络服务”帐户下运行。DCOM Server Process Launcher (DCOMLaunch) 服务合并了要求“本地系统”特权的旧 RPC 服务的功能；它在“本地系统”帐户下运行。默认情况下启用并已启动此服务。如果 DCOM Server Process Launcher 服务停止，远程过程调用和本地计算机上的 DCOM 请求将不能正常运行。如果此服务停止，尤其是 Windows 防火墙服务也将失败。DHCP ClientDHCP Client 服务管理网络配置。它为计算机注册并更新 IP 地址和 DNS 名称。当客户端计算机（如便携式计算机）通过网络从不同位置连接时，不必手动更改其 IP 设置。系统会自动为客户端计算机给定一个新的 IP 地址，而不管它重新连接到哪个子网（只要可以从子网访问 DHCP 服务器即可）。不需要手动配置 DNS 或 WINS 的设置。如果 DHCP 服务器的配置允许发出此类信息，DHCP 服务器可将这些设置赋予客户端。要在客户端启用此选项，只需单击“自动获得 DNS 服务器地址”选项。重复的 IP 地址不会造成冲突。如果 DHCP Client 服务停止，计算机将不能接收动态 IP 地址，而动态 DNS 的自动更新也将停止在 DNS 服务器中注册。DHCP ServerDHCP Server 服务为 DHCP 客户端自动分配 IP 地址和启用网络设置的高级配置（如 DNS 服务器和 WINS 服务器）。DHCP 使用的是客户端/服务器模型。网络管理员建立一个或多个 DHCP 服务器，这些服务器维护 TCP/IP 配置信息并将该信息提供给客户端计算机。服务器数据库包含以下内容：网络中所有客户端计算机的有效配置参数。在池中维护且可分配给客户端计算机的有效 IP 地址，以及手动分配时保留的地址。服务器提供的租约持续时间。租约定义了已分配的 IP 地址的有效时间。DHCP 是一种 IP 标准，旨在减少地址配置管理的复杂性。它使用服务器计算机来集中管理网络的 IP 地址和其他相关配置详细信息。Windows Server 2003 系列提供了 DHCP 服务，它可使服务器计算机执行 DHCP 服务器的功能，并按照当前 DHCP 草案标准、Internet 工程任务组 (IETF) 征求意见文档 (RFC) 2131 中的描述，对网络中启用 DHCP 的客户端计算机进行配置。DHCP 包括了多播地址动态客户端分配协议 (MADCAP)，其作用是执行多播地址分配。如果系统通过 MADCAP 为注册的客户端计算机动态分配 IP 地址，客户端可有效参与数据流进程（如实时视频或音频网络传输）。通过在网络中安装并配置 DHCP 服务器，启用 DHCP 的客户端计算机可在每次启动并加入网络时动态获取其 IP 地址和相关配置参数。DHCP 服务器使用一种地址租约的形式向客户端计算机提供此配置。如果 DHCP Server 服务停止，服务器将不再自动发出 IP 地址或其他配置参数。此服务只在将 Windows Server 2003 计算机配置为 DHCP 服务器时才会安装和激活。Distributed File SystemDistributed File System 服务管理分布在局域网或广域网 (WAN) 中的逻辑卷，它是 Active Directory SYSVOL 共享所必需的。分布式文件系统 (DFS) 是一种分布式服务，它可将分散的文件共享合并成一个逻辑名称空间。此名称空间是网络存储资源的一种逻辑表示方法，这些网络存储资源对网络中的用户都可用。如果 Distributed File System 服务停止，将无法通过逻辑名称空间访问文件共享或网络数据。要在该服务停止时访问这些数据，需要知道名称空间中的所有服务器和所有共享的名称，然后单独访问各个目标。在 Windows Server 2003 计算机上默认安装并运行此服务。Distributed Link Tracking ClientDistributed Link Tracking Client 服务可维护计算机内部或网络域内计算机的 NTFS 文件系统 (NTFS) 文件间的链接。此服务可确保快捷方式、对象链接和嵌入 (OLE) 链接在目标文件被重命名或移动后仍然有效。如果在 NTFS 卷上创建文件的快捷方式，分布式链接跟踪将在目标文件（即链接源）中标记唯一的对象标识符 (ID)。引用目标文件（即链接客户端）的文件也在内部存储对象 ID 的信息。分布式链接跟踪可使用此对象 ID 在下列情况中定位链接源文件：当链接源文件被重命名时。当链接源文件被移动到同一卷的其他文件夹或同一计算机的其他卷时。当链接源文件被移至网络中的其他计算机时。注意：除非计算机所在的域有 Distributed Link Tracking Server 服务可用，否则这种形式的链接跟踪将随时间的推移变得不可靠。当包含链接源文件的共享网络文件夹被重命名时。在有 Distributed Link Tracking Server 服务可用的 Windows 2000 或 Windows Server 2003 域中，链接源文件可在下列附加情形中找到：当包含链接源文件的计算机被重命名时。当包含链接源文件的卷被移至同一域中的其他计算机时。涉及 Distributed Link Tracking Server 服务的情形要求客户端计算机（运行 Distributed Link Tracking Client 服务的计算机）为运行 WindowsXP SP1 或 SP2 的客户端配置 DLT_AllowDomainMode 系统策略。对于上述所有情形，链接源文件必须位于运行 Windows 2000、Windows XP 或 Windows Server 2003 系列产品的 NTFS 卷上。NTFS 卷不可位于可移动媒体上。注意：Distributed Link Tracking Client 服务可监视 NTFS 卷中的活动，并在名为 Tracking.log 的文件中存储维护信息，该文件位于每个卷根目录处名为“System Volume Information”的隐藏文件夹中。此文件夹有一定的权限保护，只有计算机能访问它。此文件夹也可由其他 Windows 服务使用，例如 Indexing Service。如果 Distributed Link Tracking Client 服务停止，系统将不会维护或跟踪计算机中内容的任何链接。Distributed Link Tracking ServerDistributed Link Tracking Server 服务可存储信息，进而为域中每个卷跟踪在卷与卷之间移动的文件。如果启用，Distributed Link Tracking Server 服务会在域中的每个域控制器上运行。此服务启用 Distributed Link Tracking Client 服务来跟踪已移至同域其他 NTFS 卷中某个位置的链接文档。默认情况下，Distributed Link Tracking Server 服务被禁用。如果启用该服务，必须在域的所有域控制器上启用。如果 Distributed Link Tracking Server 服务已在升级至较新版本 Windows Server 的域控制器中启用，必须手动重新启用该服务。如果 Distributed Link Tracking Server 服务已启用，则还必须启用 DLT_AllowDomainMode 系统策略以使 Windows XP 客户端计算机能够使用此服务。如果 Distributed Link Tracking Server 服务在启用后又被禁用，应在 Active Directory 中清除其条目。有关详细信息，请参阅关于的 Microsoft 知识库文章，网址为 /kb/312403/。如果 Distributed Link Tracking Server 服务停止或被禁用，由 Distributed Link Tracking Client 服务维护的链接最终将变得不太可靠。在 Windows Server 2003 中，Distributed Link Tracking Server 服务已安装但在默认情况下被禁用。Distributed Transaction CoordinatorDistributed Transaction Coordinator 服务协调分布于多台计算机和/或资源管理器中（例如数据库、消息队列、文件系统或其他基于事务的资源管理器）的事务。如果要通过 COM+ 配置事务性组件，则此服务是必需的。此外，消息队列 (MSMQ) 中的事务性队列和跨多台计算机的 SQL Server 操作也必需该服务。Distributed Transaction Coordinator 服务在默认情况下安装并已启用。如果此服务停止，使用此服务的事务将不会执行。如果此服务停止，使用事务服务、群集化安装的 Microsoft Exchange、SQL Server 或其他应用程序可能会受到影响。DNS ClientDNS Client 服务为计算机解析和缓存 DNS 名称。DNS Client 服务必须在所有执行 DNS 名称解析的计算机中运行。DNS 名称解析需用于定位 Active Directory 域中的域控制器。DNS Client 服务还需要用于定位通过 DNS 名称解析识别的设备。在 Windows Server 2003 上运行的 DNS Client 服务可实施以下功能：系统范围缓存。在应用程序查询 DNS 服务器时，来自查询响应的资源记录 (RR) 被添加至客户端缓存。此信息之后被缓存特定的生存时间 (TTL) 并可再次用于回答后续查询。兼容 RFC 的负缓存支持。除了来自 DNS 服务器的正查询响应（在答复中包含资源记录信息），DNS Client 服务还将缓存负查询响应。如果被查询名称的 RR 不存在，则产生负响应。负缓存将阻止其他重复查询不存在的名称的操作，重复查询对客户端计算机性能有不良影响。所有缓存的负查询信息的保留时间都短于正查询信息的保留时间；在默认情况下，不超过 5 分钟。如果记录后来又变得可用，此配置将避免不断缓存负状态查询信息。避免 DNS 服务器不响应。DNS Client 服务使用按优先顺序排列的服务器搜索列表。此列表包含了为计算机上每个活动的网络连接配置的所有首选和备用 DNS 服务器。Windows Server 2003 根据下列标准重新排列这些列表：首选 DNS 服务器优先级第一。如果没有可用的首选 DNS 服务器，则使用备用 DNS 服务器。不响应的服务器临时从这些列表中删除。如果 DNS Client 服务停止，计算机将无法解析 DNS 名称或定位 Active Directory 域控制器，并且用户可能无法登录到计算机。DNS ServerDNS Server 服务启用 DNS 名称解析。它应答 DNS 名称的查询和更新请求。DNS 服务器需用于定位以其 DNS 名称识别的设备和定位 Active Directory 中的域控制器。如果 DNS Server 服务停止或被禁用，则不会更新 DNS。DNS Server 服务不需要在每台计算机上运行。但是，如果 DNS 命名空间的特定部分没有权威的 DNS 服务器，则在命名空间该部分使用 DNS 名称来定位设备将失败。如果命名 Active Directory 域的 DNS 命名空间没有权威的 DNS 服务器，系统将无法定位该域的域控制器。DNS Server 服务只在将 Windows Server 2003 计算机配置作为 DNS 服务器时才会安装并激活。Error Reporting ServiceError Reporting Service 收集、存储并向 Microsoft 报告异常应用程序错误或关闭事件。它还允许对在非标准环境中运行的服务和应用程序启用错误报告。此服务为 Microsoft 产品组调试驱动程序和应用程序错误提供了有效信息。您可配置错误报告来发送 Microsoft 特定的错误信息、生成操作系统错误、Windo