windows系统服务及SC命令PPT课件

.,1,windows系统服务设置及SC命令,.,2,当每次启动WindowsXP/2003时，总会有相当多的程序或服务被调入到系统的内存中，它们用来控制Windows系统的硬件设备、内存、文件管理或者其他重要的系统功能。但是，这些服务有很大一部分是用户根本不需要的，在系统安全方面反而会造成很大的隐患。我们完全可以根据自己的需要，适当禁用自己不需要的系统服务，这样不仅可以节约系统资源，加快系统运行速度，而且还能起到保护系统安全的作用。,.,3,什么是系统服务,服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。在Windows2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序。通过网络提供服务时，服务可以在ActiveDirectory(活动目录)中发布，从而促进了以服务为中心的管理和使用。,.,4,系统服务的作用,启动、停止、暂停、恢复或禁用远程和本地计算机服务。管理本地和远程计算机上的服务。设置服务失败时的故障恢复操作。例如，重新自动启动服务或重新启动计算机。为特定的硬件配置文件启用或禁用服务。查看每个服务的状态和描述。,.,5,配置和管理系统服务,通过“服务管理控制台”来实现,以管理员或Administrators组成员身份登录，单击“开始运行”菜单项，在出现的对话框中键入“Services.msc”并回车单击“开始控制面板性能和维护管理工具服务”选项来启动该控制台,.,6,在服务控制台中，双击任意一个服务，就可以打开该服务的属性对话框，如图所示。在这里，我们可以对服务进行配置、管理操作，通过更改服务的启动类型来设置满足自己需要的启动、关闭或禁用服务。,.,7,“启动类型”是整个服务配置的核心，对于任意一个服务，通常都有3种启动类型，即自动、手动和已禁用。,.,8,服务的三种启动类型,自动：此服务随着系统启动时启动，它将延长启动所需要的时间，有些服务是必须设置为自动的，如RemoteProcedureCall(RPC)。由于依存关系或其他影响，其他的一些服务也必须设置为自动，这样的服务最好不要去更改它，否则系统无法正常运行。手动：如果一个服务被设置为手动，那么可以在需要时再运行它。这样可以节省大量的系统资源，加快系统启动。已禁用：此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患，可以先尝试停止它，看看系统是否能正常运行，如果一切正常，那么就可以直接禁用它了。如果以后需要这个服务，在启动它之前，必须先将启动类型设置为自动或手动。,.,9,服务的“依存关系”,“依存关系”选项卡在顶端列表中指出运行选定服务所需的其他服务，底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行，必须依靠其他服务。在停止或禁用一个服务之前，一定要看看这个服务的依存关系，如果有其他需要启动的服务是依靠这个服务，就不能将其停止。在停止或禁用一个服务前，清楚了解该服务的依存关系是必不可少的步骤。,.,10,选择将运行服务的账户,单击“登录”选项卡，执行下述操作之一：要使用本地系统账户，单击“本地系统账户”选项。要使用本地服务台账户，单击“本账户”选项，然后键入“NTAUTHORITYLocalService”。要使用网络服务账户，单击“本账户”选项，然后键入“NTAUTHORITYNetworkService”。要指定另一个账户，单击“本账户”选项，然后单击“浏览”按钮，然后在“选择用户”对话框中指定用户账户即可。,注意：必须明确配置用户账户以便登录到服务。要验证用户账户是否经过了正确配置，请在“本地用户和组”中右键单击该用户账户。在“属性”对话框的“常规”选项卡上，确认已选中“密码永不过期”复选框，然后单击“成员”选项卡来确认该用户是适当组的成员。若选择的账户无服务登录权限，可在当前管理的计算机上，服务会自动授予该账户适当的权限。,.,11,系统服务的备份与灾难保护,备份系统服务(1)运行注册表编辑器，依次展开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。(2)单击“文件导出”菜单命令，在出现的对话框中，单击“所选分支”选项，将此分支下的注册表内容导出并保存为一个REG文件。如果需要恢复系统服务，可以直接双击该REG文件导入注册表。,.,12,灾难保护,不慎禁用了某一个重要的服务，导致Windows/服务无法启动，只能使用系统控制台来进行手动恢复（在系统控制台中，我们可以随意启动任何服务或控制服务的启动类型）。将系统安装光盘在BIOS中将光驱启动设置为优先启动电脑进入“欢迎使用安装程序”界面按下R键进入Windows“故障恢复控制台”界面选择需要修复的系统，并键入系统管理员密码。在命令提示符状态下，用“Enable”和“Disable”命令。其中，Enable的命令格式为“enableservice_namestartup_type”；Disable的命令格式为“disableservice_name”。service_name是希望启用/禁用的服务或设备名称，startup_type则是启动的类型，表示了不同的启动类型。可用类型包括有Service_disabled、Service_boot_start、Service_system_start、Service_auto_start、Service_demand_start。,.,13,系统功能服务,1.AlerterAlerter(警报器)。将系统上发生的与管理有关的事件以警示信息传送至网络上指定的电脑或用户，例如当发生打印错误或硬盘即将写满等事件，即由该服务负责收集、送出。该服务进程名为Services.exe(即启动这个服务后在的后台运行的进程名称，可以通过任务管理器查看到依存关系：Workstation建议：一般家用计算机根本不需要传送或接收计算机系统管理来的警示(AdministrativeAlerts)，除非你的计算机用在局域网络上，停止。,.,14,2.ApplicationManagementAppMgmt(应用程序管理服务)。提供软件安装服务，如分派、发行以及删除。该服务进程名为Svchost.exe。依存关系：无建议：启动。3.AutomaticUpdatesWuauserv(自动更新服务)。从WindowsUpdate启用Windows更新的下载和安装。该服务进程名为Svchost.exe。依存关系：无建议：启动。,.,15,4.ClipBookClipSrv(剪贴簿)。启用“剪贴簿查看器”储存信息并实现与远程计算机共享。该服务进程名为Clipsrv.exe。依存关系：NetworkDDE建议：该服务对于一般家用计算机根本涉及不到，可以根据具体情况，停止。5.COM+EventSystemEventSystem(COM+事件系统服务)。支持系统事件通知服务(SENS)，此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)和SystemEventNotification建议：有些程序可能用到COM+组件，像BootVis的Optimizesystem应用，根据具体情况，启动。,.,16,6.COM+SystemApplicationCOMSysApp(COM+系统应用服务)。管理基于COM+组件的配置和跟踪。该服务进程名为Dllhost.exe。依存关系：RemoteProcedureCall(RPC)建议：如果COM+EventSystem是一辆车，那么COM+SystemApplication就是司机，根据具体情况，启动。7.CryptographicServicesCryptSvc(认证服务)。提供三种管理服务，编录数据库服务，它确定Windows文件的签字；受保护的根服务，它从此计算机添加和删除受信根证书机构的证书；密钥(Key)服务，它帮助注册此计算机获取证书。如果此服务被终止，这些管理服务将无法正常运行。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：该服务即是WindowsHardwareQualityLab(WHQL)认证，如果你使用AutomaticUpdates，启动。,.,17,8.DistributedTransactionCoordinatorMSDTC(分布式交易协调器)。协调跨多个数据库、消息队列、文件系统等资源管理器的事务。该服务的进程名为Msdtc.exe。依存关系：RemoteProcedureCall(RPC)和SecurityAccountsManager建议：一般家用计算机涉及不到，除非你启用MessageQueuing服务，停止。9.ErrorReportingServiceERSvc(错误报告服务)。服务和应用程序在非标准环境下运行时允许错误报告。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：该服务即微软的应用程序错误报告，基于安全性考虑，停止。,.,18,10.EventLogEventLog(系统事件记录服务)。启用在事件查看器查看基于Windows的程序和组件颁发的事件日志消息。该服务进程名为Services.exe。依存关系：WindowsManagementInstrumentation建议：该服务是基础服务，请不要调整其状态。11.FastUserSwitchingCompatibilityFastUserSwitchingCompatibility(多用户快速切换服务)。为在多用户状态下需要协助的应用程序提供管理。该服务进程名为Svchost.exe。依存关系：TerminalServices建议：基于安全性考虑，如果不使用多用户环境，停止。,.,19,12.HelpandSupportHelpsvc(帮助服务)。启用在此计算机上运行帮助和支持中心。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：可以根据具体情况，停止。13.HumanInterfaceDeviceAccessHidServ(人性化接口设备服务)。启用对智能界面设备(HID)的通用输入访问，它激活并保存键盘、远程控制和其他多媒体设备上的预先定义的快捷键。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：如果你有符合人体工程学标准的设备(键盘、鼠标)，请将该服务设置为自动。,.,20,14.IndexingServiceCisvc(索引服务)。本地和远程计算机上文件的索引内容和属性，通过灵活查询语言提供文件快速访问。该服务进程名为Cisvc.exe。依存关系：RemoteProcedureCall(RPC)建议：该服务可以让你加快搜查速度，不过应该很少人进行远程计算机搜寻，停止。,.,21,15.InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)SharedAccess(Internet连接共享和防火墙服务)。为家庭或小型办公网络提供网络地址转换，定址以及名称解析和/或防止入侵服务。该服务进程名为Svchost.exe。依存关系：ApplicationLayerGatewayService、NetworkConnections、NetworkLocationAwareness(NLA)、RemoteAccessConnectionManager建议：如果不使用因特网联机共享(ICS)或是内置的因特网联机防火墙(ICF)，停止。,.,22,16.LogicalDiskManagerAdministrativeServiceDmadmin(逻辑磁盘管理员系统管理服务)。配置硬盘驱动器和卷。此服务只为配置处理运行，然后终止。该服务进程名为Dmadmin.exe。依存关系：PlugandPlay、RemoteProcedureCall(RPC)、LogicalDiskManager建议：使用MicrosoftManagementConsole(MMC)主控台的功能时才用到，根据具体情况，可设置为手动。17.PrintSpoolerSpooler(打印后台处理服务)。将文件加载到内存中，待打印机空闲后，再将数据送往打印机处理。该服务进程名为Spoolsv.exe。依存关系：RemoteProcedureCall(RPC)建议：设置为手动。如果没有打印机，可停止。,.,23,18.RemoteRegistryRemoteRegistry(远程注册表服务)。使远程用户能修改此计算机上的注册表设置。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：基于安全性的理由，如果没有特别的需求，停止。19.SecurityAccountsManagerSamSs(安全性账户管理服务)。存储本地用户账户的安全信息。该服务进程名为Lsass.exe。依存关系：RemoteProcedureCall(RPC)、DistributedTransactionCoordinator建议：管理账号和组策略(Gpedit.msc)应用，启动。,.,24,功能扩展服务,1.IMAPICD-BurningCOMServiceImapiService(IMAPICD刻录服务)。用ImageMasteringApplicationsProgrammingInterface(IMAPI)管理CD刻录。如果停止该服务，这台计算机将无法录制CD。该服务进程名为Imapi.exe。依存关系：无建议：WindowsXP整合的CD刻录功能比较单一，根据具体情况，停止。2.IPSECServicesDmserver(IP安全性服务)。监测和监视新硬盘驱动器，并向逻辑磁盘管理器管理服务发送卷信息以便配置。该服务进程名为Svchost.exe。依存关系：IPSECdriver、RemoteProcedureCall(RPC)、TCP/IPProtocolDriver建议：协助保护经由网络传送的数据，IPSEC为一重要环节，为虚拟私人网络(VPN)中提供安全性，而VPN允许组织经由因特网安全地传输数据。一般用户者涉及不到，停止。,.,25,3.PlugandPlayPlugPlay(即插即用服务)。使计算机在没有用户输入的情况下，能识别并适应硬件的更改。该服务进程名为Services.exe。依存关系：LogicalDiskManager、LogicalDiskManagerAdministrativeService、Messenger、SmartCard、Telephony、WindowsAudio建议：终止或禁用此服务会造成系统不稳定，启动。4.SmartCardSCardSvr(智能卡服务)。管理此计算机对智能卡的取读访问。如果此服务被终止，此计算机将无法读取智能卡。该服务进程名为Scardsvr.exe。依存关系：PlugandPlay建议：如果你不使用智能卡，停止。,.,26,5.WindowsImageAcquisition(WIA)Stisvc(Windows影像取得服务)。为扫描仪和照相机提供图像捕获服务。如果扫描仪和数码相机内部具有支持WIA功能，那就可以直接看到图像文件，不需要其他的驱动程序。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：没有扫描仪和数码相机的用户，停止。6.WirelessZeroConfigurationWZCSVC(无线配置服务)。为你的802.11适配器提供自动配置。该服务进程名为Svchost.exe。依存关系：NDISUsermodeI/OProtocol、RemoteProcedureCall(RPC)建议：视具体情况而定，启动。,.,27,网络服务,1.ApplicationLayerGatewayServiceALG(应用层网关)。为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。该服务进程名为Alg.exe。依存关系：InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)建议：如果你不使用因特网联机共享(ICS)提供多台计算机的因特网存取和因特网联机防火墙(ICF)软件，停止。,.,28,2.BackgroundIntelligentTransferServiceBITS(后台智能传输服务)。使用空闲的网络带宽传输数据。当网络切断或计算机需要重新启动时，该服务会自动对文件传输加以维护，当网络重新连接时，该服务将从停止的地方继续开始传输文件。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)和Workstation建议：该服务的应用即是实现支持Windows自动更新时的断点续传，根据AutomaticUpdates服务的具体情况，启动。3.ComputerBrowserBrowser(计算机浏览器服务)。维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。该服务进程名为Svchost.exe。依存关系：Server和Workstation建议：一般家用计算机涉及不到，除非你的计算机位于局域网内，停止。,.,29,4.DHCPClientDhcp(DHCP客户端服务)。通过注册和更改IP地址以及DNS名称来管理网络配置。简单地讲，DHCP就是由网络中的一台主机将所有的网络参数自动分配给网络内的任何一如计算机，而DHCP客户端就是网络中被分配网络参数的对象计算机。该服务进程名为Svchost.exe。依存关系：AFD网络支持环境、SYMTDI、TCP/IPProtocolDriver和NetBIOSoverTCP/IP建议：如果你的机器能在网络中被自动分配IP地址等参数，停止。对于家庭用户来讲，只要是使用DSL/Cable上网，开启ICS和IPSEC服务的，都需要这个服务来指定静态IP，启动。,.,30,5.DistributedLinkTrackingClientTrkWks(分布式连结追踪客户端服务)。在计算机内NTFS文件之间保持链接或在网络域中的计算机之间保持链接。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)建议：对于不在局域网中的用户，停止。6.DNSClientDnscache(DNS客户端服务)。为此计算机解析和缓冲域名系统(DNS)名称。该服务进程名为Svchost.exe。依存关系：TCP/IPProtocolDriver建议：事实上，一个网站并不是只有一台服务器在工作，基于安全性考虑，停止。,.,31,7.MessengerMessenger(信使服务)。传输客户端和服务器之间的NETSEND和Alerter服务消息。此服务与WindowsMessenger无关。该服务进程名为Svchost.exe。依存关系：NetBIOSInterface、PlugandPlay、RemoteProcedureCall(RPC)、Workstation建议：基于安全性考虑，停止。8.NetLogonNetLogon(网域登录服务)。支持网络计算机pass-through账户登录身份验证事件。该服务进程名为Lsass.exe。依存关系：Workstation建议：如果要使用网内的域服务器登录到域网时，启动。,.,32,9.NetMeetingRemoteDesktopSharingMnmsrvc(NetMeeting远程桌面共享)。允许经过授权的用户使用NetMeeting在公司Intranet上远程访问这台计算机。该服务进程名为Mnmsrvc.exe依存关系：RemoteProcedureCall(RPC)建议：视具体情况，停止，但关闭它后，远程桌面共享功能将无法使用。10.NetworkConnectionsNetman(网络联机)。管理“网络和拨号连接”文件夹中对象，在其中你可以查看局域网和远程连接。该服务进程名为Svchost.exe。依存关系：RemoteProcedureCall(RPC)、InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)建议：关闭它之后，在“网络和拨号连接”对话框中将什么也看不到，更不用说新建连接和拨号上网了，因此除非你的机器是绝对的单机环境，启动。,.,33,SC命令,SC命令是XP系统中功能强大的DOS命令SC命令能与“服务控制器”和已安装设备进行通讯SC是用于与服务控制管理器和服务进行通信的命令行程序。,.,34,SC命令功能,1、SC可以检索和设置有关服务的控