全面认识WindowsXP各种服务

1、全面认识WindowsXP各种服务2005-6-8 10:50:00文/出处：个人电脑每次开机，Windows XP都要启动80多个服务，而一般用户对这些在后台运行的服务所知甚少。它们究竟是干什么的？我是否真的需要所有的这些服务？本文将告诉你哪些服务是必须运行的，哪些服务是不必运行的。去掉那些不需要启动的服务一方面会提高电脑的运行速度，另一方面也减少了被黑客攻击的可能。 近两年来，很多人已经亲身体验到网络蠕虫的危害，比如2003年8月发作的冲击波（Worm.Blaster）以及2004年5月发作的震荡波（Worm.Sasser）。这两个病毒都属于网络蠕虫，它们利用了Windows服务中的漏洞来

2、进行传播和破坏。冲击波（Worm.Blaster）病毒利用了RPC（Remote Procedure Call，远程过程调用）服务的漏洞，而RPC服务正是Windows XP必须运行的服务之一。Blaster病毒发作时，你的机器会在60秒钟内自动关闭。而Sasser病毒则利用了Windows的LSASS（Local Security Authority Subsystem Service，安全性授权子系统服务）服务进行攻击和传染。按照反病毒机构的说法，如果不加以防范，这些网络蠕虫可以在1小时内通过Internet传遍地球上的所有电脑。 问题的关键在于实际上我们离不开这些服务，Windows X

3、P的很多功能都是通过这些服务来实现的。简单地讲，你可以把这些服务理解为在后台完成系统任务的程序，比如获取自动更新或者管理打印任务。与一般应用程序的最大区别是它们都是在“后台”运行的，因此你基本上感知不到它们的存在。 为了实现Windows XP的各种功能，Microsoft会在安装Windows系统时对这些服务进行自动配置。Windows会把其中的一些服务设置为“开机自动运行”状态，另一些则是在需要时再加载，还有一些服务则只有当用户选择加载时才会加载。绝大多数电脑并不需要运行所有的“开机自动运行”服务，这些不必要的服务会增加系统被攻击的危险，还会占用宝贵的系统资源。如果想看到所有服务的运行状态

4、，你可以依次打开“控制面板”“管理工具”“服务”（如图1所示）。 图一理解这些服务 在图1中，你可以看到每一个服务都有以下几个属性：名称、描述、状态、启动类型、登录身份、依存关系。有些属性没有在图1中显示，你可以用鼠标双击某个服务，就能看到更多的属性。比如Task Scheduler服务的作用是“使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止，这些任务将无法在日程时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。”默认状态下，Task Scheduler服务的启动状态是“自动”，它会随着Windows的启动而启动。而在依存关系中，你可以看到它依赖于Remote Proc

5、edure Call (RPC)服务。Task Scheduler服务的可执行文件的路径是“C:WINDOWSSystem32svchost.exe -k netsvcs”，因此它在任务管理器中的进程名就是“svchost.exe”，由于有好几个服务都是用svchost.exe来调用的，因此你会在任务管理器中看到多个“svchost.exe”进程（如图2所示）。 图二如果你重新安装一份Windows XP Professional Service Pack 2的话，你会发现一共安装了79个系统服务：34个服务会自动运行，38个服务会在需要时启动，只有7个服务没有被激活。如果你安装的是Windo

6、ws XP或者Windows XP SP1，它总共会安装77个系统服务，其中34个服务会自动运行，41个服务会在需要时启动，只有2个服务没有被激活。实际上在多数情况下，有大约20个自动运行的服务是不必非要运行的，关掉它们会提高系统运行效率和安全性。 潜在危险 也许你对Windows服务所带来的安全性危险还没有足够的认识，由于这些服务与系统的核心相关并拥有各种权限，因此一旦被不法份子掌握，很可能造成操作系统崩溃。为了尽可能地保护你的电脑不受侵害，关闭那些不需要的服务是很有必要的。而这样做还能减少系统资源占用，提高系统运行效率，何乐而不为呢？让我们先利用一个工具来查看一下哪些服务是可以从外部访问到

7、的，来自（现在已改为）的nmap工具可以对端口进行扫描（如图3），从而检查出某台机器上对外开放的服务。另一款免费扫描工具SuperScan v4.0（）也可以帮助你（如图4）。 图三图四新安装的Windows XP通常有5个开放端口，SP1也是如此，到了SP2，Microsoft加强了对端口的保护，你只能找到三个开放端口（如果没有启动防火墙的话）。而如果你打开了SP2的防火墙，端口扫描器甚至无法扫描出任何结果。不过没有什么防火墙是万能的，使用防火墙并关闭不必要的服务，电脑的安全性才会更有保障。 服务管理工具 除了通过“控制面板”“管理工具

8、”“服务”来查看服务之外，还有很多种其他的方式可以对Windows服务进行管理。在命令行方式下，你可以使用sc.exe（Service Control的缩写）来管理服务，该命令需要参数才能运行，常用的运行参数有：sc.exe query（显示所有的服务一览表）；sc.exe queryex（显示更多的状态信息，比如进程ID和设置标记）；sc.exe query state=all（显示所有安装的服务）。如果不加参数运行sc.exe，它会显示各个参数选项的说明。Sc.exe的最大作用是可以启动或关闭某个服务，或者将某个服务发送到运行队列。在本文的后面我们将教你如何利用sc.exe和自动脚本来配置

9、这些服务。 另一个命令netstat可以让Windows XP显示当前所有被激活的网络连接。使用默认方式安装的Windows XP SP2会存在三个开放端口的服务，分别是Epmap（端口135）、Microsoft-ds（端口445）和Netbios-ssn（端口139）。TCPview（ XP自带的Netstat功能类似，但提供了图形化的界面（如图5所示）。 图五自动启动的服务 使用上述各种工具，你就能查阅有关Windows服务的各种信息。首先让我们把注意力集中在默认状态下被Windows设置为随电脑自动启动的那34个服务。为了找出优化的办法，我们需要先了解一下它们的作用。一般而言，我们可以

10、按照功能将这34个服务分为几大类：联网、安全、错误处理、通信和易用性。 联网 一台Windows PC要想正确连接网络，需要在后台运行很多程序。Workstation服务用于创建与服务器的连接；TCP/IP NetBIOS Helper服务提供了对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持；Computer Browser服务维护网络上计算机的更新列表，并将列表提供给计算机浏览，它还管理文件和打印机共享信息；DHCP Client服务通过注册和更改IP地址以及DNS名称来管理网络配置；DNS Client服务为计算机解析IP地址和缓冲域名系统（

11、DNS）；如果你想要通过网络远程操作注册表，就必须打开Remote Registry服务；如果想要共享文件和打印机，则需要启动Server服务；Windows Time服务可以维护在网络上的所有客户端和服务器的时间和日期同步。 安全 还有些服务与PC安全性相关。Automatic Updates服务能够自动搜寻最新的Windows XP更新并从Microsoft的服务器进行下载和安装；IPSEC Services服务管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序；Secondary Logon服务可以允许普通身份用户执行一些需要管理员权限的操作；S

12、ecurity Center是Windows XP SP2新增的一项服务，用于管理Windows防火墙、Windows更新和病毒扫描；System Restore Service服务则用来创建和恢复系统的还原点。 通信 各个程序之间和操作系统各个组件之间的通信都要依赖于一些重要的通信服务。DCOM 服务器进程启动器是Windows XP SP2引入的一个新服务，它可以让程序与另一个程序进行协作；因冲击波（Worm.Blaster）病毒的发作而鼎鼎大名的Remote Procedure Call（RPC）服务也是Windows所不可缺少的通信服务；Distributed Link Trackin

13、g Client服务能在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接；Windows Management Instrumentation服务提供统一的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。 错误处理 错误处理也是Windows服务的一项重要职能：Error Reporting Service负责对应用程序在非标准环境下运行时的错误进行记录、识别和处理。易用性 Microsoft也通过服务来实现Windows的易用性，比如XP的统一界面、Plug and Play 自动硬件识别和安装、无线网络的自动配置（Wireless Zero Conf

14、iguration服务）等。Windows Audio 服务管理基于Windows程序的音频设备；Shell Hardware Detection服务可以让Windows在插入CD或DVD光盘时自动识别里面的内容并启动相应的软件进行播放；Task Scheduler服务则允许你在计算机上配置和制定自动任务的日程；而Logical Disk Manager服务会监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。 如何优化 不必要的后台服务占用了宝贵的系统资源，并给你的电脑带来了安全风险，关掉它们可以让电脑运行得更快、更安全。对于一般用户而言，Windows服务显得相当复杂，但

15、只要遵循一定的优化规则，你也完全可以轻松地完成这项工作。首先关闭所有你不需要的服务，然后保证必要的服务都处于正常启动状态。要注意的是：当你对Windows服务进行重新配置时，你是在对操作系统的核心进行操作，所以要特别小心。在做任何改动之前，你都要对重要的数据进行备份，最好能够对系统分区进行一次完整地备份（比如用Ghost程序）。如果你不想亲自完成这项优化工作，也有个偷懒的办法，那就是利用我们后面将要讨论的脚本自动进行优化。 禁用哪些服务 如果你的Windows XP还没有升级到SP2，首先你可以禁用Messenger服务和Alerter服务，这两项服务原先是为管理员发布消息和错误警报而设计的，

16、实际上很少被用到（尤其是对于家庭用户就更是没用了），反而会被垃圾信息发送者和黑客滥用。如果你经常收到弹出的消息窗口向你推销某种商品，那正是Messenger服务惹的祸。关闭服务的方法是依次打开“控制面板”“管理工具”“服务”，双击某个想要关闭的服务或者选中某个服务后按右键选择“属性”，然后在服务的属性窗口中将它的启动类型改为“已禁用”，这样在下次电脑启动后它们就不会被自动启动了。如果你的windows xp已经升级到SP2，这两个服务是会被自动禁用的，不过你最好检查一下，如果没有禁用的话就将它们禁用。 接下去可以考虑禁用的服务是Error Reporting Service，它会搜集来自其他服

17、务和应用程序的错误消息。如果你经常碰到系统崩溃，会很熟悉它弹出的错误报告窗口，它允许你把错误发送给Microsoft公司，但实际上多数人都不会选择这样做，所以还是关掉它吧。 Remote Registry服务顾名思义是用于远程操作注册表的，你真的需要进行这种具有相当风险的操作吗？如果没有的话，那还是将它禁用吧。 Task Scheduler服务允许你在计算机上配置和制定自动任务的日程，但并不是所有人都习惯这样安排任务，如果你不想自动对系统进行备份，那就关闭它。你也不必担心你的杀毒软件不能正常自动更新，因为杀毒软件的任务安排通常不是由Task Scheduler服务控制的。 Telnet服务最好

18、也关掉，这项协议会在网络传输中使用明码传递ID和密码，因此很不安全，所以还是关掉为好。如果有疑问 如果你无法确定某个自动启动的服务是否需要，最好不要将其禁用。在这种情况下，把它们的启动状态改为“手动”是个最好的选择。 还要注意一点，很多服务之间存在着依存关系。比如，如果关闭Remote Procedure Call服务，Task Scheduler服务就无法工作。依次打开“控制面板”“管理工具”“服务”，双击某个想要关闭的服务或者选中某个服务后按右键选择“属性”，在属性窗口中选择“依存关系”选项卡，就可以看到某项服务依赖于哪些其他的服务（如图7所示）。 是否禁用那些易用性服务，你可以根据自己的

19、情况而定，如果你宁愿自己手动去检查和安装Windows补丁，那就可以将Automatic Updates服务关闭。如果你喜欢使用第三方的防火墙，可以将Security Center服务关闭。如果你并不使用无线连接，则可以将Wireless Zero Configuration服务关闭。 必需启动的服务 表格中的带“”标记的条目表示这些服务如果不被其他服务所依赖的话，也可以将其禁用。禁用这些服务可能会使windows xp的某些功能无法使用，比如如果禁用Cryptographic Services，就无法支持带有签名的程序，也无法使用安全证书。 如果你特别执着地想知道哪些服务可以被关闭，可以关闭

20、某项服务，然后观察关闭前后windows xp系统是否能够正常运行，如果一切正常，那就可以将其禁用。试验时比较好的做法是不要将服务禁用，而是把它们的启动状态改为“手动”。我们曾经尝试在一台机器上关闭了所有的服务，只保留了Remote Procedure Call服务。我们发现，操作系统还可以正常启动，你也可以把它当作打字机使用，但其他功能基本上无法使用，操作系统会弹出无数的窗口告诉你没有操作的权限。 安全服务 即便你按照上述的步骤对Windows XP服务进行了“瘦身”，但使用Netstat和Nmap扫描时你仍然会发现三个对外开放的服务：Epmap（端口135）、Microsoft-ds（端口

21、445）和Netbios-ssn（端口139），这三项服务都和网络有关。毕竟我们对windows xp服务进行“瘦身”并不是为了彻底切断与网络的联系。 windows xp在默认状态下会打开Netbios和SMB（Server Message Block，服务器信息块），这些协议用于用户共享文件、磁盘、目录和打印机。如果你不需要它们，可以用后面讨论的办法关闭它们。先来看看如何关闭Netbios，打开“控制面板”“网络连接”中的网卡设置窗口，进入TCP/IP设置项的高级设置窗口，在WINS选项卡中选择“禁用TCP/IP上的NetBIOS”，这样一来就可以去掉Netbios-ssn服务（如图8所示

22、）。 再来看Endpoint Mapper，它是由DCOM控制的。依次选择“开始”“运行”，然后运行dcomcnfg.exe，在窗口左边依次选择“组件服务”“计算机”“我的电脑”，然后按鼠标右键并在上下文菜单中选择“属性”“默认属性”，取消选择“在此计算机上启用分布式COM (E)”，然后在“默认协议”选项卡中删除所有的协议。这样重新启动之后，你会发现Epmap也不见了。 如果想彻底关闭SMB服务，你需要在注册表中创建一个新的值HKEY_Local_MachineSYSTEMCurrentControlSetServicesNetBTParamtersSMBDeviceEnabled，将此值设

23、置为0。使用自动脚本 如果不想自己一项项地去调整各项服务，可以考虑一下使用预定义好的脚本程序。这里介绍的脚本来自www.ntsvcfg.de，这是一家专注于优化Windows安全配置的德国网站。你需要下载的脚本程序是http:/www.ntsvcfg.de/svc2kxp.cmd。下载之后双击该文件即可，它会打开一个Windows命令行窗口（如图9所示），列出了4个服务配置选项：LAN、Standard、ALL、Restore。你可以按数字键进行选择，LAN适用于需要使用局域网的机器，Standard适用于带有Internet连接但没有局域网的独立机器，ALL则使用了该网站讨论的最为激进的优化

24、方案。其中的Standard比较符合本文推荐的优化方案，这个脚本会将Security Accounts Manager、TCP/IP NetBIOS Helper和Windows Management Instrumentation的运行状态改为“手动”。如果你对修改后的效果不满意，可以选择Restore恢复之前的设置。除了不能关闭Netbios之外，这个脚本的自动化程度非常不错。由于该脚本使用了sc.exe来启动和终止服务，如果你的机器上没有sc.exe，可以到 更进一步的考虑 如果想要防止黑客入侵，仅仅对Windows服务进行优化是不够的。你仍然需要安装Internet防火墙和防病毒软件，

25、经常更新你的操作系统和应用软件。升级到windows xp SP2是个好主意，它内置了防火墙，安全性有了不小的进步。如果你对Internet Explorer和outlook Express并不是非常依赖的话，可以考虑使用其他的网络浏览工具和e-mail客户端，比如基于Mozilla的Firefox和Thunderbird，国产的邮件客户端Foxmail也非常不错，这些软件都可以免费获得。它们通常要比Microsoft的产品更安全，原因很简单，黑客会把注意力集中于最流行的软件。 进行日常工作时使用普通帐户而不是管理员帐户登录是个很好的习惯，不过Microsoft和很多应用软件开发商的疏忽给这种使用习惯带来了不小的障碍，很多厂商只是在管理员权限下对产品功能进行测试，因此普通帐户往往需要扩展权限才能正常工作。重要的windows xp服务 Workstation：创建和维护到远程服务的客户端网络连接。如果你想要访问Internet或者局域网，就必须启动该服务 Computer Browser：维护网络上计算机的更新列表，它还管理文件和打印机共享信息