windowsXP服务详解资料

windowsXP服务详解

l.Alerter

Alerter（警示器）服务的进程名是Services.exe（即启动这个服务后在后台运行的进程的名

称，能够通过任务管理器看到）。Alerter服务的功能是，WinXP符系统上发生的与管理有关

的事件以警示（Alert）信息传送至网络上指定的电脑或者用户，比如当发生打印错误或者硬

盘马上写满等事件,这类警示信息由XP的警示器服务（AlerterService）收集、送出。

尽管Alerter依存的服务并没有Messenger（信使）服务，但Alerter服务务必依靠后者才

能送出信息，故在启动Alerte•服务后还务必确定Messenger服务也是在工作中，而接收的

电脑也务必启动Messenger服务。由于Alerter服务运行后，服务使用户能够发送弹出（Pop-up）

信息给其他用户，这些信息有可能被攻击者用来实施攻击，如诱腺用户修改口令等，从而造

成安全隐患。同时该服务使得用户帐号名泄漏，也有可能被攻击者利用来进行口令猜测攻击。

因此关于家庭单机用户，甚至关于绝大多数小型的局域网来说.这个功能是完全可禁用的，

不仅节约了系统资源与加快启动速度，也提高了机器的安全性，

2.ApplicationLayerGatewayService

简称”ALG"（应用层网关），其进程名是alg.exe,WinXPHome/PRO默认安装的启动类型为

手幼。ALG乂被称之代理服务器（ProxyServer）,是网络防火墙从功能面上分类的一种。当

内部计完机与外部主机连结时，将由代理服务器（ProxyServe，）担任内部计凫机与外部主

机的连结中继者。使用ALG的好处是隐藏内部主机的地址与防止外部不正常的连接，假如

代理服务器上未安装针对该应用程序设计的代理程序时，任何属于这个网络服务的封包将完

全无法通过防火墙。通俗点说，具体到ALG本身，它就是WinXP附带的Internet连接共享/

防火墙的具体控管程序，假如你需要启用这二者，这个服务是必备的。当然，只有一台计算

机的上网家庭能够考虑禁用这个服务，只是笔者个人觉得WinXP内置的防火墙效果还是不

错的，假如不是坚持要使用第三方的防火墙，还是建议开着它吧。

3.ApplicationManagement

AppMgmt（应用程序管理服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装的启

动类型是手动，没有任何依存服务关系。从Win2000开始微软引入了一种基丁•MSI文件格

式（应用程序安装信息程序包文件）的全新、有效软件管理方案一一即应用程序管理组件服

务（ApplicationManagement;,它不仅管理软件的安装、删除.而且可使用此项服务修改、

修复现有应用程序，监视文件更原并通过复原排除基本故障等。通常这个服务我们保持其默

认状态较好。

可能许多朋友都有印象，当年ACDSee4.0刚公布时，由于安装制作上的考虑不周，并没

有考虑到那个时候大多数人的系统还并不支持MSI安装格式，结果只得又去下载安装一个

名为WindowsInstaller的MSI辅助文件才解决问题。通常以MSI文件格式安装的软件十分好

认，比如说OfficeXP,当你安装后再次运行软件的安装程序时，它通常会有"重新安装"

修复软件"、"卸载软件”等多个选项，而不是往常安装程序那种就简单的卸载或者覆盖安装

了事。

4.AutomaticUpdates

Wuauserv（自动更新服务）的进程名是Svchost.exe,WinXPHome/Pr。默认安装的启动类

型为自动，没有任何依存服务关系。这个是大家都非常熟悉的系统自动更新功能，就不多说

了。用小猫上网而深受其苦的朋友记得在系统属性中关闭是不够的，还要将Automatic

Updates这个服务禁用才能够。以后需要更新的话,直接到在IE中键入WindowsUpdate网

站地址手动更新即可。

5.BackgroundIntelligentTransferService

6.ClipBook

ClipSrv（剪贴板查看器服务）的进程名是dipsrv.exe,WinXPHome/Pro默认安装的启动类

型是手动，依靠NetworkDDE服务。ClipBook通过NetworkDDE与NetworkDDEDSDM提供

的网络动态数据交换服务，可查阅远程机器中的剪贴板，通俗的说就是ClipBook支持剪贴

板查看器（ClipBookViewer）程序，该程序可同意剪贴页被远程计算机上的ClipBook浏览。

比如有个较大的文档工程，由A、B、C共同开发，A负责Excel数据部分，B负责Visio制

图部分，而C负责将两部分文档的整合。C经常需要对A、B的数据进行拷贝，愚蠢的做法

是C打开A、B在网络邻居上共享的文档，然后将有关内容拷贝。而对Windows体系有一定

熟悉的用户应该听说过OLE这个东西，上面说的EXCEL数据与Visi。制图都能够认为是独立

的OLE对象，假如A、B、C的3台机器上的Clipbook服务都为开启,就可利用ClipBook共

享这些OLE对象,C只要在自己的文档中建立OLE对象的链接指向A、B的Excel与Visio,A、

B对自己工作的任何改动即可在C的复合文档里自动表达。由此可见，ClipBook是基于对象

的共享，而非简单的文件共享.因此也很好懂得，这是一把双刃剑，在带来极大方便的同时，

也带来被非法远程访问ClipBook剪贴页面的安全隐患。关于没有上述类似工作，又不准备

使用或者极少使用远程桌面的用户，这个服务完全能够禁用，垄需要的时候再打开。

EventSystem（COM+事件系统服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装的

启动类型是手动，依靠RemoteProcedureCall服务。关于非软件开发专业的朋友来说，COM+

是个非常难懂得的名词。简单的说COM+是一种软件构件/组件的标准。比如写一个软件好

比是盖一座房子。而门窗等部件会根据标准设计，以求得省时省力，COM组件即是Windows

的门窗等标准组件了，COM+是对COM的进一步扩展，其具体含义在此就不全面介绍了，

Windows系统又是个典型的消息（事件）处理型系统，很多功能都是由消息来触发的，这就

产生了COM+EventSystemo我们要学习的是如何简单推断自己的系统中是否有程序依靠此

服务。检查你的系统安装盘下的"Programfiles\ComPlusApplications"目录，假如没有东西就

能够把这个服务关闭了。

COMSysApp（COM+系统应用服务）的进程名是Dllhost.exe,WinXPHome/Pro默认安装的启

动类型是手动，依靠RemoteProcedureCall服务。简单的说,COM+SystemApplication是COM+

EventSystem的具体执行者，假如禁用了COM+EventSystem也就自然禁用它。

Browser（计算机浏览器服务）的进程名是Svchost.exe,WinXPHome/Pr。默认安装的启动类

型是自动,依靠Server与Workstation服务。Browser服务保护着〜个网络资源的清单,其

中包含基于Windows的域、工作组与计算机，还有其他支持NetBIOS协议的网络设备，我

们在“网上邻居"上看到显示的内容正是来源于此。显然关于通常家庭用的计算机这个服务并

不需要，除非计算机位于局域网之上，比如用长城宽带的朋友，用它可方便地明白社区内的

网络环境。这个服务还是慎重对待较好，若不是太在意还是将其设置成自动吧。

lO.Cryptographicservices

CryptSvc（认证服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装的扇动类型为自

动，依靠RemoteProcedureCall服务。CryptSvc是整个微软公钥体系（PKLPublicKey

Infrastructure）的核心元件。所谓的PK是一种公匙加密法，通过加密来保证数据的安全与

传送，它与传统的秘密（对称）钥匙密码法不相同，PK密码法的基本特性是加密与解密的

钥匙不一致，每一个用户两把钥匙，一把公开密匙，一把,私匙。撇开这些难以一下子懂得的

术语,具体到CryptSvc本身来说，假如我们在WinXP中使用AutomaticUpdates自动更新,

或者在Internet上使用证书进行身份验证与正确管理这些证竹等，那么这个服务就不要关闭。

其中这个功能最有用的是，当你安装一个驱动程序时，以确定它是不是通过微软认证的。由

于驱动程序在操作系统内能够获得很高的运行权限，含有恶意代码的驱动程序会让你玩完，

因而开发驱动程序的厂家通常都会去做微软认证，通过验证后，微软会在里面添加它的认证

数据，再到你机器上安装时就能够通过CryptSvc检测升级。

ll.DHCPClient

Dhcp（DHCP客户端服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型

为自动，依靠AFDNetworkingSupportEnvironment,NetBIOSoverTCP/IP与TCP/IPProtocol

Driver服务。简单的说DHCP过程就是由网络中一台主机（DHCPServer）将所有的网络参数

自动分配给网络内的任何一台计算机，而DHCPClient就是网络中被分配网络参数的对象计

算机了。假如能在网络中被自动分配IP地址等网络参数，那么这个DHCPClient服务就必不

可少。关于家庭单机用户来说，只要是使用DSL/Cable上网、开启ICS与IPSEC服务的人都

需要这个来指定静态IP，因此通常这个服务是不关闭的，除非你的机器是完全的单机应用环

境。

12.DistributedLinkTrackingClient

TrkWks（分布式连结追踪客户端服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装

的启动类型为自动，依靠RemoteProcedureCall服务。关于计算机有一定熟悉的人关于"分

布式”这个词并不陌生，这里就不作解释。TrkWks服务简单说，就是将整个网络中分散于各

台计凫机上互相有连接的NTFS文件看作一个整体，相当于一台机器上的文件系统，因此当

系统内发生文件移动，就会记录这个信息。它是针对域用户"的"NTFS文件"的"分布式连接“,

这3个条件缺一个你就用不上它，关于不在局域网的单机用户来说，当然是禁用它。

13.DistributedTransactioncoordinator

MSDTC（分布式交易协调器）的进程名是Msdtc.exe,WinXPHome/Pro默认安装的启动类型

是手动，依靠RemoteProcedureCall与SecurityAccountsManager服务。MSDTC要紧用来处

理分布式交易，所谓分布式交易，就是跨越两个或者多个数据废的单一SQLServer内部的交

易。同一数据库内不一致数据表间的交易，则不能称作分布式交易。显然关于需要同时处理

多个数据库或者文件系统的用户来说，这个服务意义重大，但它也是通常意义上通常用户不

可能使用到的服务，通常来默认手动启动就好了，事实上这个服务也容易受到远程拒绝服务

攻击，禁用它也没有问题，而且更安全。

14.DNSClient

Dnscache（DNS客户端服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动

类型为自动，依靠TCP/IPProtocolDriver服务。DNS（DomainNameSystem）也是常见的名

词了，简单的解释就是当使用网页浏览器去上网时，会键入网站的网址，而这些网址名称在

因特网上就是透过网域名称服务器（DNS服务器）来完成名称转换为IP地址的解释。实际

上一些网站并不是只有一台朋务器在工作，而是有多台服务器在同时工作，也就是说同样一

个网站名称地址可对应不一致的IP地址（在Win2000往常的操作系统可执行此查询）。但假

如将操作系统换到Win2000或者XP,同样的网站你又会发现总是查到同一个IP地址。为什

么会这样呢？这就是DNSClient服务的作用。

为了要达到用最快速、最有效率的方式，让客户端能够迅速找到网域的验证服务，在

Win2000/XP系统中,加入了DNS快取（Cache）的功能,当第一次在找到了目的主机的IP

地址后，操作系统就会将所查询到的名称及IP地址记录在本机的DNS快取缓冲区中，卜.次

客户端还需要再查询时，就不需要到DNS服务器上查询，而直接使用木机DNSCache中的

数据即可，因此你杏询的结果始终是同一IP地址。这个服务关闭与否影响并不大，在安全

性上最多只是能够泄漏你的缓存内容，确定你曾经访问过的网站。

15.ErrorReportingService

ERSvc（错误报告服务）的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为自

动，依靠RemoteProcedureCall服务。这个服务我们经常碰到，当使用程序出错时会跳出对

话框，问你是否需要向微软发送报告，就是这个服务的功能。此服务完全可设置为手动或者

禁I匕假如你想对错误报告进吁更全面的设置，能够右键单击"我的电脑"图标，选择"属性"，

在"高级选项卡"下点击“错误报告”按钮，在那里你能够决定是否发送错误报告与发送如何的

错误报告。而关于没有上网的用户就可直接禁用此服务了，上网用户假如担心报告会向微软

透漏你的私人信息（当然微软保证不可能发生这种情况），也大可禁用它。

16.EventLog

Eventlog（系统日志纪录服务）的进程名是Services.exe,WinXPHome/Pro默认安装的启动

类型为自动，没有服务依存关系。EventLog服务负责记录来自系统与运行中程序的管理事

件消息，为Windows与应用程序提供了一个标准而集中的方法来记录重要的软件与硬件事

件。打开事件查看器的方法是依次打开"开始一操纵面板“，然后选择打开"管理工具一事件

查看器”。这个服务是基础服务，无法调整关闭。

17.FastUserSwitchingCompatibility

FastUserSwitchingCompatibility（多用户快速切换服务）的进程名是svchost.exe,WinXP

Home/Pr•。默认安装的启动类型是手动，依靠TerminalServices服务。此服务是WinXP的新

技术，即快速的多用户切换环境。解决了往常的多用户环境尽管安全但是切换用户环境需要

重新启动，并丢失上一用户工作环境的问题。使用很简单，只要进行"开始一注销一切换用

户“操作即可方便地切换用户环境，是非常不错的多用户技术，假如用不着多用户环境就不

用打开它（加入域后默认不能进行快速切换，当然可禁用）。

18.FAXService

FAX（传真服务）的进程名是Fxssvc.exe,WinXPHome/Pro中默认是没有安装的，依靠Plug

andPlay、PrintSpooler、RemoteProcedureCalkTelephony服务。FAX服务在默认情况下是.

没有安装的，但假如你安装了它就能够进行"开始一所有程序一附件一通讯一传真“操作，使

用WinXP内置的传真服务来收发传真了，当然你要保证你的机器至少还保留了一只小猫。

不需要的人就禁用吧。

19.HelpandSupport

Helpsvc（帮助服务）的进程名是Svchost.exe,WinXPHome/Pro中默认安装的启动类型为

自动，依靠RemoteProcedureCall服务。这个服务用于支持WinXP帮助与支持中心的功能,

假如你刚开始使用WinXP,这个帮助中心能解决很多问题，假如你觉得不需要它了，那就禁

用吧。

20.HumanInterfaceDeviceAccess

HidServ（人性化接口装置服务）的进程名是Svchost.exe,WinXPHome/Pr。中默认安装的

启动类型是禁用，依靠RemoteProcedureCall服务。这个服务简单说就是支持那些所谓的带

有多媒体功能智能键盘，比如音量调节。当然你有符合人体工程学标准的设备（要紧指键盘

与鼠标），那么这个服务就设置为自动，否则这些设备的一些功能将不能正常使用。而假如

你没有这类设备或者者你的设备有自己的驱动，即可禁用此服务。

21.IMAPICD-BurningCOMService

ImapiService（IMAPICD刻录服务）的进程名是lmapi.exe,WinXPHome/Pro中默认安装的启

动类型是手动，没有任何的朋务依存关系。这个就是WinXP内置的CD刻录服务了，杂志

2003年第12期对此有过较全面的介绍。总的来说该服务的功能与性能十分有限，有刻录机

的朋友还是安装成熟的第三方刻录软件，关闭这个服务吧。

22.IndexingService

Cisvc（索引服务）的进程名是Cisvc.exe,WinXPHome/Pro中默认安装的启动类型是手动，

依靠RemoteProcedureCall服务。这个服务可为本地与远程计算机上的文件编制索引，也就

是说像图书馆里为图书编制的查询索引一样，这样可加快寻找文件的速度。开启此项服务对

个人用户而言有•个很大的帮助，就是文件浏览速度（即双击某文件夹后的等待时间）会明

显增加，由于系统已将目录结构读入了内存，需要时会直接调用。但此服务启用后某此情况

会导致系统极度繁忙，通过任务管理器，可看见Cidaemon.exe这个进程占用了大部分CPU

资源。因此对待这个不成熟的服务请根据自己机器的情况设为"自动"或者"禁用"。

23.InternetConnectionFirewall/lnternetConnectionSharing

SharedAccess（Internet连接共享与防火墙服务）的进程名是Svchost.exe,WinXPHome/Pro

中默认安装的启动类型分别是手动与自动，依靠ApplicationLayerGatewayServiceNetwork

Connections>NetworkLocationAwarenessRemoteAccessConnectionManager这个服

务提供WinXP内置的Internet连接共享与防火墙功能。笔者比较喜欢这两个功能，性能都不

错而且方便，具体关闭与否看个人喜好，不用就能够关闭它。

24.IPSECServices

PolicyAgent（IP安全策略服务）的进程名是Lsass.exe,WinXPHome/Pro中默认安装的启

动类型为自动，依靠IPSECdriver^RemoteProcedureCalkTCP/IPProtocolDriver服务。IPSEC

是一种用来保护内部网、专用网络与外部网（Internet、Extranet：免遭攻击的重要防御方法，

要紧特征在于它可对所有IP级的通信进行加密与认证，正是这一点才使IPSEC能够确保包含

远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。由

于企业及政府用户非常注重于部署安全的IP，因此这一服务显得很重要。同时也能够看到，

关于绝大多数用户来说，这是个根本就不用关心的东西。因此禁用它吧。

25.LogicalDiskManager

Dmserver（逻辑磁盘管理员版务）的进程名是Svchost.exe,WinXPHome/Pro中默认安装

的启动类型分别是手动与自动，依靠PlugandPlay、RemoteProcedureCall服务。Dmserver

用来动态管理磁盘，如显示磁盘可用空间与使用MicrosoftManagementConsole（MMC）主

控台中的磁盘管理功能。这个服务关于经常使用移动硬盘、U盘等外设的朋友来说必不可少，

没有的话可选择禁用它.

26.LogicalDiskManagerAdministrativeService

Dmadmin（逻辑磁盘管理系统管理服务）的进程名是Svchost.exe,WinXPHome/Pr。中默认

安装的启动类型分别是手动与自动，依靠LogicalDiskManager、PlugandPlay、Remote

ProcedureCall服务。Dmadmir要紧用来配置硬盘信息、，平常基本上没用。打开"计究机管理

"（MicrosoftManagementConsole,简称MMC）时，你能够看到"磁盘管理"，这时就会用上

它，可设为手动。

【押子增补】

[mdm.exe]

进程文件:mdmormdm.exe

进程名称：MachineDebugManager

描述:Debug除错管理用于调试应用程序与Micros。代Office中的MicrosoftScriptEditor脚本

编辑器。

介绍：Mdm.exe的要紧工作是针对应用软件进行排错（Debug）,说到这里，扯点题外话，假

如你在系统见到用开头的。字节文件，它们就是mdm.exe在排错过程中产生•些暂存文件，

这些文件在操作系统进行关机时没有自动被清除，因此这些fff开头的怪文件里是一些后缀

名为CHK的文件都是没有用的文件，只要系统中有Mdm.exe存在，就有可能产生以fff开头

的怪文件。能够按下面的方法让系统停止运行Mdm.exe来完全删除以fff开头的怪文件：首

先按"Ctrl+Alt+Del”组合键，在弹出的"关闭程序"窗口中选中"Mdm",按"结束任务"按钮来停

lhMdm.exe在后台的运行，接着把Mdm.exe（在C:\Windows\System目录卜）改名为Mdm.bak。

运行msconfig程序，在启动页中取消对"MachineDebugManager"的选择。这样能够不让

Mdm.exe自启动，然后点击“确定"按钮，结束msconfig程序，并重新启动电脑。另外，假如

你使用IE5.X以上版本浏览器，建议禁用脚本调用（点击"工具一Internet选项一高级一禁用脚

本调用"），这样就能够避免以脩开头的怪文件再次产生。

OFF：如何关闭计算机调试管理器Mdm.exe

found.000文件夹的问题

问：我的电脑有的时候在C盘或者D盘的根目录下有个名为found.000的文件夹，里面有一

些后缀名为CHK的文件。在c:\windows下有很多以fff开头的怪文件，而且大小全部为0字

节。请问这些是什么文件？能否符它们删除？

答：found.000文件夹里面的一些后缀名为CHK的文件是你在使用"磁盘碎片整理程序"整理

硬盘后所产生的”丢失簇的恢复文件“。在c:\windows下有很多以fff开头的文件是由

Mdm.exe（MachineDebugManager）这个程序产生的。Mdm.exe的要紧工作是针对应用软件进

行排错（Debug）,在排错过程中会产生一些暂存文件，这些文件在操作系统进行关机时没有

自动被清除，因此这些fff开头的怪文件与found.000文件夹里面的一些后缀名为CHK的文

件都是没有用的：s33文件，能够任意删除而不可能对系统产生不良影响。

但只要系统中有Mdm.exe存在，那么以fff开头的怪文件就又有可能产生。你能够按下面的

方法让系统停止运行Mdm.exe来完全删除以fff开头的怪文件:首先按"CtH+Alt+Del"组合键，

在弹出的"关闭程序”窗口中选中"Mdm"，按"结束任务"按钮来停止Mdm.exe在后台的运行，

接着把Mdm.exe（在C:\Windows\System目录下）改名为Mdm.bav。运行msconfig程序，在启

动页中取消对"MachineDebugManager"的选择。这样能够不让Mdm.exe自启动，然后点击"

确定”按钮，结束msconfig程序，并重新启动电脑。另外，假如你使用IE5.X,建议禁用脚本

调用（点击"工具一Internet选项~高级一禁用脚本调用"），这样就能够避免以fff开头的怪文

件再次产生。

27.Messenger

Messenger（信使服务）的进程名是Services.exe,WinXPHome/Pro中默认安装的启动类型

为自动,依靠NetBIOSInterface、PlugandPlay>RemoteProcedureCalkWorkstation服务。

Messenger这个服务上过网的人都应该比较熟悉，本来Microsoft开发"信使服务"是为了方便

同一域中的管理员进行信息交流，后来有些人开发了突破域限制的信使发送工具，因此大家

挂在网上时，计算机上经常会弹出•个名为“信使服务”的对话框，这些不请自至K勺”信使”基

本上是一些垃圾信使信息，有无聊的广告，有非法的信息等。通常这些信息是用一些名为"

凶宝宝信使"、"妖刺"的软件公布的，但实际上假如是在同一域中，只需要用NETSEND命令

就能够轻易发送消息了。突然出现的“信使服务”不仅会干扰工作，影响心情，而且还容易遭

至上社会工程"攻击，因此禁用它吧。

28.MSSo代wareShadowCopyProvider

SwPrv（管理磁盘区卷影复制服务）的进程名是dllhost.exe,WinXPHome/Pro中默认安装

的启动类型是手动，依靠RemoteProcedureCall服务。这个服务是为WinXP中的MSBackup

备份程序提供支持，惊奇的是即使关掠它我的备份工作也能够顺利完成，用不着的话就禁用

它吧。

29.NetLogon

Netlogon（网域登录服务）的进程名是lsass.exe,WinXPHome/Pro中默认安装的启动类型分

别是手动与自动，依靠Workstation服务。这个服务是用来做网域审查的。当你的计算机处

在一个域网内时，假如要使用网内的域服务器登录到域网时，就要通过它来登录了。通常用

户用不着，禁用即可。

3O.NetMeetingRemoteDesktopSharing

Mnmsrvc（NetMeeting远程桌面共享服务）的进程名是Mnnsrvc.exe,WinXPHome/Pro

中默认安装的启动类型是手动，依靠RemoteProcedureCall限务。使用NetMeeting可透过

公司内部网络，让使用者将计兑机的操纵权分享给局域网上或考因特网上的其他使用者，很

多人都由于安全问题关掉它，而且它很占网络资源。但假如你想与别人做些非文字的交流,

还是比较好玩的。注意关掉它后，远程桌面共享功能将无法使用。

31.NetworkConnections

Netman（网络连接服务）的进程名是svchost.exe,WinXPHome/PRO默认安装的启动类型是

手动，依靠于RemoteProcedureCall服务。Netman也是非常重要的基础服务，它管理着"网

络与拨号连接"文件夹中的所有对象，任何有关于网络上（局域网、Internet）的连接都需要

这个服务。假如被禁用，在"网络与拨号连接"文件夹中将什么都看不到，更不用说新建连接

与拨号上网了。因此除非你的机器是绝对的单机环境，才可将其关闭。

32.NetworkDDE

NetDDE（网络动态数据交换服务）的进程名是netdde.exe,WinXPHome/PRO默认安装的

启动类型是手动，依靠于NetworkDDEDSDM服务。NetDDE（NetworkDynamicDataExchange）

是微软早期设计的一种方法，可让应用程序在不一致PC上的Windows之间交换动态数据,

现在已经很少使用。实际上在WinXP中，真正使用它的只有ClipBook服务，回顾上一期中

提到的3人共同开发文档，通过ClipBook来交换动态数据的例子就能够很好懂得这个服务

的作用了。数据共享服务通常是通过可信赖的沟通渠道，负责管理这项服务的是网络DDE

代理（NetworkDDEAgent）,实际上网络DDE代理会使机器非常容易遭受攻击而失去本机的

管理员操纵权。因此假如无需ClipBook共享这个特殊服务，不妨禁用。33.NetworkDDE

DSDM

NetDDEdsdm（网络动态数据交换网络共享服务）的进程名是netdde.exe,WinXP

Home/PRO默认安装的启动类型是手动，它不依靠于其他服务，假如此服务终止，Network

DDE服务将不可用，实际上假如不用NetworkDDE,那么NetworkDDEDSDM也禁用好了。

34.NetworkLocationAwareness

NLA（网络位置识别服务）的进程名是svchost.exe,WinXP卜ome/PRO默认安装的启动类

型是手动，依靠于AFD网络支持环境与TCP/IPProtocolDriver服务,而ICF/ICS服务依靠于它。

NLA能够探测网络系统的有关信息，当这些信息发生变化时通知有关的应用程序。基本上,

这个服务要紧针对的对象是笔记本电脑。由于在实际工作与生活中，人们的笔记本电脑常常

在超过一个以上的网络环境中应用。经常可能遇到在一个网络中需要使用动态IP地址，而

在另一网络中需要使用静态IP地址的问题。比如说你在办公室里使用的是动态IP,而在家

里却使用静态IP来连接宽带，那么NLA就可让你在家里及单位网络（有线）之间切换时自

动辨认出不一致网络环境，从而自动选择合适的配置而无需重新调整网络参数。关于经常移

动办公的人，这确实是个不错的功能。

35.NTLMSecuritySupportProvider

NtLmSsp（NTLM安全性支持提供者服务）的进程名是lsass.exe,WinXPHome/PRO默认安

装的启动类型是手动，它不依靠于其他服务。NTLM的意思即NTLanManger,是NT卜.提供

的认证方法之一，使用了64,立的加密手段。NtLmSsp这个服务要紧针对RPC（远程过程调

用），通常RPC能够选择基于两种通信方式，一种是传输协议，比如TCP/IP、UDP,IPX等，

另一种为命名管道（Pipeline）,通常情况下Windows默认选择都是传输协议，而由于RPC

是使用非加密传输的，通信数据安全无法得到保证，而NtLmSsp就可向这•类RPC提供安

全服务。WinXP中已知的这类RPC应用就是Telnet服务（Telnet也依靠于NtLmSsp）,因此

无需Telnet服务的单机用户可将NtLmSsp其关闭。

36.PerformanceLogsandAlerts

SysmonLog（效能记录日志及警示服务）的进程名是smlogsvc.exe,WinXPHome/PRO默认

安装的启动类型是手动，它没有任何服务依存关系。假如打开操纵面板的管理工具，能够看

到有"性能"这个工具，它较全面地反映了系统的性能，但配置起来相当复杂，不好上手，而

且大多数人也会认为这个性能工具没什么意义。

SysmonLog就是为它提供日志记录的服务。假如你对自己机器的工作状态比较在意，这绝

对是一个值得研究的工具，由于它能够严格监视硬盘、内存、CPU甚至于软件在系统中的运

行，并通过记录下的日志数据分析机器软硬件资源的具体情况。更有用的是，假如你比较熟

悉计数器这个参数的设置，就可为各部分资源设置合适的计数器值，一旦服务监视到资源的

性能值超过或者是低于此值，就会通过Messenger服务发出警告，如此很容易就能觉察到机

器的某部分资源不足（如若升级电脑就可先从这里考虑）或者发生了故障等。当然，并不关

心自己机器具体工作的用户也可将其关闭。

37.PlugandPlay

PlugPlay（即插即用服务）的进程名是services.exe,WinXPHome/PRO默认安装的启动类

型是自动，它不依靠于任何服务。这个服务想必大家相当熟悉，从Win98开始这个技术就

始终是微软操作系统的核心部分。即插即用是Intel开发的一组规范，它给予了计算机自动

检测与配置设备并安装相应驱动程序的能力，当有设备被更换时能自动通知当前设备的状况

并使用该设备变更后的程序。PlugPlay是WinXP的几个基础服务之在服务管理工具中无

法调整它，而且假如本服务一旦失败就只有重新启动机器了。

38.PortableMediaSerialNumberService

WmdmPmSp（便携的媒体字号服务）的进程名是svchost.exe,WinXPHome/PRO默认安

装的启动类型是自动，它没有任何服务依存关系。这个服务事实上非常简单，它是微软用来

防盗版的工具之•，但目前基本上只是针对音乐。微软用它获得你系统中媒体播放器的序列

号，做什么用呢？事实上它是在试图操纵你将盗版的音乐文件拷贝到类似MP3、MD等便携

播放器匕尽管微软声称关掉这个服务会影响将正版音乐下载到便携播放器，但笔者还是关

掉这个服务，一是影响并不大，至少手上的正版CD拷贝到MP3是没有问题的，二是微软也

刺探得太多了吧，我们用什么还都得报告它？

39.PrintSpooler

Spooler（打印后台处理服务）的进程名是spoolsv.exe,WinXPHome/PRO默认安装的六动

类型是自动，依靠于RemoteProcedureCall。Spooler是为了提高文件打印效率，将多个请求

打印的文档统一进行储存与管理，先将要打印的文件拷贝到内存，待打印机空闲后，再将数

据送往打印机处理。这样处理速度更快些。建议将其设置为手动，有打印任务时再打开。假

如没有打印机自然是禁用了。

40.ProtectedStorage

ProtectedStorage（受保护存放区服务）的进程名是lsass.exe,WinXPHome/PRO默认安装

的启动类型是自动，依靠于RenoteProcedureCall。这一服务提供对敏感性数据保护的功能，

比如密码、证书等，但通常它只针对Windows自身的敏感数据进行保护，可用来储存你计

算机上的密码。通常上网的用户都比较喜欢开这个服务，毕竟像自动填表这些功能给人带来

很％方便。但假如你的电脑是多用户环境，或者是使用第记本日.脑，经常移动办公，那么这

个服务就要慎重使用了。有很多密码破解软件就是针对这个ProtectedStorage的，比较有名

的有ProtectedStoragePassView,用它能够轻易得到被储存在ProtectedStorage中你曾经上

过的论坛的帐号密码、拨号密码等。因此，关于这个服务要视使用环境而定，在不安全的环

境卜还是关闭较好。

41.QoSRSVP

RSVP（QoS许可操纵服务）的进程名是rsvp.exe,WinXPHome/PRO默认安装的启动类型

是手动，依靠于AFDNetworkingSupportEnvironmentsRemoteProcedureCalkTCP/IPProtocol

Driver服务。这就是微软那个饱受争议的占用了20%网络带宽的强务L对大多数朋友来说，

关掉它是简单正确的选择。但是要懂得这个服务毕竟是干什么的就不这么简单了。QoS这个

词的意思是服务质量（QualityofService）,而RSVP这个词的意思是资源预留协议（ReSerVation

Protocol）o

随着IP技术与网络的进展，世界各国的运营商基于IP网络已开发出多种多样的新业务。

由于目前基于存储转发机制的Internet（IPv4标准）只为用户提供了“尽力而为（best-effort）

“的服务，不能保证数据包传输的实时性、完整性与到达的顺序性，更无法保障实时多媒体

业务服务质量（QoS）,因此要紧应用在文件传送与电子邮件服务。而随着Internet的飞速进

展，人们关于在Internet上传输多媒体信息的需求越来越大，这就要求网络应能根据用户的

要求分配与调度资源，传统的，尽力而为“转发机制已不能满足隹户的要求。为解决这一问题，

美国于1996年底开始了以提高网络服务质量研究为核心的InternetH与NGI（下一代Internet）

等研究项目。有关的权威组织IETF（InternetEngineeringTaskForce）也成立了专门的工作小

组来研究多媒体服务质量的定义与有关标准。IETF在IP网络的QoS方面提出了多种服务模

型与机制，其中的综合业务模型（Int-Serv）引入了一个重要的网络操纵协议RSVP（资源预

留协议），这•模型的思想是”为了给特定的客户包流提供特殊的QoS,要求路由器务必能够

预留资源。反过来要求路由器中有特定流的状态信息"。因此能够看出，这一模型能提供绝

对有保证的QoS,是以预留下的资源作为代价的，对资源的要求实际上是更高的。因此，关

于WinXP中的Q05RSVP服务保留了20%的网络带宽也就不足为奇了，由于关于个人应用儿

乎亳无意义，禁用它是不二选择。

42.RemoteAccessAutoConnectionManager

RasAuto（远程访问自动联机管理员服务）的进程名是svchost.exe,WinXPHome/PRO默认

安装的启动类型是手动，依靠「RemoteAccessConnectionManager、Telephony服务。RasAuto

要紧针对宽带使用，当有网络连接请求时它会自动打开网络连装，我们在使用WinXP时会

经常弹出•个自动拨号窗口，就是它在工作。假如你的机器提供网络共享服务就开着它，避

免网络断线后手动连接，否则可将其关闭。

43.RemoteAccessConnectionManager

RasMan（远程访问联机管理员服务）的进程名是svchost.exe,WinXPHome/PRO默认安装

的启动类型是手动，依靠于Telephony服务，其简单描述是"创建网络连接"，这个解释简单

明了，因此根据自己系统的情况来使用这个服务即可。

44.RemoteDesktopHelpSessionManager

RDSessMgr（远程桌面协助服务）的进程名是sessmgr.exe,WinXPHome/PRO默认安装的

启动类型是手动，依靠于RemoteProcedureCall服务。这是与NetMeetingRemoteDesktop

Sharing很类似的•个服务。鼠标点击“开始一所有程序一附件一通讯一远程来面连接"可开

远程桌面功能，而RDSessMgr就是为它提供支持。微软的原意是通过它做远程帮助，其代

价是牺牲安全与4MB内存的占用，不需要时一定得关闭。

45.RemoteProcedureCall

RpcSs（远程过程调用服务）的进程名是svchost.exe,WinXP卜。me/PRO默认安装的启动类

型是自动。太多服务依靠于这一服务了，最近"冲击波”横行，估计大家都对RPC有此印象了

吧，它原名远程进程调用，是早期IBM、SUN等公司定义的功能级通信协议，随后被微软采

纳，但作了改动，称之为MRPC。总的来说RPC是一种消息传递功能，上一期说过Windows

系统是个典型的消息（事件）处理型系统，因此RPC关于系统的重要性不言而喻。由于

Windows内部结构已相当复杂了，很难搞清晰什么模块在用R〉C什么不用，事实上你只要

关掉它，系统就可能崩溃。因此这个服务也是不可禁用的。

46.RemoteProcedureCall（RPC）Locator

RpcLocator（远程过程调用定位服务）的进程名是locator.exe,WinXPHome/PRO默认安装

的启动类型是手动，依靠于Workstation服务。这一服务与上面的RPC服务并无太多关系，

是用来给RPC的命名服务的。其用途简单解释就是，通过它对RPC的命名管理，调用者才

能找到被调用者的位置。但由于微软系统注册表的存在，使得这些命名服务在本机上的调用

上亳无意义。因此关于通常用户完全能够关闭。

47.RemoteRegistry

RemoteRegistry（远程注册表服务）的进程名是svchost.exe,在WinXPHomeF不可用，

在WinXPPRO下默认安装的启动类型是自动，依靠于RemoteProcedureCall服务。此服务是

向其他连机的计算机开放你的注册表，微软总是让这种明显是安全隐患的服务自动启动实在

让人费解。只是假如你有这种特殊需求的话能够尝试一下。打开注册表编辑器Regedit,在

文件菜单栏里找到"连接网络注册表“这一项，可让你打开甚至编辑其他机器上的注册表。当

然那些机器上的RemoteRegistry也务必是打开的，而且对你计算机的一些相应权限同样务必

开放。

48.RemovableStorage

NtmsSvc（卸除式存放装置服务）的进程名是svchost.exe,在WinXPHome/PROF默认安

装的启动类型是手动,依靠于RemoteProcedureCall服务。此服务的名称太容易让人误解,

实际上它只是对特殊可移动存储器的管理，比如ZIP软驱与磁带驱动器，不要担心你的CD

与DVD等设备。从事图像设计的用户经常会用ZIP同苹果机交换文件，通常人估计很少使用

这些特殊设备，因此可将其关闭。

49.RoutingandRemoteAccess

RemoteAccess（路由与远程访问服务）的进程名是svchost.exe,在WinXPHome/PRO卜'默

认安装的启动类型分别为禁用与手动,依靠于NetBIOSGroup、RemoteProcedureCall服务。

RoutingandRemoteAccess为软路由，即在一台连接多个网络的计算机上通过运行路由软件，

以实现网络间路由的〜种方法，相关于硬件路由来说很是方便经济。WinXP也把这个功能集

成到系统里来了，只是可能比较少人明白是在哪里配置路由，要紧原因就是这个服务默认为

关闭。首先启动此服务，网络连接文件夹里会多出一个"传入的连接"，值得注意的是，在

VPN连接（传入的连接）的属性"Internet协议（TCP/IP）"里通常要指定TCP/IP地址（通常

来说都务必是合法地址）才行。感兴趣的朋友能够自已继续研究，而大多数不需要的朋友直

接禁用它吧。

50.SecondaryLogon

Seclogon（二次登录服务）的进程名是svchost.exe,在WinXPHome/PRO卜默认安装的启

动类型是自动，没有任何服务依存关系。这个服务对应于用户临时权限分配功能，在多用户

使用的计算机上，某些用户由因此非管理员权限，导致某些程序无法执行。为了让没有管理

员权限的已经登录用户能够使用这些程序，WinXP设计/这个功能来分配临时的管理员权限。

打开这个服务后，右键点击鼠标选择"运行方式"将会出现对话框，让你选择执行这个程序的

用户身份。对多用户环境下的管理员，这确实是方便的功能，只是依然是以安全作为代价的，

对单人环境的笔记本电脑用户来说特别无用而同危险！因此要喧市使用。

51.SecurityAccountsManager

SamSs（安全账户管理服务）的进程名是lsass.exe,在WinXPHome/PRO下默认安装的启

动类型是自动，依靠于RemoteProcedureCall服务。熟悉WinXP启动过程的用户都明白SAM

文件的重要性，SamSs是负责SAM数据库的操纵与保护的服务。SAM数据库位于注册表

"HKLM\SAM\SAM"T,可使用Regedit32.exe打开注册表编辑器，并设置适当权限查看SAM

中的内容。SAM数据库储存在磁盘上的"系统盘\windows\system32\config"目录卜的sam文

件中，在这个目录下还包含一个security文件，是安全数据库的内容，两者有很多关系。SAM

数据库中包含了系统中所有组、账户的信息。而WinXP启动时就需要在SAM文件中读取诸

如用户名、用户全名（fullname）、所属组、描述、密码、注释、是否能够更换密码、密码

设置时间等信息。这也是系统中不可关闭的几个基础服务之一，假如服务启动失败，系统就

只有重启了。

52.Server

Lanmanserver（服务器服务）的进程名是svchost.exe,在WinXPHome/PROF默认安装

的启动类型是自动。Server服务对应的是网络上的文件/打印机器共享，与网络的路径映射

共享功能。没有这些方面的需要你就能够关闭它。

53.ShellHardwareDetection

ShellHWDetection（外壳硬件探测服务）的进程名是svchost.exe,在WinXPHome/PROF

默认安装的启动类型是自动，依靠于RemoteProcedureCall服务。对这个服务微软是语焉不

详，也没有给出全面的硬件描述或者列表，只是根据网络上很多人的测试，这个服务要紧还

是与具有自动运行（播放）功能的硬件有关系，比如数字相机、CD-ROM等。通过这个服务，

当这些硬件接上系统或者放入相应媒介时，WinXP能自动探测到并做出对应动作。关于外设

越来越多的现在，没有把握还是不要轻易关闭它。

54.SmartCard

SCardSvr（智能卡服务）的进程名是SCardSvr.exe,在WinXPHome/PRO下默认安装的启动

类型是手动，依靠于PlugandPlay服务。SmartCard（智能卡）其外型与通常信用卡大小一

样，但多了一块指甲大小的IC芯片后，使原本普通的一张卡片变成拥有资料控管与逻辑运

算的能力。智能卡包含金融卡、GSM卡等，与我们通常常用的电话IC卡相比，内部的IC线

路设计不一致。由于卡内本身即已包含了CPU功能、ROM、EEPROM、RAM等元件，智能卡

就像一台可随身携带的超微型电脑，可用来储存及处理重要资料。在安全性方面，智能卡具

有自我毁灭系统，想窃取卡上的资料非常困难。假如你拥有智能卡及有关的读卡设备就开启

这个服务，否则就禁用吧。

55.SmartCardHelper

SCardDrv（智能卡协助服务）的进程名是SCardSvr.exe,在WinXPHome/PRO卜默认安装

的启动类型是手动，它没有任何服务依存关系。只要没有有关的设备就禁用好了。

56.SSDPDiscoveryService

SSDPSRV（简易服务发现协议之发现服务）的进程名是svchost.exe,在WinXPHome/PROF

默认安装的启动类型是手动。SSDPSRV要紧用于局域网上UPnP（UniversalPlugandPlay,统

一即插即用）设备的搜索。UPnP并不一致于我们平常熟悉的PnP,UPnP技术PnP对进行了

扩展，简化了家庭或者企业中智能设备的联网过程。UPnP规范基于TCP/IP|办议与针对设备

彼此间通信而制订的其他Internet协议，这就是它之因此被称作"通用"的原因所在-——UPnP

技术不依靠于特定的设备驱动程序，而是使用标准协议。与即插即用相比，这种技术的意义

在于，能够轻易地使家庭等非专业用户享受到智能化技术带来的更舒适完美的生活，比如，

正是UPnP才使得能在网上冲浪的电冰箱成为可能。UPnP是个较新的协议，也不是非常成

熟，对应设备在市场上非常罕见，市场上流行的LinksysBEFSR41W无线路由器是这方面的例

子。关于大多数现在还无缘使用此类设备的朋友，关闭这个服务吧。

57.SystemEventNotification

SENS（系统事件通知服务）的进程名是svchost.exe,在WinXPHome/PRO下默认安装的启动

类型是自动，依靠于COM+EventSystem服务。它的简单描述是"跟踪系统事件，如登录

Windows、网络与电源事件等c将这些事件通知给COM+事件系统’订阅者（subscriber）'

这已将服务的内容解释得很清晰了。尽管有人认为这个服务无关紧要，事实上系统是否需要

它取决于你在系统里安装了些什么，而许多应用程序的运行是要通过SENS来实现的，因此

建议还是让它自动打开为好。

58.SystemRestoreService

Srservice（系统还原服务）的进程名是svchost.exe,在WinXPHome/PR。F默认安装的启

动类型是自动，依靠于RemoteProcedureCall服务。这是大家都非常熟悉的系统还原功能了，

假如不使用的话，先在"我的电脑"属性中的系统还原选项卡关闭，然后在这里将服务禁用即

可。

59.TaskScheduler

Schedule（计划任务服务）的进程名是svchost.exe,在WinXPHome/PRO下默认安装的启

动类型是自幼，依靠于RemoteProcedureCa