WINDOWS XP系统服务详解
WINDOWS XP系统服务详解一、什么是系统服务在Windows 2000/XP/2003系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件) 程序。通过网络
WINDOWS XP系统服务详解
一、什么是系统服务
在Windows 2000/XP/2003系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件) 程序。通过网络提供服务时,服务可以在Active Directory(活动目录) 中发布,从而促进了以服务为中心的管理和使用。
服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web 服务器、数据库服务器以及其他基于服务器的应用程序。
二、配置和管理系统服务
其实与系统注册表类似,对系统服务的操作,我们可以通过“服务管理控制台”来实现。 以管理员或Administrators 组成员身份登录,单击“开始→运行”菜单项,在出现的对话框中键入“Services.msc”并回车,即可打开“服务管理控制台”。你也可以单击“开始→控制面板→管理工具→服务”选项来启动该控制台。
在服务控制台中,双击任意一个服务,就可以打开该服务的属性对话框。在这里,我们可以对服务进行配置、管理操作,通过更改服务的启动类型来设置满足自己需要的启动、关闭或禁用服务。
在“常规”选项卡中,“服务名称”是指服务的“简称”,并且也是在注册表中显示的名称;“显示名称”是指在服务配置界面中每项服务显示的名称;“描述”是为该服务作的简单解释;“可执行文件的路径”即是该服务对应的可执行文件的具体位置;“启动类型”是整个服务配置的核心,对于任意一个服务,通常都有3种启动类型,即自动、手动和已禁用。只要从下拉菜单中选择就可以更改服务的启动类型。“服务状态”是指服务的现在状态是启动还是停止,通常,我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。
下面让我们来看看3种不同类型的启动状态:
自动:此服务随着系统启动时启动,它将延长启动所需要的时间,有些服务是必须设置为自动的,如Remote Procedure Call(RPC)。由于依存关系或其他影响,其他的一些服务也必须设置为自动,这样的服务最好不要去更改它,否则系统无法正常运行。
手动:如果一个服务被设置为手动,那么可以在需要时再运行它。这样可以节省大量的系统资源,加快系统启动。
已禁用:此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患,可以先尝试停止它,看看系统是否能正常运行,如果一切正常,那么就可以直接禁用它了。如果以后需要这个服务,在启动它之前,必须先将启动类型设置为自动或手动。
单击“依存关系”选项卡,在这里我们可以看到,在顶端列表中指出运行选定服务所需的其他服务,底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行,必须依靠其他服务。在停止或禁用一个服务之前,一定要看看这个服务的依存关系,如果有其他需要启动的服务是依靠这个服务,就不能将其停止。在停止或禁用一个服务前,清楚了解该服务的依存关系是必不可少的步骤。
三、winxp 系统服务详解
1.Alerter (错误警报器)
说明:将系统上发生的与管理有关的事件以警示信息传送至网络上指定的电脑或用户,例如当发生打印错误或硬盘即将写满等事件,即由该服务负责收集、送出。该服务进程名为
,Services.exe
参考:一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts ),除非你的计算机用在局域网络上。可以关闭此项服务。
依存:Workstation
建议:手动
2. (XP )Application Layer Gateway Service(应用层网关服务)
说明:提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持。
参考: 如果你不使用因特网联机共享(ICS )提供多台计算机的因特网存取和因特网联机防火墙(ICF )软件,可以关闭此项服务。
依存: Internt Connection Firewall(ICF )/Internet Connection Sharing(ICS ) 建议: 手动/已禁用
3. Application Management(应用程序管理)
说明:AppMgmt(应用程序管理服务) 。提供软件安装服务,如分派、发行以及删除。该服务进程名为Svchost.exe 。Windows2000引入了一种基于MSI (应用程序安装信息程序包文件)文件格式的软件管理方案——应用程序管理组件服务,它不仅管理软件的安装、删除,而且可以使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。 参考:当设置为“已禁用”时其实并不影响单机上软件的安装与卸载,而且基于MSI 格式安装、修复与删除的行为也正常。
建议:手动
4. Automatic Updates(自动更新)
说明:Wuauserv(自动更新服务) 。从Windows Update 启用Windows 更新的下载和安装。该服务进程名为Svchost.exe 。
参考:宽带用户如果需要Windows 自动更新,可让此服务随机启动(自动),驻留后台。 建议:手动
5. Background Intelligent Transfer Service(后台智能传输服务)
说明:用来实现http1.1服务器之间的信息传输,微软称支持Windows 更新时断点续传,Windows Update就是以此为工作之一。
依存:Remote Procedure Call(RPC )和Workstation
建议:手动
6. ClipBook(剪贴簿)
说明:通过Network DDE 和Network DDE DSDM 提供的网络动态数据交换服务,查阅远程机器中的剪贴簿,用于局域网中电脑来共享粘贴/剪贴的内容。
参考:把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到,普通用户可以设置为:已禁用。
依存:Network DDE
进程:clipsrv.exe
建议:该服务对于一般家用计算机根本涉及不到,可以根据具体情况,停止
7. COM Event System(COM 组件系统)
,说明:COM 倡导了一种新的概念,它把COM 组件软件提升到应用层(用户使用层)而不再是底层的软件结构,通过操作系统的各种支持,使组件对象模型建立在应用层上,把所有组件的底层细节留给操作系统。一些 COM 软件需要这项服务的支持。该服务进程名为Svchost.exe 。
参考:有些程序可能用到COM 组件,如BootVis 的optimize system应用,检查Program FilesComPlus Applications目录,如果该目录为空就可以关闭此服务。
依存: Remote Procedure Call(RPC )和System Event Notification
建议:手动
8. (XP )COM System Application(COM 系统应用层)
说明:COMSysApp(COM 系统应用服务) 。管理基于COM 组件的配置和跟踪。该服务进程名为Dllhost.exe 。
依存:Remote Procedure Call(RPC )
建议:如果COM Event System是一辆车,那么COM System Application就是司机,手动
9. Computer Browser(计算机浏览器)
说明:维护网上邻居中计算机的最新列表,并将这个列表通知给请求的程序,用来浏览局域网电脑的服务。
参考:普通用户设置为:已禁用;局域网用户设为:手动。
依存:Server 和 Workstation
建议:手动
10. Cryptographic Services(认证服务)
说明:提供三个管理服务:确认 Windows数字签名章的“类别目录数据库服务”;从这个计算机新增及移除受信任根凭证授权凭证的“受保护的根目录服务”,以及协助注册这个计算机以取得凭证的“密钥服务”。如果这个服务被停止,这些管理服务将无法正确工作。该服务进程名为Svchost.exe 。
参考:简单的说就是Windows Hardware Quality Lab(WHQL )认证,如果使用 Automatic Updates ,可能需要这个。
依存:Remote Procedure Call(RPC )
建议:手动
11. DHCP Client(动态主机配置协议客户端)
说明:DHCP 是一种提供动态IP 地址分配、管理的TCP/IP服务协议,它作为网络启动过程的一部分。DHCP 客户端系统就可以向DHCP 服务器请求和租用IP 地址。
参考:如果是通过拨号方式连入Internet ,则需要保持此服务的自动启动状态,因为在Internet 上的IP 地址是由ISP 动态分配的。除非系统不应用于任何网络,可以将其设为:已禁用。
依存:AFD 网络支持环境、NetBT 、SYMTDI 、TCP/IP Protocol Driver 和NetBios over TCP/IP 建议:自动
12. Distributed Link Tracking Client(分布式链接跟踪客户端)
说明:分布式链接跟踪客户端能跟踪文件在网络域的NTFS 卷中移动的情况,并发出通知,用于局域网更新文件链接信息。后台运行时一般占用4M 内存。
,参考:普通用户设置为:已禁用;局域网用户(硬盘已格式为NTFS 格式)设为:手动。 依存:Remote Procedure Call(RPC )
建议:手动/已禁用
13. Distributed Transaction Coordinator(分布式协同处理器)
说明:分布于两个以上的数据库、消息队列、文件系统其它事务保护资源管理器,协调跨越多个资源管理员的交易,如数据库、信息队列及文件系统。如果此服务被停止,这些交易将不会发生。该服务的进程名为Msdtc.exe
参考:普通用户没有用处,除非启用Message Queuing。
依存:Remote Procedure Call(RPC )和Security Accounts Manager
建议:手动
14. DNS Client(域名系统客户端)
说明:将域名解析为IP 地址。如果停止这个服务,这台计算机将无法解析DNS 名称并寻找Active Directory网域控制站的位置。
参考:除非没有连入任何网络,否则应保持此服务的自动启动状态。另外IPSEC 需要用到。 依存:TCP/IP Protocol Driver
进程:dns.exe
建议:自动
15. (XP )Error Reporting Service(错误报告服务)
说明:允许对执行于非标准环境中的服务和应用程序的错误报告。该服务进程名为Svchost.exe 。
依存:Remote Procedure Call(RPC )
建议:该服务即微软的应用程序错误报告,基于安全性考虑,停止。
16. Event Log(事件日志)
说明:记录程序和系统发送的出错消息,包含了对诊断问题有所帮助的信息。禁用此服务后,将导致了几个关于网络的服务无法启动的现象,并且无法实现拨号上网。该服务进程名为Services.exe 。
参考:如果存在Internet 或局域网连接,建议保持此服务的自动启动状态。此服务不能被停止。
依存:Windows Management Instrumentation
建议:自动
17. (XP )Fast User Switching Compatibility(快速用户切换)
说明:在多使用者环境下提供应用程序管理。该服务进程名为Svchost.exe 。
参考:注销画面中的切换用户功能。
依存:Terminal Services
建议:基于安全性考虑,如果不使用多用户环境,停止。
18. Fax Service(传真服务)
说明:在Windows95中支持的传真功能在Windows2000中重新被予以支持,而且与系统集成
,得更好。
参考:如果不使用传真机,可以设置为:已禁用。
进程:faxsvc.exe
19. FTP Publishing Service(FTP 发布服务)
说明:通过Internet 信息服务(IIS )的管理单元提供FTP 连接和管理。
进程:inetinfo.exe
建议:自动/手动
20. (XP )Help and Support(帮助和支持中心)
说明:让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。该服务进程名为Svchost.exe 。
依存: Remote Procedure Call(RPC )
建议: 可以根据具体情况,停止。
21. (XP )Human Interface Device Access(人性化接口访问)
说明:启用对人性化接口装置(HID )的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。该服务进程名为Svchost.exe 。
依存: Remote Procedure Call(RPC )
建议: 手动/已停用
22. IIS Admin Service(IIS 管理服务)
说明:允许通过Internet 信息服务(IIS )的管理单元管理Web 和FTP 服务。
建议:自动/手动
23. (XP )IMAPI CD-Burning COM Service(IMAPI 光盘刻录服务)
说明:使用 Image Mastering Applications Programming Interface(IMAPI )管理光盘刻录。
参考:WinXP 整合的CD-R 和CD-RW 光驱上拖放的刻录功能,可惜比不上烧录软件,关闭此服务还可以加快Nero 的启动速度,HOHO~~。
建议: 手动/已停用
24. Indexing Service(索引服务)
说明:索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建立索引,并通过Windows2000特有的文档过滤器快速定位到所需要的文档上,大大强化了Windows2000的搜索能力。但另一方面,索引搜索又消耗了大量系统资源。
微软建议:对于仅有64MB 内存,而要索引的文档又超过十万个的系统,就应该禁用这个服务。但事实上,在针对64MB 内存的系统中,即使文档数量远远低于十万个,系统资源的消耗亦非常惊人,而且在128MB 的系统上情况无明显好转,因此强烈建议禁用它。进程:cisvc.exe 依存关系:Remote Procedure Call(RPC)
建议:已禁用
25. Internet Connection Firewall (Internet 连接防火墙) / Internet Connection
,Sharing (Internet 连接共享)
说明:此服务为局域网计算机提供Internet 共享连接,为多台联网的电脑共享一个拨号网络访问Internet 提供了捷径。以前在Windows9X 中要实现这一功能需借助SYGATE 、WinGATE 等代理软件,现在这一功能已直接被Windows2000支持。该服务进程名为Svchost.exe 。 参考:如果不使用Internet 连接共享或是WinXP 内含的Internet 连接防火墙的普通用户可将其设为:已禁用。
依存:Application Layer Gateway Service、Network Connections、Network Location Awareness (NLA )、Remote Access Connection Manager
建议:ICF 自动,ICS 手动
26. IPSEC Policy Agent(IP 安全策略代理)
说明:此服务允许IP 安全策略对两台计算机之间传输的数据包进行加密,从而防止在网上看到它的人对它进行更改和破译。IPSEC 是一种用来保护内部网、专用网络(Internet )和外部网(Extranet )免遭攻击的重要防御方法。使用IPSEC 前必须需要首先定义两台计算机之间相互信任和通信安全的方式。
请注意:在Windows2000默认情况下“IP安全策略代理”是自动启动的,而“IP安全策略”并没有启动(网络和拨号连接→拨号连接属性→网络→Internet协议(TCP/IP)属性→高级→选项中的“IP安全机制”属性中可以看到)。
参考:一般用户就完全可以禁用此代理服务。
依存:IPSEC driver、Remote Procedure Call (RPC )、TCP/IP Protocol Driver 进程:lsass.exe
建议:手动
27. Logical Disk Manager(逻辑磁盘管理)
说明:磁盘管理服务。
参考:动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console (MMC )主控台的功能。在需要时此服务会通知用户,所以一般可以关闭此服务。
依存:Plug and Play 、Remote Procedure Call (RPC )、Logical Disk Manager Administrative Service
建议:手动
28. Logical Disk Manager Administrative Service(逻辑磁盘管理服务)
说明:设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。
参考:使用Microsoft Management Console(MMC )主控台的功能时才用到。
依存:Plug and Play、Remote Procedure Call (RPC )、Logical Disk Manager 进程:dmadmin.exe
建议:手动
29. Messenger(信使服务)
说明:此服务非MSN Messenger,发送和接收由系统管理员或由Alerter 服务所发送消息的服务。Alerter 服务需要依赖本服务。
参考:允许网络之间互相传送提示讯息的功能,如net send 功能。如果Alerter 已禁止,可设置为:手动或已禁用。
依存:NetBIOS Interface、Plug and Play、Remote Procedure Call(RPC )、Workstation
,建议:手动/已禁
30. (XP )MS Software Shadow Copy Provider(微软阴影复制服务)
说明:管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。
参考充:使用MS Backup程序需要此服务。
依存:Remote Procedure Call(RPC )
建议:已停用
31. Net Logon(网络登录)
说明:此服务用于在局域网上验证登录信息的选项、登录域名控制。
参考:一般用户可设为:已禁用或手动。
建议:手动/已禁用
32. NetMeeting Remote Desktop Sharing(NetMeeting 远程桌面共享)
说明:该服务能通过NetMeeting ,允许拥有权限的用户远程访问Windows 桌面。
参考:使用者可以将计算机的控制权分享予网络上的其它使用者。此服务提供的功能对一般用户并无太大的用处,并可能带来安全问题,可以设置为:已禁用。
进程:mnmsrvc.exe
建议:手动/已禁用
33. Network Connections(网络连接)
说明:管理“网络和拨号连接”文件夹中的所有对象。
参考:如果存在任何网络连接(包括拨号连接),保持此服务的自动/手动状态。若禁用此服务,“网络和拨号连接”文件夹中将为空,不能新建连接和拨号上网。
依存:Remote Procedure Call(RPC )、Internet Connection Firewall(ICF )/ Internet Connection Sharing(ICS )
建议:手动
34. Network DDE(网络动态数据交换)
35. Network DDE DSDM
说明:此两项服务和Clipbook 一起使用。网络动态数据交换服务是一种为DDE 对话提供网络传输和安全的服务。DDE (动态数据交换)是实现进程通讯的一种形式,它允许支持DDE 的两个或多个程序交换信息和命令。
参考:一般用户可设为:已禁用。
依存: Network DDE DSDM、ClipBook
建议:手动/已禁用
36. (XP )Network Location Awareness(NLA )
说明:收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。 参考:如果不使用 ICF 和 IC可以关闭此服务。
依存:AFD 网络支持环境、TCP/IP Procotol Driver 、Internet Connection Firewall (ICF )
,/ Internet Connection Sharing (ICS )
建议:已禁用
37. NT LM Security Support Provider(NT LM安全性支持提供者)
说明:此服务供Telnet 服务使用,为使用传输协议而不是命名管道的远程过程调用(RPC )程序提供安全机制。
参考:如果不使用 Message Queuing 或是 Telnet Server可以关闭,根据用户需要确定启动类型。
建议:手动/已禁用
38. Performance Logs and Alerts(性能日志和警报)
说明:记录计算机运行状况并且定时写入日志或发出警告。但是记录的内容可能过于专业,不易理解。
进程:smlogsvc.exe
建议:手动/已禁用
39. Plug and Play(即插即用)
说明:即插即用是Intel 开发的一组规范,它赋予了计算机自动检测和配置设备并安装相应驱动程序的能力。当有设备被更改时,能自动通知使用该设备的程序当前设备的状况。 参考:将该服务状态保持自动启动状态有利于设备的管理和维护。
依存:Logical Disk Manager 、Logical Disk Manager Administrative Service 、Messenger 、Smart Card、Telephony 、Windows Audio
建议:自动
40. (xp )portable Media Serial Number(便携式媒体序号)
说明:Retrieves the serial number of any portable music player connected to your computer
参考:通过联机计算机重新取得任何音乐播放序号,无用服务。
建议: 已停用
41. Print Spooler(打印后台处理)
说明:此服务的作用是将多个请求打印的文档统一进行保存和管理,待打印机资源空闲后,再将数据送往打印机处理。
参考:无任何打印设备的用户设置为:已禁用,否则设为:自动。
依存: Remote Procedure Call(RPC )
进程:spoolsv.exe
注意:如果启用了传真服务(Fax Service),此服务就应该保持自动状态,因为传真服务依赖Print Spooler的运行。
42. Protected Storage(保护性存储)
说明:提供储存本地密码和网上服务密码的服务,包括填表时的自动完成功能,防止未授权的服务、过程或用户对其的非法访问。
参考:储存计算机上密码的服务,如Outlook 、拨号程序、其它应用程序、主从架构等。 依存:Remote Procedure Call(RPC )
,建议:自动
43. QoS RSVP(QoS 许可控制)
说明:为依赖质量服务(QoS )的程序和控制程序提供网络信号和本地通信控制安装功能。 参考:用来保留20带宽的服务,如果网络卡不支持 802.1p或在计算机的网络上没有ACS server ,可以关闭此服务。
依存: AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call(RPC ) 进程:rsvp.exe
建议:手动/已停用
44. Remote Access Auto Connection Manager(远程访问自动连接管理器)
说明:在程序企图读取网络信息时自动连接到网络。
参考:有些 DSL/Cable提供者可能需要用此来处理登入程序。
依存:Remote Access Connection Manager、Telephony
建议:手动
45. Remote Access Connection Manager(远程访问连接管理器)
说明:建立网络联机。
参考:网络联机用
依存:Telephony 、Internet Connection Firewall(ICF )/ Internet Connection Sharing(ICS )、Remote Access Auto Connection Manager
建议:手动
46. (XP )Remote Desktop Help Session Manager(远程桌面帮助管理)
微软: 管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。
参考: 不使用管理和控制远程协助可以关闭
依存: Remote Procedure Call(RPC )
建议: 手动/已停
47. Remote Procedure Call(RPC )(远程过程调用)
说明:一种消息传递功能。在计算机的远程管理期间它允许分布式应用程序(即COM +应用程序)呼叫网络上不同计算机上的可用服务。很多服务需要依赖它的运行。
参考:很多进程服务都依赖此服务,保持手动。
建议:自动
48. Remote Procedure Call Locator(远程过程调用定位器)
说明:管理RPC 数据库服务,后台运行时一般占用1M 内存。
参考:一般计算机上很少用到,可以尝试关闭。
进程:locator.exe
建议:手动
49. Remote Registry Service(远程注册表服务)
说明:该服务能使您编辑另一台计算机上的注册表,可能带来安全问题。
参考:普通单机用户根本没必要使用这个服务,除非需要远程协助修改你的登录设定。该服
,务进程名为Svchost.exe 。可以设置为:已禁用。
进程:regsvc.exe
建议:手动/已禁用
50. Removable Storage(可移动存储)
参考:除非有Zip 驱动器、USB 之类可携式的硬件或是Tape 备份装置,不然可以尝试关闭。 依存: Remote Procedure Call(RPC )
建议:手动
51. Routing and Remote Access(路由和远程访问)
说明:在局域网以及广域网环境中为企业提供路由服务。
参考:提供拨号联机到局域网或是VPN 服务,一般用户用不到。
建议:已禁用
52. Run As Service(以其他用户身份运行服务的服务)
说明:当以一般权限用户身份登录系统,而在使用中又需要修改只有系统管理员才能修改的系统设置项时,该服务提供了不用重启系统以管理员身份登录的捷径。只需要在命令提示符下运行RunAs 命令就可达到更改目的。
参考:对于一般用户在未熟悉RunAs 命令用法之前可以将其设为:已禁用。
建议:已禁用
53. Security Accounts Manager(安全帐户管理器)
说明:存储本地用户帐户的安全信息。Protected Storage ,IIS Admin 服务都需要此服务的支持。该服务进程名为Lsass.exe 。
参考:管理账号和群组原则(gpedit.msc )应用需要此服务。
依存:Remote Procedure Call(RPC )、Distributed Transaction Coordinator
建议:自动
54. Server(服务器)
参考:此服务用于局域网文件/打印共享,除非你有和其它计算机分享,不然就可以关闭了。 依存:Computer Browser
建议:手动/已禁用
55. (XP )Shell Hardware Detection(外层硬件检测)
说明:为自动播放硬件事件提供通知。
参考:一般使用在记忆卡或是CD-RO 、DVD-ROM 上。
依存:Remote Procedure Call (RPC )
建议:自动/手动
56. Smart Card(智能卡)
57. Smart Card Helper(智能卡助手)
说明:提供对智能卡设备的支持。