1、AlerterAlerter(警示器)服务的进程名是Services.exe(即启动这个服务后在后台运行的进程的名称,可以通过任务管理器看到)。Alerter服务的功能是,WinXP将系统上发生的与管理有关的事件以警示(Alert)信息传送至网络上指定的电脑或用户,例如当发生打印错误或硬盘即将写满等事件,这类警示信息由XP的警示器服务(AlerterService)收集、送出。尽管Alerter依存的服务并没有Messenger(信使)服务,但Alerter服务必须依赖后者才能送出信息,故在启动Alerter服务后还必须确定Messenger服务也是在工作中,
2、而接收的电脑也必须启动Messenger服务。由于Alerter服务运行后,服务使用户可以发送弹出(Pop-up)信息给其他用户,这些信息有可能被攻击者用来实施攻击,如诱骗用户修改口令等,从而造成安全隐患。同时该服务使得用户帐号名泄漏,也有可能被攻击者利用来进行口令猜测攻击。所以对于家庭单机用户,甚至对于绝大多数小型的局域网来说,这个功能是完全可禁用的,不仅节省了系统资源和加快启动速度,也提高了机器的安全性。AutomaticUpdatesWuauserv(自动更新服务)的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为自动,
3、没有任何依存服务关系。这个是大家都非常熟悉的系统自动更新功能,就不多说了。BackgroundIntelligentTransferServiceBITS(后台智能传输服务)的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型是手动,依赖于RemoteProcedureCall、Workstation服务。微软宣称BITS能够利用剩余的带宽传输文件,当网络切断或计算机需重启时,后台智能传输服务会自动对文件传输加以维护,当网络重新连接时,后台智能传输服务将继续从停止的地方继续开始传输文件。其实这个服务原是用来实现HTTP1.1服务
4、器之间的信息传输,基本上它的应用也就是支持Windows自动更新时的断点续传。如果你禁用了AutomaticUpdates,留着它基本上也没有什么意义。ClipBookClipSrv(剪贴板查看器服务)的进程名是clipsrv.exe,WinXPHome/Pro默认安装的启动类型是手动,依赖NetworkDDE服务。ClipBook通过NetworkDDE和NetworkDDEDSDM提供的网络动态数据交换服务,可查阅远程机器中的剪贴板,通俗的说就是ClipBook支持剪贴板查看器(ClipBookViewer)程序,该程序可允许剪贴页被远程计算机
5、上的ClipBook浏览。DistributedLinkTrackingClientTrkWks(分布式连结追踪客户端服务)的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为自动,依赖RemoteProcedureCall服务。对于计算机有一定了解的人对于"分布式"这个词并不陌生,这里就不作解释。TrkWks服务简单说,就是将整个网络中分散于各台计算机上互相有连接的NTFS文件看作一个整体,相当于一台机器上的文件系统,所以当系统内发生文件移动,就会记录这个信息。它是针对"域用户"的"
6、NTFS文彳"的"分布式连接",这3个条件缺一个你就用不上它,对于不在局域网的单机用户来说,当然是禁用它。DistributedTransactioncoordinatorMSDTC(分布式交易协调器)的进程名是Msdtc.exe,WinXPHome/Pro默认安装的启动类型是手动,依赖RemoteProcedureCall和SecurityAccountsManager服务。MSDTCfc要用来处理分布式交易,所谓分布式交易,就是跨越两个或多个数据库的单一SQLServer内部的交易。同一数据库内不同数据表间的交易,
7、则不能称作分布式交易。显然对于需要同时处理多个数据库或文件系统的用户来说,这个服务意义重大,但它也是通常意义上一般用户不会使用到的服务,通常来默认手动启动就好了,其实这个服务也容易受到远程拒绝服务攻击,禁用它也没有问题,而且更安全。ErrorReportingServiceERSvc(错误报告服务)的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为自动,依赖RemoteProcedureCall服务。这个服务我们经常碰到,当使用程序出错时会跳出对话框,问你是否需要向微软发送报告,就是这个服务的功能。此服务完全可设置为手动或
8、禁止。如果你想对错误报告进行更详细的设置,可以右键单击"我的电脑"图标,选择"属性",在"高级选项卡"下点击"错误报告"按钮,在那里你可以决定是否发送错误报告以及发送怎样的错误报告。而对于没有上网的用户就可直接禁用此服务了,上网用户如果担心报告会向微软透漏你的私人信息(当然微软保证不会发生这种事情),也大可禁用它。MessengerMessenger(信使服务)的进程名是Services.exe,WinXPHome/Pro中默认安装的启动类型为自动,依赖NetBIOSInte
10、、"妖刺"的软件发布的,但实际上如果是在同一域中,只需要用NETSEND命令就可以轻易发送消息了。突然出现的"信使服务"不仅会干扰工作,影响心情,而且还容易遭到"社会工程"攻击,所以禁用它吧。NetMeetingRemoteDesktopSharingMnmsrvc(NetMeeting远程桌面共享服务)的进程名是Mnmsrvc.exe,WinXPHome/Pro中默认安装的启动类型是手动,依赖RemoteProcedureCall服务。使用NetMeeting可透过公司
12、文档,通过ClipBook来交换动态数据的例子就可以很好理解这个服务的作用了。数据共享服务通常是经过可信赖的沟通渠道,负责管理这项服务的是网络DD曰弋理(NetworkDDEAgent),实际上网络DDE代理会使机器非常容易遭受攻击而失去本机的管理员控制权。NetworkDDEDSDMNetDDEdsdm(网络动态数据交换网络共享服务)的进程名是netdde.exe,WinXPHome/PRO默认安装的启动类型是手动,它不依赖于其他服务。如果此服务终止,NetworkDDE服务将不可用,实际上如果不用NetworkDDE,那么NetworkDDEDSDM也禁用好了
13、。RemoteDesktopHelpSessionManagerRDSessMgr(远程桌面协助服务)的进程名是sessmgr.exe,WinXPHome/PROM认安装的启动类型是手动,依赖于RemoteProcedureCall服务。这是与NetMeetingRemoteDesktopSharing很类似的一个服务。鼠标点击”开始-所有程序-附件-通讯-远程桌面连接"可开远程桌面功能,而RDSessMgr就是为它提供支持。微软的原意是通过它做远程帮助,其代价是牺牲安全与4MB内存的占用,不需要时一定得关闭。RemoteRegistryRemoteRegi
17、机服务)的进程名是svchost.exe,在WinXPHome/PROF默认安装的启动类型是手动,依赖于RemoteProcedureCall服务。它的简单描述是"允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构"。这段描述已将该服务的用途解释得很清楚了,需要强调的是,这些方便都是以安全为代价的,如果平时不用就一定要关掉。WebClientWebClient(Web客户端服务)白进程名是svchost.exe,在WinXPHome/PROT
18、默认安装的启动类型是自动,依赖于WebDavClientRedirector系统组件。使用WebDaM将档案或数据夹上传到某个Web服务,这个服务对于未来.NET意义更大。基于安全性的理由,现在你可以尝试关闭它。COM+EventSystemEventSystem(COM事件系统服务)的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为手动,依赖于RemoteProcedureCall服务。对于非软件开发专业的朋友来说,COM是个非常难理解的名词。简单地说COM+一种软件构件/组件的标准。比如写一个软件好比是盖一座房子,而门窗等部件
19、会卞据标准设计,以求得省时省力。COM1件即是Windows的门窗等标准组件了,COM是对COM勺进一步扩展,其具体含义在此就不详细介绍了。Windows系统又是个典型的消息(事件)处理型系统,很多功能都是由消息来触发的,这就产生了COM+EventSystem。我们要学习的是如何简单判断自己的系统中是否有程序依靠此服务。检查你的系统安装盘下的“ProgramfilesComPlusApplications”目录,如果没有东西就可以把这个服务关闭了。CryptSvc(认证服务)的进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为自动,依赖于
20、RemoteProcedureCall服务。CryptSvc是整个微软公钥体系(PKI,PublicKeyInfrastructure)的核心元件。所谓的PK是一种公钥加密法,通过加密来保证数据的安全和传送,它与传统的秘密(对称)钥匙密码法不相同,PK密码法的基本特性是加密和解密的钥匙不同,每一个用户两把钥匙,一把公开密钥,一把私钥。撇开这些难以一下子理解的术语,具体到CryptSvc本身来说,如果我们在WinXP中使用AutomaticUpdates自动更新,或在Internet上使用证书进行身份验证以及正确管理这些证书等,那么这个服务就不要关闭。其中这个功
21、能最有用的是,当你安装一个驱动程序时,以确定它是不是通过微软认证的。因为驱动程序在操作系统内可以获得很高的运行权限,含有恶意代码的驱动程序会让你的电脑玩儿完,因而开发驱动程序的厂家一般都会去做微软认证,通过验证后,微软会在里面添加它的认证数据,再到你机器上安装时就可以通过CryptSvc检测升级。.DHCPClientDhcp(DHCP户端服务)白进程名是Svchost.exe,WinXPHome/Pro默认安装的启动类型为自动,依赖于AFDNetworkingSupportEnvironment、NetBIOSoverTCP/IP以及TCP/IP
22、ProtocolDriver服务。简单地说DHCM程就是由网络中一台主机(DHCPServer)将所有的网络参数自动分配给网络内的任何一台计算机,而DHCPClient就是网络中被分配网络参数的对象计算机了。如果能在网络中被自动分配IP地址等网络参数,那么这个DHCPClient服务就必不可少。对于家庭单机用户来说,只要是使用DSL/Cable上网、开启ICS和IPSEC服务的人都需要这个来指定静态IP,所以通常这个服务是不关闭的,除非你的机器是完全的单机应用环境。Eventlog(系统日志记录服务)的进程名是Services.exe,WinXPHom
23、e/Pro默认安装的启动类型为自动,没有任何服务依存关系。EventLog服务负责记录来自系统和运行中程序的管理事件消息,为Windows和应用程序提供了一个标准而集中的方法来记录重要的软件和硬件事件。打开事件查看器的方法是依次打开“开始控制面板”然后选择打开“管理工具事件查看器”。这个服务是基础服务,请勿调整关闭。NetworkConnectionsNetman(网络连接服务)的进程名是Svchost.exe,WinXPHome/Pr。默认安装的启动类型为手动,依赖于RemoteProcedureCall服务。Netman也是非常重要的基础服务,它管理着