一份较详细的XP服务介绍

1、一份较详细的XP服务介绍.txt人生在世 ，难敌宿命，沉沦其中。我不爱风尘，似被前缘误！我只为我最爱的人流泪“我会学着放弃你，是因为我太爱你”赢了你,我可以放弃整个世界1、Alerter Alerter（警示器）服务的进程名是Service.exe（即启动这个服务后在后台运行的进程名 称，可以通过任务治理器看到，下同）。Alerter服务的功能是，WinXP将系统上发生的与 治理有关的事件以警示（Alert）信息传送至网络上指定的电脑或用户，例如当发生打印错 误或硬盘即将写满等事件，这类警示信息由WinXP的警示器服务（Alerter Service）收集 、送出。尽管Alerter依存的服务

2、并没有Messenger（信使）服务，但Alerter服务必须依靠 后者才能送出信息，故在启动Alerter服务后还必须确定Messenger服务也在工作状态，而 接收的电脑也必须启动Messenger服务。由于Alerter服务运行后，服务是用户可以发送“ 弹出（Pop-up）”信息给其他用户，这些信息有可能被攻击者用来实施攻击，如诱骗用户 修改口令等，从而造成安全隐患。同时该服务使得用户账号泄漏，也有可能被攻击者利用 来进行口令猜测攻击。所以对于家庭单机用户，甚至对于绝大多数小型的局域网来说，这 个功能是完全可禁用的，不仅节省了系统资源和加快启动速度，也提高了机器的安全性。 ?2、Appl

3、ication Layer Gateway Service 简称“ALG”（应用层网关）的进程名是alg.exe，WinXP Home/Pro默认安装的启动类型为 手动。ALG又被称为代理服务器（Proxy Server），是网络防火墙从功能层面上分类的一种 。当内部计算机与外部主机连接时，将由代理服务器担任内部计算机与外部主机的连接中 继者。使用ALG的好处是隐藏内部主机的地址和防止外部不正常的连接，假如代理服务器上 未安装针对该应用程序设计的代理程序时，任何属于这个网络服务的封包将无法通过防火 墙。通俗点说，具体到ALG本身，它就是附带的Internet连接共享/防火墙的具体控管程序 ，假

4、如你需要启动这二者，这个服务是必备的。当然，只有一台计算机的上网家庭可以考 虑禁用这个服务，不过WinXP内置的防火墙效果还是不错的，假如不是坚持要用第三方的防 火墙，还是开着它吧。 ?3、Application Management AppMent（应用程序治理服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动 类型为手动，没有任何依存服务关系。从Win2000开始，微软引入了一种基于MSI文件格式 （应用程序安装信息程序包文件）的全新、有效软件治理方案即应用程序治理组件服 务（Application Management），它不仅治理软件的安装、删除，而且可

5、使用此项服务修 改、修复现有应用程序，监视文件复原并通过复员排除基本故障等。通常这个服务我们保 持其默认状态较好。 可能许多朋友都有印象，当年ACDSee4.0刚发布时，由于安装制作上的考虑不周，并没有考 虑到那个时候大多数人的系统还并不支持MSI安装格式，结果只得又去下载安装一个名为W indows Installer的MSI辅助文件才解决问题。通常以MSI文件格式安装的软件十分好认， 比如说Office XP，当你安装后再次运行软件的安装程序时，它一般会有“重新安装”、“ 修复软件”、“卸载软件”多个选项，而不是以前安装程序那种就简单地卸载或覆盖安装 了事。 ?4、Automatic Up

6、dates Wuauserv（自动更新服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型 为自动，没有任何依存服务关系。这个是大家都非常熟悉的系统自动更新功能，就不多说 了。用小猫上网而深受其苦的朋友记得在系统属性中关闭是不够的，还要将Automatic Up dates这个服务禁用才可以。以后需要更新，直接在IE中输入Windows Update网站地址htt p://zhcn/default.asp手动更新即可。 ?5、Background Intelligent Transfer Servic

7、e BITS（后台智能传输服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型 为手动，依靠于Remote Procedure Call、Workstation服务。微软宣称BITS能够利用剩余 的带宽传输文件，当网络切断或计算机重启时，后台智能传输服务会自动对文件传输加以 维护，当网络重新连接时，后台智能传输服务将从停止的地方继续开始传输文件。其实这 个服务原是用来实现HTTP1.1服务器之间的信息传输，基本上它的应用也就是支持自动更新 时的断点续传。假如你禁用了Automatic Updates，留着它也没什么意义。 ?6、ClipBook ClipSrv

8、（剪贴板查看器服务）的进程名是clipsrv.exe，WinXP Home/Pro默认安装的启动 类型为手动，依靠于Network DDE服务。ClipBook通过Network DDE和Network DDE DSDM提 供的网络动态数据交换服务，可查阅远程机器中的剪贴版，通俗地说ClipBook就是支持剪 贴版查看器（ClipBook Viewer）程序，该程序可答应剪贴页被远程计算机上的ClipBook浏 览。 例如有个较大的文档工程，由A、B、C共同开发。A负责Excel数据部分，B负责Visio制图部 分，而C负责将两部分文档整合。C经常需要对A、B的数据进行拷贝，愚蠢的做法是C打开

9、A 、B在网络邻居上共享的文档，然后将相关内容拷贝。而对Windows体系有一定了解的用户 应该听说过OLE这个东西，上面说的Excel数据和Visio制图都可以认为是独立的OLE对象， 假如A、B、C的3台机器上的ClipBook服务都为开启，就可利用ClipBook共享这些OLE对象， C只要在自己的文档中建立OLE对象的链接指向A、B的Excel和Visio，A、B对自己工作的任 何改动即可在C的复合文档里自动体现。由此可见，ClipBook是基于对象的共享，而非简单 的文件共享。所以也很好理解，这是一把双刃剑，在带来极大方便的同时，也带来被非法 远程访问ClipBook剪贴页面的安全隐

10、患。对于没有上述类似工作，又不预备使用或极少使 用远程桌面的用户，这个服务完全可以禁用，在需要的时候在打开。 ?7、COM Event * Event * （COM 事件系统服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启 动类型为手动，依靠于Remote Procedure Call服务。对于非软件开发专业的朋友来说，C OM 是个非常难理解的名词。简单地说COM 是一种软件构件/组件的标准。比如写一个软件 好比是盖一座房子，而门窗等部件会根据标准设计，以求得省时省力。COM组件即是Windo ws的门窗等标准组件了，COM 是对COM的进一步扩展，其具体含义

11、在此就不具体介绍了。W indows系统又是个典型的消息（事件）处理型系统，很多功能都是由消息来触发的，这就 产生了COM Event * 。我们要学习的是如何简单判定自己的系统中是否有程序依靠此服 务。检查你的系统安装盘下的“Program filesComPlus Applications”目录，假如没有 东西就可以把这个服务关闭了。 ?8、COM * Application COMSysApp（COM 系统应用服务）的进程名是Dllhost.exe，WinXP Home/Pro默认安装的启 动类型为手动，依靠于Remote Procedure Call服务。简单地说，COM * Appl

12、ication是 COM Event * 的具体执行者，假如禁用了COM Event * 也就自然禁用它。?9、Computer Browser Browser（计算机浏览器服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动 类型为自动，依靠于Server和Workstation服务。Browser服务维护着一个网络资源的清单 ，其中包括基于Windows的域、工作组和计算机，还有其他支持NetBIOS协议的网络设备， 我们在“网上邻居”上看到显示的内容正是来源于此。显然对于一般家庭用的计算机这个 服务并不需要，除非计算机位于局域网上，例如用长城宽带的朋友，用它

13、可方便地知道社 区内的网络环境。这个服务还是慎重对待较好，若不是太在意还是将其设置为自动吧。 ?10、Cryptographic Services CryptSvc（认证服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为自 动，依靠于Remote Procedure Call服务。CryptSvc是整个微软公钥体系（PKI，Public K ey Infrastructure）的核心元件。所谓的PK是一种公钥加密法，通过加密来保证数据的安 全和传送，它与传统的秘密（对称）钥匙密码法不相同，PK密码法的基本特性是加密和解 密的钥匙不同，每一个用户两把钥匙，一

14、把公开密钥，一把私钥。撇开这些难以一下子理 解的术语，具体到CryptSvc本身来说，假如我们在WinXP中使用Automatic Updates自动更 新，或在Internet上使用证书进行身份验证以及正确治理这些证书等，那么这个服务就不 要关闭。其中这个功能最有用的是，当你安装一个驱动程序时，以确定它是不是通过微软 认证的。因为驱动程序在操作系统内可以获得很高的运行权限，含有恶意代码的驱动程序 会让你的电脑玩儿完，因而开发驱动程序的厂家一般都会去做微软认证，通过验证后，微 软会在里面添加它的认证数据，再到你机器上安装时就可以通过CryptSvc检测升级。 ?-11、DHCP Client

15、Dhcp（DHCP客户端服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为 自动，依靠于AFD Networking Support Environment、NetBIOS over TCP/IP以及TCP/IP Protocol Driver服务。简单地说DHCP过程就是由网络中一台主机（DHCP Server）将所有 的网络参数自动分配给网络内的任何一台计算机，而DHCP Client就是网络中被分配网络参 数的对象计算机了。假如能在网络中被自动分配IP地址等网络参数，那么这个DHCP Clien t服务就必不可少。对于家庭单机用户来说，只要是使用DS

16、L/Cable上网、开启ICS和IPSEC 服务的人都需要这个来指定静态IP，所以通常这个服务是不关闭的，除非你的机器是完全 的单机应用环境。 ?12.Distributed Link Tracking Client TrkWks（分布式连结追踪客户端服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装 的启动类型为自动，依靠于Remote Procedure Call服务。对于计算机有一定了解的人对于 “分布式”这个词并不生疏，这里就不做解释。TrkWks服务简单说，就是将整个网络中分 散于各台计算机上的文件系统，所以当系统内发生文件移动，就会记录这个信息。它是针 对

17、“域用户”的“NTFS文件”的“分布式连接”，这3个条件缺一个你就用不上它，对于不 在局域网的单机用户来说，当然是禁用它。 ?13、Distributed Transaction Coordinator MSDTC（分布式交易协调器）的进程名是Msdtct.exe，WinXP Home/Pro默认安装的启动类型 为手动，依靠于Remote Procedure Call和Security Accounts Manager服务。MSDTC主要用 来处理分布式交易，所谓分布式交易，就是跨越两个或多个数据库的单一SQL Server内部 的交易。同一数据库内不同数据表间的交易，则不能被称做分布式交易。

18、显然对于需要同 时处理多个数据库或文件系统的用户来说，这个服务意义重大，但它也是通常意义上一般 用户不会使用到的服务，通常来说默认手动启动就可以了。其实这个服务也轻易受到远程 拒绝服务攻击，禁用它也没有问题，而且更安全。 ?14、DNS Client Dnscache（DNS客户端服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类 型为自动，依靠于TCP/IP Protocol Driver服务。DNS（Domain Name * ）也是常见的名 词了，简单的解释就是当使用网页浏览器去上网时，会输入网站的网址，而这些网址名称 在因特网上就是通过网域名称服务器（

19、DNS服务器）来完成名称转换为IP地址。实际上一些 网站并不是只有一台服务器在工作，而是有多台服务器在同时工作，也就是说同样一个网 站名称地址可对应不同的IP地址（在Win2000前的操作系统可执行此查询）。但假如将操作 系统换到Win2000或WinXP，同样的网站你又会发现总是查到同一个IP地址。为什么会这样 呢？这就是DNS Client服务的作用。 为了达到用最快速、最有效率的方式让客户端能够迅速找到网域的验证服务，在Win2000、 WinXP系统中，加入了DNS快取的功能，当第一次在找到了目的主机的IP地址后，操作系统 就会将所查询到的名称及IP地址记录在本机的快取缓冲区（Cach

20、e）中，下次客户端还需 要再查询时，就无需到DNS服务器上查询，而直接用本机DNS Cache中的数据即可，所以你 查询的结果始终是同一个IP地址。这个服务关闭与否影响并不大，在安全性上最多只是可 以泄露你的缓存内容，确定你曾经访问过的网站。 ?15、Error Reporting Service ERSvc（错误报告服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为 自动，依靠于Remote Procedure Call服务。这个服务我们经常碰到，当使用程序出错是会 跳出对话框，问你是否需要向微软发送报告，就是这个服务的功能。次服务完全可设置为 手动或禁

21、止。假如你想对错误报告进行更具体的设置，可以右键单击“我的电脑”图标， 选择“属性”，在“高级选项卡”下电击“错误报告”按钮，在那里你可以决定是否发送 错误报告以及发送怎样的错误报告。而没有上网的用户就可直接禁用此服务了，上网用户 假如担心报告会泄露你的私人信息（当然微软声称不会发生这样的事情），也大可禁用它 。?16、Event Log Eventlog（系统日志记录服务）的进程名是Services.exe，WinXP Home/Pro默认安装的启 动类型为自动，没有任何服务依存关系。Event Log服务负责记录来自系统和运行中程序的 治理事件消息，为Windows和应用程序提供了一个标准

22、而集中的方法来记录重要的软件和硬 件事件。打开事件查看器的方法是依次打开“开始控制面板”然后选择打开“治理工具 事件查看器”。 这个服务是基础服务，请勿调整关闭。 ?17、Fast User Switching Compatibility Fast User Switching Compatibility（多用户快速切换服务）的进程名是Svchost.exe， WinXP Home/Pro默认安装的启动类型为手动，依靠于Terminal Services服务。此服务是W inXP的新服务，即快速的多用户切换环境。解决了以前的多用户环境虽然安全但是切换用 户环境需要重新启动，并丢失上一用户工作环

23、境的问题。使用很简单，只要进行“开始 注销切换用户”操作即可方便地切换用户环境，是非常不错的多用户技术，假如用不着 多用户环境就不用打开它（加入域后默认不能进行快速切换，当然可以禁用）。?18、FAX Service FAX（传真服务）的进程名是Fxssvc.exe，WinXP Home/Pro默认是没有安装的，依靠于Plu g and Play、Print Spooler、Remote Procedure Call、Telephony服务。FAX服务在默认 情况下是没有安装的但假如你安装了它就可以进行“开始所有程序附件通讯传真 ”操作，使用WinXP内置的传真服务来收发传真了，当然你要保证你

24、的机器至少连接了小猫 。不需要的人当然禁用掉。 ?19、Help and Support Helpsvc（帮助服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为自 动，依靠于Remote Procedure Call服务。这个服务用于支持WinXP帮助和支持中心的功能 ，假如你刚开始使用WinXP，这个帮助中心能解决不少问题。假如觉得不需要帮助了，那就 禁用吧。 ?20、Human Interface Device Access HidServ（人性化接口装置服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启 动类型为禁用，依

25、靠于Remote Procedure Call服务。这个服务简单说就是支持那些所谓的 带有多媒体功能的键盘，比如带音量调节的键盘。当然假如你有符合人体工程学标准的设 备（主要指键盘和鼠标），那么这个服务就应当设置为自动，否则这些设备的一些功能将 不能正常使用。若是没有设备，或有自己的驱动，即可禁用此服务。 ?-21、IMAPI CD-Burning COM Service ImapiService（IMAPI CD刻录服务）的进程名是Imapi.exe，WinXP Home/Pro默认安装的启 动类型为手动，没有任何服务依存关系。这个就是WinXP内置的CD刻录服务了。总的来说该 服务的功能和

26、性能十分有限，有刻录机的朋友还是安装成熟的第三方刻录软件，关闭这个 服务吧。 ?22、Index Service Cisvc（索引服务）的进程名是Cisvc.exe，WinXP Home/Pro默认安装的启动类型为手动， 依靠于Remote Procedure Call服务。这个服务可以为本地和远程计算机上的文件编制索引 ，也就是说像图书馆里为图书编制的查询索引一样，这样可加快寻找文件的速度。但实际 上此项服务并不成熟。某些情况下开启后，文件浏览速度（即双击某文件夹后的等待时间 ）会明显增加，因为系统已将目录结构读入了内存，需要时会直接调用；但也有的时候， 该服务启动后会导致系统极度繁忙，此时

27、该服务启动Cidaemon.exe，在任务治理器可看见 这个进程占用了大部分CPU资源。因此对待这个服务请根据自己机器的情况设置为“自动” 或“禁用”。 ?23、Internet Connection Firewall/Internet Connection Sharing SharedAcess（Internet连接共享和防火墙服务）的进程名是Svchost.exe，WinXP Home/P ro默认安装的启动类型分别为手动和自动，依靠于Application Layer Gateway Service、 Network Connections、Network Location Awaren

28、ess、Remote Access Connection Mana ger服务。这个服务提供WinXP内置的连接共享和防火墙功能。这两个功能性能都不错，也 很方便，具体关闭与否看个人喜好，不用就可以关闭它。?24、IPSEC Services PolicyAgent（IP安全策略服务）的进程名是Lsass.exe，WinXP Home/Pro默认安装的启动 类型为自动，依靠于IPSEC driver、Remote Procedure Call 、TCP/IP Protocol Driver 服务。IPSEC是一种用来保护内部网、专用网络以及外部网（Internet、Extranet）免遭攻 击

29、的重要防御方法，主要特征在于他可对所有IP级的通信进行加密和认证，正是这一点才 使IPSEC可以确保包括远程登陆、客户/服务器、电子邮件、文件传输及Web访问在内的多种 应用程序的安全。由于企业及政府用户非常注重于部署安全的IP，所以这一服务显得很重 要。同时也可以看出，对于绝大多数用户来说，这是个根本就不用关心的东西。所以禁用 它吧。 ?25、Logical Disk Manager Dmserver（逻辑磁盘治理员服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启 动类型分别为手动和自动，依靠于Plug and Play、Remote Procedure Ca

30、ll服务。Dmserv er用来动态治理磁盘，如显示磁盘可用空间和使用Microsoft Management Console（MMC） 主控台中的磁盘治理功能。这个服务对于经常使用移动硬盘、U盘等外设的朋友来说必不可 少，没有的话可选择禁用它。 ?26、Logical Disk Manager Administrative Service Dmadmin（逻辑磁盘治理系统治理服务）的进程名是Svchost.exe，WinXP Home/Pro默认安 装的启动类型分别为手动和自动，依靠于Logical Disk Manager 、Plug and Play、Remo te Procedure

31、Call服务。Dmadmin主要用来配置硬盘信息，平时基本上没用。打开“计算 机治理” （Microsoft Management Console，简称MMC）时，你可以看到“磁盘治理”， 这时就会用上它，可设为手动。 ?27、Messenger Messenger（信使服务）的进程名是Services.exe，WinXP Home/Pro默认安装的启动类型为 自动，依靠于NetBIOS Interface、Plug and Play、Remote Procedure Call、Workstati on服务。Messenger这个服务上过网的人都应该比较熟悉，本来Microsoft开发“信使服

32、务 ”是为了方便同一域中的治理员进行信息交流，后来有些人开发了突破域限制的信使发送 工具，于是大家挂在网上时，计算机上经常会弹出一个名为“信使服务”的对话框，这些 不请自到的“信使”基本上是一些垃圾信使信息，有无聊的广告，有非法的信息等。通常 这些信息是用一些名为“凶宝宝信使”、“妖刺”的软件发布的，但实际上假如是在同一 域中，只需要用NET SEND命令就可以轻易发送消息了。忽然出现的“信使服务”不仅会干 扰工作、影响心情，而且还轻易遭到安全方面的攻击，所以禁用它吧。?28、MS Software Shadow Copy Provider SwPrv（治理磁盘区卷影复制服务）的进程名是Dll

33、host.exe，WinXP Home/Pro默认安装的 启动类型为手动，依靠于Remote Procedure Call服务。这个服务是为WinXP中的MS Backu p备份程序提供支持，希奇的是即使关掉它备份工作也可以顺利完成，要是不害怕就禁用吧 。?29、Net Logon NetLogon（网络登陆服务）的进程名是Lsass.exe，WinXP Home/Pro默认安装的启动类型分 别为手动和自动，依靠于Workstation服务。这个服务是用来做网域审查的。当你的计算机 处在一个域网内时，假如要使用网内的域服务器登陆到域网时，就要通过它来登陆了。一 般用户用不着，禁用即可。 ?30

34、、NetMeeting Remote Desktop Sharing Mnmsrvc（NetMeeting远程桌面共享服务）的进程名是Mnmsrvc.exe，WinXP Home/Pro默认 安装的启动类型为手动，依靠于Remote Procedure Call服务。使用NetMeeting可透过公司 内部网络，让使用者将计算机的控制权分享给局域网上或因特网上的其他使用者，很多人 都因为安全问题禁用它，而且它很占网络资源。但假如你想和别人做些非文字的交流，还 是比较好玩儿的。注重关掉它后，远程桌面功享功能将无法使用。-31、Network Connections Netman（网络连接服务）的

35、进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为 手动，依靠于Remote Procedure Call服务。Netman也是非常重要的基础服务，它治理着“ 网络和拨号连接”文件夹中的所有对象，任何有关于网络上（局域网、Internet）的连接 都需要这个服务。假如它被禁用，在“网络和拨号连接”文件夹中将什么都看不到，更不 用说新建连接和拨号上网了。因此除非你的机器是绝对的单机环境，才可将其关闭。?32、Network DDE NetDDE（网络动态数据交换服务）的进程名是Netdde.exe，WinXP Home/Pro默认安装的启 动类型为手动，依靠于Net

36、work DDE DSDM服务。NetDDE（Network Dynamic Data Exchang e）是微软早期设计的一种方法，可让应用程序在不同的PC的Windows之间交换动态数据， 现在已经很少使用。实际上在WinXP中，真正依靠它的只有ClipBook服务，回顾刚才提到的 3人共同共同开发文档，通过ClipBook来交换动态数据的例子就可以很好理解这个服务的作 用了。数据共享服务通常是通过可信赖的沟通渠道，负责治理这项服务的是网络DDE代理（ Network DDE Agent），实际上网络DDE代理会使机器非常轻易遭受攻击而失去本机的治理 员控制权。因此假如无需ClipBook

37、共享这个非凡服务，可以禁用。 ?34、Network Location Awareeness NLA（网络位置识别服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型 为手动，依靠于AFD网络支持环境和TCP/IP Protocol Driver服务。NLA可以探测网络系统 的相关信息，当这些信息发生变化时通知相关的应用程序。基本上，这个服务主要针对的 对象是笔记本电脑。因为在实际工作和生活中，人们的笔记本电脑经常在超过一个以上的 网络环境中应用。经常可能碰到在一个网络中需要使用动态IP地址，而在另一网络中需要 使用静态IP地址的问题。比如说你在办公室里使用的

38、是动态IP，而在家里却使用静态IP来 连接宽带，那么NLA就可以让你在家里及单位网络（有线）之间切换时自动辨认出不同网络 环境，从而自动选择合适的配置而无需重新调整网络参数。对于经常移动办公的人，这确 实是个不错的功能。座机一般就不用了吧。?35、NT LM Security Support Provider NtLmSsp（NT LM安全性支持提供者服务）的进程名是Lsass.exe，WinXP Home/Pro默认安装 的启动类型为手动，不依靠于其他服务。NT LM的意思即NT LanManger，是NT下提供的认证 方法之一，使用了64位的加密手段。NtLmSsp这个服务主要针对RPC（

39、远程过程调用），通 常RPC可以选择基于两种通信方式，一种是传输协议，比如TCP/IP、UDP、IPX等，另一种为 命名管道（Pipeline）。通常情况下Windows默认选择都是传输协议，而由于RPC是采用非 加密传输的，通信数据安全无法得到保证，而NtLmSsp就可以向这一类RPC提供安全服务。 WinXP中已知的这类RPC应用就是Telnet服务（Telnet也依靠于NtLmSsp），因此无须Telne t服务的单机用户可将其关闭。 ?36、Performance Logs and Alerts SysmonLog（效能记录日志及警示服务）的进程名是Smlogsvc.exe，WinXP

40、 Home/Pro默认安 装的启动类型为手动，没有任何服务依存关系。假如打开控制面板的治理工具，可以看到 有“性能”这个工具，它比较具体地反映了系统的性能，但配置起来相当复杂，不好上手 ，而且大多数人也会认为这个性能工具没什么意义。SysmonLog就是为它提供日志记录的服 务。假如你对自己机器的工作状态比较在意，这绝对是一个值得研究的工具，因为它可以 严格监视硬盘、内存、CPU甚至于软件在系统中的运行，并通过记录下的日志数据分析机器 软硬件资源的具体情况。更有用的是，假如你比较了解计数器这个参数的设置，就可为各 部分资源设置合适的计数器值，一旦服务监视到资源的性能值超过或是低于此值，就会通

41、过Messenger服务发出警告（那么Messenger服务就不能禁用），如此很轻易就能察觉到机 器的某部分资源不足（假如升级电脑就可以从此入手）或发生了故障等。当然，并不关心 自己机器具体工作的用户也可将其关闭。 ?37、Plug and Play PlugPlay（即插即用服务）的进程名是Services.exe，WinXP Home/Pro默认安装的启动类 型为自动，不依靠于任何服务。这个服务想必大家相当熟悉，从Win98开始这个技术就始终 是微软操作系统的核心部分。即插即用Intel是开发的一组规范，它赋予了计算机自动检测 和配置设备的能力，当有设备被更改时能自动通知当前设备的状况并使

42、用该设备更变后的 程序。PlugPlay是WinXP的几个基础服务之一，在服务治理工具中无法调整它，而且本服务 一旦失败就只有重新启动机器了。 ?38、Portable Media Serial Number Service WmdmPmSp（便携的媒体序号服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启 动类型为自动，没有任何服务依存关系。这个服务其实非常简单，它是微软用来防盗版的 工具之一，但目前基本上只是针对音乐。微软用它获得你系统中媒体播放器的序列号，做 什么用呢？其实它是在试图控制你将盗版的音乐文件copy到类似MP3、MD等便携播放器上。 尽管微软声

43、称关掉这个服务会影响将正版音乐下载到便携服务器，但我们还是关掉这个服 务，一是影响不大，至少手上的正版CD拷贝到MP3是没有问题的，二是微软刺探的也太多了 吧，我们用什么还要报告它？ ?39、Print Spooler Spooler（打印后台处理服务）的进程名是Spoolsv.exe，WinXP Home/Pro默认安装的启动 类型为自动，依靠于Remote Procedure Call服务。Spooler是为了提高文件打印效率，将 多个请求打印的文档统一进行保存和治理，先将要打印的文件拷贝到内存，待打印机空闲 后，再将数据送往打印机处理，这样处理速度更快些。建议将其设置为手动，有打印任务

44、时再打开。假如没有打印机当然就禁用了。-40、Protected Storage ProtectedStorage（受保护存放区服务）的进程名是Lsass.exe，WinXP Home/Pro默认安装 的启动类型为自动，依靠于Remote Procedure Call服务。这一服务提供对敏感性数据保护 的功能，比如密码、证书等，但通常它只针对Windows自身的敏感数据进行保护，可用来储 存你计算机上的密码。通常上网的用户都比较喜欢开这个服务，究竟像自动填表这些功能 给人带来不少方便。但假如你的电脑是多用户环境，或是使用笔记本电脑，经常移动办公 ，那么这个服务就要谨慎使用了。有不少密码破解软件

45、就是针对这个ProtectedStorage的 ，比较有名的有Protected Storage PassView，用它可以轻易得到被储存在ProtectedSto rage中你曾经上过的论坛的账号、密码、拨号密码等。因此，对于这个服务要视环境而定 ，在不安全的环境下还是关闭较好。 ?41、QoS RSVP RSVP（QoS许可控制服务）的进程名是Rsvp.exe，WinXP Home/Pro默认安装的启动类型为手 动，依靠于Network Support Environment、Remote Procedure Call、TCP/IP Protocol Driver服务。这就是微软那个饱受争

46、议的占用了20%网络带宽的服务了。对于大多数朋友来 说，关掉它是简单正确的选择。但是要理解这个服务究竟是干什么的就不这么简单了。Qo S这个词的意思是资源预留协议（ReSerVation Protocol）。 随着IP技术和网络的发展，世界各国的运营商基于IP网络已开发出多种多样的新业务。由 于目前基于存储转发机制的Internet（IPv4标准）只为用户提供了“尽力而为（beste-ff ort）”的服务，不能保证数据包传输的实时性、完整性以及到达的顺序性，更无法保障实 时多媒体业务服务质量（QoS），所以主要应用于文件传送和电子邮件服务。而随着Inter net的飞速发展，人们对于在Int

47、ernet上传输多媒体信息的需求越来越大，这就要求网络应 能根据用户的要求分配和调度资源，传统的“尽力而为”转发机制已不能满足用户的要求 。为解决这一问题，美国于1996年底开始了以提高网络服务质量为核心的Internet II以及 NGI（下一代Internet）等研究项目。相关的权威组织IETF（Internet Engineering Task Force）也成立了专门的工作小组来研究多媒体服务质量的定义和相关标准。IETF在IP网 络的QoS方面提出了多种服务模型和机制，其中的综合业务模型（Int-Serv）引入了一个重 要的网络控制协议RSVP（资源预留协议），这一模型的思想是“为了

48、给特定的用户包流提 供非凡的QoS，要求路由器必须能够预留资源，反过来要求路由器中有特定流的状态信息” 。所以可以看出，这一模型能提供绝对有保证的QoS，是以预留下的资源作为代价的，对资 源的要求实际上是更高的。因此，对于WinXP中的QoS RSVP服务保留了20%的网络带宽也就 不足为奇了。由于对个人应用几乎毫无意义，所以禁用它是不二选择。 ?42、Remote Access Auto Connection Manager RasAuto（远程访问自动联机治理员服务）的进程名是Svchost.exe，WinXP Home/Pro默认 安装的启动类型为手动，依靠于Remote Access

49、Connection Manager 、Telephony服务。 RasAuto主要针对宽带使用，当有网络连接请求时它会自动打开网络连接，我们在使用Win XP时会经常弹出一个自动拨号窗口，就是它在工作。假如你的机器提供网络共享服务就开 着它，避免网络断线后手动连接，否则可将其关闭。 ?43、Remote Access Connection Manager RasMan（远程访问联机治理员服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的 启动类型为手动，依靠于Telephony服务。其简单描述是“创建网络连接”，这个解释简单 明了，所以根据自己的系统的情况来使用这

50、个服务即可。 ?44、Remote Desktop Help Session Manager RDSessMgr（远程桌面协助服务）的进程名是Sessmgr.exe，WinXP Home/Pro默认安装的启 动类型为手动，依靠于Remote Procedure Call服务。这是与NetMeeting Remote Desktop Sharing很类似的一个服务。鼠标点击“开始所有程序附件通讯远程桌面连接” 可开启远程桌面功能，而RDSessMgr就是为它提供支持。微软的原意是通过它做远程帮助， 其代价是牺牲安全与4MB的内存占用，不需要时一定要关闭。?45、Remote Procedure

51、Call RpcSs（远程过程调用服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类 型为自动，太多服务依靠于这个服务了。前一阵子“冲击波”横行，恐怕大家都对RPC有此 印象了吧，它原名远程进程调用，是早期IBM、SUN等公司定义的功能级通信协议，随后被 微软采纳，但做了改动，称之为MRPC。总的来说RPC是一种消息传递功能，上面说过RPC对 于系统的重要性不言而喻。由于Windows内部结构已经相当复杂了，很难搞清楚哪些模块在 用RPC、哪些不用，实际上你只要关掉它，系统就可能崩溃。所以这个服务也是不可禁用的 。 ?46、Remote Procedure C

52、all （RPC） Locator RpcLocator（远程过程调用定位服务）的进程名是Locator.exe，WinXP Home/Pro默认安装 的启动类型为手动，依靠于Workstation服务。这一服务和上面的RPC服务并无太多关系， 是用来给RPC的命名服务的。其用途简单解释就是通过它对RPC的命名治理，调用者才能找 到被调用者的位置。但由于微软系统注册表的存在，使得这些命名服务在本机上的调用上 毫无意义。因此对于一般用户完全可以关闭。 ?47、Remote Registry RemoteRegistry（远程注册表服务）的进程名是Svchost.exe，在WinXP Home下不

53、可用，在 WinXP Pro下默认安装的启动类型为自动，依靠于Remote Procedure Call服务。此服务是 向其他连机的计算机开放你的注册表，微软总是让这种明显是安全隐患的服务自动启动， 实在令人费解。一定要禁用。不过你要是觉得好玩儿可以尝试一下：打开注册表编辑器Re gedit（方法已在文章开头介绍），在文件菜单栏里找到“连接网络注册表”这一项，可以 让你打开甚至编辑其他机器上的注册表。当然那些机器上的RemoteRegistry也必须是打开 的，而且对你计算机的一些相应权限必须同样开放。?48、Removable Storage NtmsSvc（卸除式存放装置服务）的进程名是S

54、vchost.exe，的进程名是Svchost.exe，在W inXP Home/Pro下默认安装的启动类型为手动，依靠于Remote Procedure Call服务。此服 务的名称太轻易让人误解，实际上它只是对非凡可移动存储器的治理，比如ZIP软驱和磁带 驱动器，不要担心你的CD和DVD等设备。从事图象设计的用户经常会用ZIP同苹果机交换文 件，一般人恐怕很少使用这些非凡设备，因此可将其关闭。 ?49、Routing and Remote Access RemoteAccess（路由和远程访问服务）的进程名是Svchost.exe，在WinXP Home/Pro下默认 安装的启动类型分别为

55、禁用和手动，依靠于NetBIOSGroup、Remote Procedure Call服务。 Routing and Remote Access为软路由，即在一台连接多个网络的计算机上通过运行路由软 件，以实现网络间路由的一种方法，相对于硬件路由来说很是方便经济。WinXP也把这个功 能集成到系统里来了，不过可能很少有人知道在哪里配置路由，主要原因就是这个服务默 认为关闭。首先启动此服务，网络连接文件夹里会多出一个“传入的连接”，值得注重的 是，在VPN连接（传入的连接）的属性“Internet（TCP/IP）”里一般要指定TCP/IP地址（ 一般来说都必须是合法地址）才行。感爱好的朋友可以自己继续研究，而大多数不需要的 朋友直接禁用它吧。 ?50、Secondary Logon SecLogon（二次登陆服务）的进程名是Svchost.exe，在WinXP Home/Pro下默认安装的启动 类型为自动，没有任何服务依存关系。这个服务对应于用户临时权限分配功能，在多用户 使用的计算机上，某些用户因为是非治理员权限，导致某些程序无法执行。为了让没有管 理员权限的已经登陆用户可以