首先对WindowsXP的所有服务进程有个了解,先总结如下:
1.在管理工具中打开"服务管理器"
2.对照其中的每一项服务(我的是WindowsXP Professional,如果你的不是,或者你装了些其它的服务,回和我说的有些不同,但我会把WindosXP自己的服务都列出来的),参考下面的说明:
1. Alerter
如果你是网管的话,或许对你有益。比如你们有台重要的服务器,而作为网
管的你可能经常工作在自己的机器旁,如果你想用简单的方法了解那台服务
器上的有关安全方面的信息(不用远程控制的软件),就可以打开服务器上
的Alerter服务,任何有关这台服务器的登陆,安全等信息都会自动发送到网
管的机器上,但网管机器上的messenger服务必须打开以接收这些信息。本
质上Alerter是通过命令:net send将信息发送出去的。但如何配置Alerter
,使它向指定的人或机器发送这些信息,在以前的Windows2000下有个程序
叫: srvmgr.exe可以帮你配,WindowsXP下我就不知道了。
建议:“关掉”。
2. Application Layuer Gateway Service
这也就是任务管理器中你看到的Alg.exe,是一个网关通信插件的管理器,比
如大家知道Winamp的造型插件可以让你自由的选择各种外形,而目前你可以
选择的网关插件只有微软的,分别是:“Internet连接共享服务”和
“Internet连接防火墙服务”,这两个服务后面会提到。如果你有兴趣的话
可以开发适合你的第三方网关插件,这不同于大家常见的应用级第三方防火
墙类软件,那些软件由于自己截获网卡上的数据会经常导致系统的不稳定性
,如果基于Alg来开发的话会和WindowsXP绑定得更紧密,可以利用到Alg提
供的各类支持。
建议:“自动打开”,由于基于它的“Internet连接防火墙服务”很重要.
3. Application Management
负责软件的安装卸载,平时我将它关着的,使用中没见到什么问题。
建议: “手动打开”,因为我对它还是不太清楚。
4. Automatic Updates
自动检查和安装Windows的更新,关掉它吧,有任何更新都不应轻易去安装
的,等看了别人使用后的情况再手动更新吧。大家可以在“服务管理器”中
看到运行它的命令是这样的:C:\WINDOWS\system32\svchost.exe -k
netsvcs,显然它是“寄生”在svchost.exe上,这是说Windows中很多服务
都是“有名而无其实”,它们需要“进程宿主”,这也解释了为什么大家看
到自己的任务栏里有很多svchost.exe进程了。
建议: “关掉”
5. Clipbook
一个神奇的服务,说的详细点:
比如有个较大的文档工程,由A,B,C三人共同开发,A负责EXCEL数据,B负
责Visio制图,C负责整体的文档整合。开发过程中C经常需要将A,B的数据
拷贝到自己的文档中,愚蠢的做法是C将A,B在网络邻居上共享出来的EXCEL
和Visio文件拷贝到本地,再打开拷贝其内容编辑到自己的文档中。而对
Windows体系有一定了解的用户一定听说过OLE这个东西,上面说的EXCEL数
据和Visio制图都可以认为是独立的OLE对象,如果A,B,C的三台机器上的
Clipbook服务都是开的话,他们就可以利用Clipbook来共享这些OLE对象,C
只要在自己的文档中建立OLE对象的连接指向A,B的EXCEL和Visio就可以了
,A,B对自己的工作的任何改动均可在C的复合文档里体现出来。由此可见
Clipbook是基于对象的共享,而非文件共享。
建议: “关掉”,我相信你很少需要这样工作吧:)
6. COM+Event System
一个复杂的家伙,存在它是因为COM+,目前Windows内部基本上是由各种COM模块构成的,因而许多系统功能都需要COM的支持,COM+是对COM的进一步扩展,以使COM能达到真正意义上的中间件。而Windows系统又是个典型的消息(事件)处理型系统,很多功能都是由消息来触发的,这就产生了COM+Event System。比如系统内需要电源管理功能,设计人员可能会设计一个COM+模块用来实现电源管理,那如何来调用它呢?当电池电量降低到报警线时系统就会产生一个“电量不够”的消息,当电源线插上的时候系统产生一个“插上电源”的消息,这些消息必须被处理掉,COM+Event System便构成了一个COM+模块和消息之间的桥梁,电源管理COM+模块向它订购了“电量不够”和“插上电源”的消息,那么任何时候系统内产生这两个消息时它就会将消息发送给电源管理COM+模块。
建议: “手动打开”,可能你不会用上COM+的,那通常会和DCOM以及Queue有关的.
7. Computer Browser
用来帮你查看网络邻居上其它的机器的,我通常关上它,因为通过网络邻居
看别人的机器特慢,不如去查询别人的机器,又快又准确。
建议:“关掉”。
8. Cryptographic Services
它有3大功能:A. Catalog Database Service用来认证认Windows的文件,
以防假冒, B. Protected Root Service在你的机器内建立根认证,C. Key
Service协助登记认证的。这东西最大的用处是:当你安装一个驱动程序时
,以确定它是不是通过微软认证的。因为驱动程序在操作系统内可以获得很
高的运行权限,含有恶意代码的驱动程序会让你玩完,因而开发驱动程序的
厂家都会去做微软认证,通过的微软会在里面添加它的认证数据,再到你机
器上安装的时候就可以通过 Cryptographic Services检测,如果是未经过
此认证的驱动(此认证是要花相当多的$),在安装时就会被发现未通过认证
,系统会提示你是否还要安装。我是打开的。
建议: “自动打开”,因为除驱动外,安装IE的一些插件,例如:
DreamWaver,网络实名,都会提示你安全性问题的,这对经常上网的你起一
定的警示作用。
9. DHCP Client
DHCP动态分配IP及DNS的客户端,如果你们公司使用DHCP的话就开着它吧,
反正我是不用。
建议: “手动打开”。
10. Distributed Link Tracking Client
如果你用过Unix/Linux就会知道文件连接这个东西,但它是针对“域用户”
的“NTFS文件”的“分布式连接”,这三个条件缺一个你都不需要用它。
建议:“关掉”。
11. Distributed Transaction Coordinator
做过数据库开发的都应该知道Transaction - 事务这个概念,Distributed Transaction Coordinator是微软的分布式事务处理服务,以前NT上是装了MTS才有这个功能的,它和COM以及Queue一起构成COM+的基础。
建议:“关掉”。笔记本上有这种应用那真稀罕,除非你是做开发的。
12. DNS Client
它的功能并不象它的名称那样重要,因为它只是用来缓存DNS解析结果,帮你快速定位IP,如果没有它,应用程序,例如IE,会主动向DNS Server发DNS解析请求的。
建议:“关掉”。
13. Error Reporting Service
程序出错时系统总是提示你“是否将此错误发给微软”,还用说?关掉!
建议:“关掉”。
14. Event Log
系统日志,太重要了,任何在你机器内发生的重要事件都应该留下来。
建议:“自动打开”
15. Fast User Switching Compatibility
如果你的机器只是你用的话(你不会让别人用你的TP吧?我是肯定不会了)
。关掉它,那会影响logoff - 注销用户的功能。
建议:“关掉”。
16. Help and Support
使用WindowsXP中遇到困难吗?有困难找www.ibmnb.com。
建议:“关掉”。
17. HID Input Service
HID全称:Human Interface Devices。是为了使计算机更人性化,向用户提
供自定义功能的,比如我们BB上的ThinkPad快捷键,以后还会有很多基于
USB的HID出现。
建议:“自动打开”。
18. IMAPI CD-Burning COM Service
烧CD用的,从来没用过。好象大家烧CD都用其它的软件的。
建议:“关掉”。
19. Indexing Service
微软试图用它来加快文件的检索,类似数据库中的index - 索引,但我感觉
不出是快了还是慢了:)。
建议:“关掉”。
20. Internet Connection - Firewall (ICF) / Sharing (ICS)
微软的防火墙,我喜欢,不想再装什么第三方防火墙了,既浪费CPU的资源
又经常死机,还是这个好。ICF的配置很重要,我记得论坛上有相关的贴子
。
建议:“自动打开”。
21. IPSEC Services
这也是和网络安全相关的,没研究过。
建议: “手动打开”,我好象从来没用过。
22. Logical Disk Manager
自动检测新硬盘的信息并发送给Logical Disk Manager Administrative
Service,我平时关上它。
建议: “手动打开”。
23. Logical Disk Manager Administrative Service
用来配置硬盘信息的,平时没用。打开“计算机管理”时,你可以看到“磁
盘管理”,哪时就会用上它。
建议: “手动打开”。配置时再开吧。
24. Machine Debug Manager
任务栏常见到的mdm.exe,这是用来在开发时诊错用的。
建议: “关掉”,如果你不是程序员。
25. Messenger
用来在局域网收发Windows短信用的,现在可以聊天的工具太多了,关上吧
。
建议: “关掉”。
26. MS Software Shadow Copy Provider
为备份工具提供的服务。
建议: “关掉”。
27. Net Logon
当你使用公司内的域服务器时,通过它来登陆。
建议: “关掉”。如果你不使用域服务器。
28. NetMeeting Remote Desktop Sharing
网络会议中提供远程控制的服务,很多人都关掉它,因为安全问题,而且很
占用网络资源的。但如果你想和别人做些非文字的交流,它还是很好玩的,
特别是做客户服务时,有一技之长。
建议: “关掉”。用时再开吧。
29. Network Connections
用来管理所有网络连接的,包括网络共享,没人不用网络吧?
建议:“自动打开”。
30. Network DDE
很少很少用了,但如果你用Clipbook,那就需要它了,DDE是很早以前微软弄
的个进程间通信管道,后来支持机器间的进程通信,有些类似RPC。
建议: “关掉”。
31. Network DDE DSDM
向Network DDE提供基于DDE的数据共享。
建议: “关掉”。
32. Network Location Awareness (NLA)
用来管理网络连接信息的,当这些信息发生变化时通知相关应用,主要用于
Internet Connection Sharing (ICS),如果你机器向别人提供Internet共
享的话就开着它。
建议: “关掉”。
33. NT LM Security Support Provider
针对RPC的,通常RPC可以选择的基于两种通信:A. 传输协议如TCP,UDP,
IPX等;B. 命名管道 - pipeline. Windows默认选择A. 传输协议,而RPC是
明文传输的,NT LM Security Support Provider就是向这种RPC提供安全服
务的。已知的应用是telnet服务,如果你需要提供类似unix/linux中的ssh
功能的话,可以打开它和telnet服务。
建议: “关掉”。
34. Performance Logs and Alerts
在管理工具里有“性能”这个工具,它能较详细的反映你的系统性能,但配置甚复杂,而且有些结果很难理解,如果你对系统评测感兴趣可以研究研究,Performance Logs and Alerts就是为它提供日志记录的服务。
建议: “关掉”。
35. Plug and Play
不用解释了吧。
建议:“自动打开”。
36. Portable Media Serial Number
用它获得连接到你机器上的播放器的序列号,很奇怪吧,其实它是微软用来防盗版的工具之一,但目前只针对音乐,它试图做到控制你将盗版音乐拷贝到类似mp3的播放器上。
建议: “关掉”。
37. Print Spooler
打印池,为提高文件打印效率,将要打印的文件先拷贝到内存里。
建议: “手动打开”。用打印机时再开。
38. Protected Storage
提供对敏感性数据保护的功能,比如密码,证书等,但这写数据必须相对Protected Storage已知的情况,所以通常它只针对Windows自身的敏感数据。我一直开着它,尤其对上网者很重要。
建议:“自动打开”。
39. QoS RSVP
它是用来均衡应用在网络连接上的带宽分配,但对此服务曾有很大争议,很多人测试结果发现QoS RSVP本身就占用了20%的带宽,更别提提高网络网络带宽使用效率。
建议: “关掉”。
40. Remote Access Auto Connection Manager
主要针对宽带使用,当有网络连接请求时它自动打开网络连接,如果你的机器是提供网络共享服务的化就开着它,避免网络断线后手动连接。
建议: “关掉”。
41. Remote Access Connection Manager
同上。
建议: “关掉”。
42. Remote Desktop Help Session Manager
提供远程对此机器的控制,微软的原意是通过它做远程帮助的,和NetMeeting Remote Desktop Sharing很类似,可以在网上让你手把手的交MM用软件。代价是牺牲安全。
建议: “关掉”。
43. Remote Procedure Call (RPC)
终于说到它了,上面很多服务都用到了RPC,它原名远程进程调用,是早期IBM,SUN等公司定义的功能级通信协议,随后被微软采纳,但做了改动,称之为MRPC。由于Windows内部结构已相当复杂了,很难搞清楚哪些模块在用RPC哪些不用,导致你只要关掉它,系统就玩完。COM+很大程度上就是基于RPC的。
建议:“自动打开”。
44. Remote Procedure Call (RPC) Locator
提供RPC的命名服务的,如果你了解CORBA和RMI的话,一定知道NameService的,通过它调用者才能找到被调用者的位置。但由于微软的注册表使得这些命名服务在本机上的调用根本没意义,这点COM有最好的体现,而且基本上也用不上机遇RPC的应用级调用,它之上COM已经很好用了。但前面我提到过Windows内部结构的复杂性,很难搞清楚它怎么使用RPC的了。
建议:“手动打开”。
45. Remote Registry
向其它机器开放你的注册表,我想你不敢这么干吧。但如果你有这中特殊需求的话可以试试。打开注册表,你可以在regedit中的文件菜单栏里找到“连接网络注册表”这一项,可以让你打开其它机器上的注册表,但那些机器上的Remote Registry必须打开,而且对你的机器的很多权限必须开放。
建议: “关掉”。
46. Removable Storage
名称不好,象DNS client一样容易让你搞错,实际上它是对特殊可移动存储器的管理,比如ZIP软驱和磁带驱动器,不要担心你可移动的CD和DVD。搞图像设计的经常会用ZIP同苹果机交换文件的。
建议: “关掉”。
47. Routing and Remote Access
提供路由服务,如今Windows也把这玩意做到系统里来了,但我一直不知道它在哪配置路由的,
建议: “关掉”。
48. Secondary Logon
一个古怪的想法,这个服务是为了多用户使用的机器,某些用户因为是非管理员权限,导致某些程序无法执行,这在unix/linux上很常见,每个文件的运行权限都是受控的,尤其很多服务程序都是以非管理员身份才能开启的,目的在于这些程序被破坏 - hack/crack后破坏者仍无法获得管理员权限做进一步破坏。而在WindowsXP上这东西却在打开一个漏洞,让没有管理员权限的用户可以使用管理工具!打开这个服务后,你右击可执行程序选择“运行方式” - run as 后有个菜单供你选择执行这个程序所用的用户身份。对单人使用的ThinkPad而言不仅没用还危险!
建议: “关掉”。
