一、什么是系统服务
在Windows 2000/XP/2003系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序。通过网络提供服务时,服务可以在Active Directory(活动目录)中发布,从而促进了以服务为中心的管理和使用。
服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。
在Windows 2000/XP/2003系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序。通过网络提供服务时,服务可以在Active Directory(活动目录)中发布,从而促进了以服务为中心的管理和使用。
服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。
二、配置和管理系统服务
其实与系统注册表类似,对系统服务的操作,我们可以通过“服务管理控制台”来实现。
以管理员或Administrators组成员身份登录,单击“开始→运行”菜单项,在出现的对话框中键入“Services.msc”并回车,即可打开“服务管理控制台”。你也可以单击“开始→控制面板→管理工具→服务”选项来启动该控制台。
在服务控制台中,双击任意一个服务,就可以打开该服务的属性对话框。在这里,我们可以对服务进行配置、管理操作,通过更改服务的启动类型来设置满足自己需要的启动、关闭或禁用服务。
在“常规”选项卡中,“服务名称”是指服务的“简称”,并且也是在注册表中显示的名称;“显示名称”是指在服务配置界面中每项服务显示的名称;“描述”是为该服务作的简单解释;“可执行文件的路径”即是该服务对应的可执行文件的具体位置;“启动类型”是整个服务配置的核心,对于任意一个服务,通常都有3种启动类型,即自动、手动和已禁用。只要从下拉菜单中选择就可以更改服务的启动类型。“服务状态”是指服务的现在状态是启动还是停止,通常,我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。
下面让我们来看看3种不同类型的启动状态:
自动:此服务随着系统启动时启动,它将延长启动所需要的时间,有些服务是必须设置为自动的,如Remote Procedure Call(RPC)。由于依存关系或其他影响,其他的一些服务也必须设置为自动,这样的服务最好不要去更改它,否则系统无法正常运行。
手动:如果一个服务被设置为手动,那么可以在需要时再运行它。这样可以节省大量的系统资源,加快系统启动。
已禁用:此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患,可以先尝试停止它,看看系统是否能正常运行,如果一切正常,那么就可以直接禁用它了。如果以后需要这个服务,在启动它之前,必须先将启动类型设置为自动或手动。
单击“依存关系”选项卡,在这里我们可以看到,在顶端列表中指出运行选定服务所需的其他服务,底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行,必须依靠其他服务。在停止或禁用一个服务之前,一定要看看这个服务的依存关系,如果有其他需要启动的服务是依靠这个服务,就不能将其停止。在停止或禁用一个服务前,清楚了解该服务的依存关系是必不可少的步骤。
其实与系统注册表类似,对系统服务的操作,我们可以通过“服务管理控制台”来实现。
以管理员或Administrators组成员身份登录,单击“开始→运行”菜单项,在出现的对话框中键入“Services.msc”并回车,即可打开“服务管理控制台”。你也可以单击“开始→控制面板→管理工具→服务”选项来启动该控制台。
在服务控制台中,双击任意一个服务,就可以打开该服务的属性对话框。在这里,我们可以对服务进行配置、管理操作,通过更改服务的启动类型来设置满足自己需要的启动、关闭或禁用服务。
在“常规”选项卡中,“服务名称”是指服务的“简称”,并且也是在注册表中显示的名称;“显示名称”是指在服务配置界面中每项服务显示的名称;“描述”是为该服务作的简单解释;“可执行文件的路径”即是该服务对应的可执行文件的具体位置;“启动类型”是整个服务配置的核心,对于任意一个服务,通常都有3种启动类型,即自动、手动和已禁用。只要从下拉菜单中选择就可以更改服务的启动类型。“服务状态”是指服务的现在状态是启动还是停止,通常,我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。
下面让我们来看看3种不同类型的启动状态:
自动:此服务随着系统启动时启动,它将延长启动所需要的时间,有些服务是必须设置为自动的,如Remote Procedure Call(RPC)。由于依存关系或其他影响,其他的一些服务也必须设置为自动,这样的服务最好不要去更改它,否则系统无法正常运行。
手动:如果一个服务被设置为手动,那么可以在需要时再运行它。这样可以节省大量的系统资源,加快系统启动。
已禁用:此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患,可以先尝试停止它,看看系统是否能正常运行,如果一切正常,那么就可以直接禁用它了。如果以后需要这个服务,在启动它之前,必须先将启动类型设置为自动或手动。
单击“依存关系”选项卡,在这里我们可以看到,在顶端列表中指出运行选定服务所需的其他服务,底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行,必须依靠其他服务。在停止或禁用一个服务之前,一定要看看这个服务的依存关系,如果有其他需要启动的服务是依靠这个服务,就不能将其停止。在停止或禁用一个服务前,清楚了解该服务的依存关系是必不可少的步骤。
三、winxp系统服务详解
1.Alerter(错误警报器)
说明:将系统上发生的与管理有关的事件以警示信息传送至网络上指定的电脑或用户,例如当发生打印错误或硬盘即将写满等事件,即由该服务负责收集、送出。该服务进程名为Services.exe
参考:一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上。可以关闭此项服务。
依存:Workstation
建议:手动
1.Alerter(错误警报器)
说明:将系统上发生的与管理有关的事件以警示信息传送至网络上指定的电脑或用户,例如当发生打印错误或硬盘即将写满等事件,即由该服务负责收集、送出。该服务进程名为Services.exe
参考:一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上。可以关闭此项服务。
依存:Workstation
建议:手动
2. (XP)Application Layer Gateway Service(应用层网关服务)
说明:提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持。
参考: 如果你不使用因特网联机共享(ICS)提供多台计算机的因特网存取和因特网联机防火墙(ICF)软件,可以关闭此项服务。
依存: Internt Connection Firewall(ICF)/Internet Connection Sharing(ICS)
建议: 手动/已禁用
说明:提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持。
参考: 如果你不使用因特网联机共享(ICS)提供多台计算机的因特网存取和因特网联机防火墙(ICF)软件,可以关闭此项服务。
依存: Internt Connection Firewall(ICF)/Internet Connection Sharing(ICS)
建议: 手动/已禁用
3. Application Management(应用程序管理)
说明:AppMgmt(应用程序管理服务)。提供软件安装服务,如分派、发行以及删除。该服务进程名为Svchost.exe。Windows2000引入了一种基于MSI(应用程序安装信息程序包文件)文件格式的软件管理方案——应用程序管理组件服务,它不仅管理软件的安装、删除,而且可以使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。
参考:当设置为“已禁用”时其实并不影响单机上软件的安装与卸载,而且基于MSI格式安装、修复与删除的行为也正常。
建议:手动
说明:AppMgmt(应用程序管理服务)。提供软件安装服务,如分派、发行以及删除。该服务进程名为Svchost.exe。Windows2000引入了一种基于MSI(应用程序安装信息程序包文件)文件格式的软件管理方案——应用程序管理组件服务,它不仅管理软件的安装、删除,而且可以使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。
参考:当设置为“已禁用”时其实并不影响单机上软件的安装与卸载,而且基于MSI格式安装、修复与删除的行为也正常。
建议:手动
4. Automatic Updates(自动更新)
说明:Wuauserv(自动更新服务)。从Windows Update启用Windows更新的下载和安装。该服务进程名为Svchost.exe。
参考:宽带用户如果需要Windows自动更新,可让此服务随机启动(自动),驻留后台。
建议:手动
说明:Wuauserv(自动更新服务)。从Windows Update启用Windows更新的下载和安装。该服务进程名为Svchost.exe。
参考:宽带用户如果需要Windows自动更新,可让此服务随机启动(自动),驻留后台。
建议:手动
5. Background Intelligent Transfer Service(后台智能传输服务)
说明:用来实现http1.1服务器之间的信息传输,微软称支持Windows更新时断点续传,Windows Update就是以此为工作之一。
依存:Remote Procedure Call(RPC)和Workstation
建议:手动
说明:用来实现http1.1服务器之间的信息传输,微软称支持Windows更新时断点续传,Windows Update就是以此为工作之一。
依存:Remote Procedure Call(RPC)和Workstation
建议:手动
6. ClipBook(剪贴簿)
说明:通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务,查阅远程机器中的剪贴簿,用于局域网中电脑来共享粘贴/剪贴的内容。
参考:把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到,普通用户可以设置为:已禁用。
依存:Network DDE
进程:clipsrv.exe
建议:该服务对于一般家用计算机根本涉及不到,可以根据具体情况,停止
说明:通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务,查阅远程机器中的剪贴簿,用于局域网中电脑来共享粘贴/剪贴的内容。
参考:把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到,普通用户可以设置为:已禁用。
依存:Network DDE
进程:clipsrv.exe
建议:该服务对于一般家用计算机根本涉及不到,可以根据具体情况,停止
7. COM+Event System(COM+组件系统)
说明:COM+倡导了一种新的概念,它把COM组件软件提升到应用层(用户使用层)而不再是底层的软件结构,通过操作系统的各种支持,使组件对象模型建立在应用层上,把所有组件的底层细节留给操作系统。一些 COM+软件需要这项服务的支持。该服务进程名为Svchost.exe。
参考:有些程序可能用到COM+组件,如BootVis的optimize system应用,检查Program FilesComPlus Applications目录,如果该目录为空就可以关闭此服务。
依存: Remote Procedure Call(RPC)和System Event Notification
建议:手动
说明:COM+倡导了一种新的概念,它把COM组件软件提升到应用层(用户使用层)而不再是底层的软件结构,通过操作系统的各种支持,使组件对象模型建立在应用层上,把所有组件的底层细节留给操作系统。一些 COM+软件需要这项服务的支持。该服务进程名为Svchost.exe。
参考:有些程序可能用到COM+组件,如BootVis的optimize system应用,检查Program FilesComPlus Applications目录,如果该目录为空就可以关闭此服务。
依存: Remote Procedure Call(RPC)和System Event Notification
建议:手动
8. (XP)COM+ System Application(COM+系统应用层)
说明:COMSysApp(COM+系统应用服务)。管理基于COM+组件的配置和跟踪。该服务进程名为Dllhost.exe。
依存:Remote Procedure Call(RPC)
建议:如果COM+ Event System是一辆车,那么COM+ System Application就是司机,手动
说明:COMSysApp(COM+系统应用服务)。管理基于COM+组件的配置和跟踪。该服务进程名为Dllhost.exe。
依存:Remote Procedure Call(RPC)
建议:如果COM+ Event System是一辆车,那么COM+ System Application就是司机,手动
9. Computer Browser(计算机浏览器)
说明:维护网上邻居中计算机的最新列表,并将这个列表通知给请求的程序,用来浏览局域网电脑的服务。
参考:普通用户设置为:已禁用;局域网用户设为:手动。
依存:Server 和 Workstation
建议:手动
说明:维护网上邻居中计算机的最新列表,并将这个列表通知给请求的程序,用来浏览局域网电脑的服务。
参考:普通用户设置为:已禁用;局域网用户设为:手动。
依存:Server 和 Workstation
建议:手动
10. Cryptographic Services(认证服务)
说明:提供三个管理服务:确认 Windows数字签名章的“类别目录数据库服务”;从这个计算机新增及移除受信任根凭证授权凭证的“受保护的根目录服务”,以及协助注册这个计算机以取得凭证的“密钥服务”。如果这个服务被停止,这些管理服务将无法正确工作。该服务进程名为Svchost.exe。
参考:简单的说就是Windows Hardware Quality Lab(WHQL)认证,如果使用 Automatic Updates ,可能需要这个。
依存:Remote Procedure Call(RPC)
建议:手动
说明:提供三个管理服务:确认 Windows数字签名章的“类别目录数据库服务”;从这个计算机新增及移除受信任根凭证授权凭证的“受保护的根目录服务”,以及协助注册这个计算机以取得凭证的“密钥服务”。如果这个服务被停止,这些管理服务将无法正确工作。该服务进程名为Svchost.exe。
参考:简单的说就是Windows Hardware Quality Lab(WHQL)认证,如果使用 Automatic Updates ,可能需要这个。
依存:Remote Procedure Call(RPC)
建议:手动
11. DHCP Client(动态主机配置协议客户端)
说明:DHCP是一种提供动态IP地址分配、管理的TCP/IP服务协议,它作为网络启动过程的一部分。DHCP客户端系统就可以向DHCP服务器请求和租用IP地址。
参考:如果是通过拨号方式连入Internet,则需要保持此服务的自动启动状态,因为在Internet上的IP地址是由ISP动态分配的。除非系统不应用于任何网络,可以将其设为:已禁用。
依存:AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver和NetBios over TCP/IP
建议:自动
说明:DHCP是一种提供动态IP地址分配、管理的TCP/IP服务协议,它作为网络启动过程的一部分。DHCP客户端系统就可以向DHCP服务器请求和租用IP地址。
参考:如果是通过拨号方式连入Internet,则需要保持此服务的自动启动状态,因为在Internet上的IP地址是由ISP动态分配的。除非系统不应用于任何网络,可以将其设为:已禁用。
依存:AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver和NetBios over TCP/IP
建议:自动
12. Distributed Link Tracking Client(分布式链接跟踪客户端)
说明:分布式链接跟踪客户端能跟踪文件在网络域的NTFS卷中移动的情况,并发出通知,用于局域网更新文件链接信息。后台运行时一般占用4M内存。
参考:普通用户设置为:已禁用;局域网用户(硬盘已格式为NTFS格式)设为:手动。
依存:Remote Procedure Call(RPC)
建议:手动/已禁用
说明:分布式链接跟踪客户端能跟踪文件在网络域的NTFS卷中移动的情况,并发出通知,用于局域网更新文件链接信息。后台运行时一般占用4M内存。
参考:普通用户设置为:已禁用;局域网用户(硬盘已格式为NTFS格式)设为:手动。
依存:Remote Procedure Call(RPC)
建议:手动/已禁用
13. Distributed Transaction Coordinator(分布式协同处理器)
说明:分布于两个以上的数据库、消息队列、文件系统其它事务保护资源管理器,协调跨越多个资源管理员的交易,如数据库、信息队列及文件系统。如果此服务被停止,这些交易将不会发生。该服务的进程名为Msdtc.exe
参考:普通用户没有用处,除非启用Message Queuing。
依存:Remote Procedure Call(RPC)和Security Accounts Manager
建议:手动
说明:分布于两个以上的数据库、消息队列、文件系统其它事务保护资源管理器,协调跨越多个资源管理员的交易,如数据库、信息队列及文件系统。如果此服务被停止,这些交易将不会发生。该服务的进程名为Msdtc.exe
参考:普通用户没有用处,除非启用Message Queuing。
依存:Remote Procedure Call(RPC)和Security Accounts Manager
建议:手动
14. DNS Client(域名系统客户端)
说明:将域名解析为IP地址。如果停止这个服务,这台计算机将无法解析DNS名称并寻找Active Directory网域控制站的位置。
参考:除非没有连入任何网络,否则应保持此服务的自动启动状态。另外IPSEC需要用到。
依存:TCP/IP Protocol Driver
进程:dns.exe
建议:自动
说明:将域名解析为IP地址。如果停止这个服务,这台计算机将无法解析DNS名称并寻找Active Directory网域控制站的位置。
参考:除非没有连入任何网络,否则应保持此服务的自动启动状态。另外IPSEC需要用到。
依存:TCP/IP Protocol Driver
进程:dns.exe
建议:自动
15. (XP)Error Reporting Service(错误报告服务)
说明:允许对执行于非标准环境中的服务和应用程序的错误报告。该服务进程名为Svchost.exe。
依存:Remote Procedure Call(RPC)
建议:该服务即微软的应用程序错误报告,基于安全性考虑,停止。
说明:允许对执行于非标准环境中的服务和应用程序的错误报告。该服务进程名为Svchost.exe。
依存:Remote Procedure Call(RPC)
建议:该服务即微软的应用程序错误报告,基于安全性考虑,停止。
16. Event Log(事件日志)
说明:记录程序和系统发送的出错消息,包含了对诊断问题有所帮助的信息。禁用此服务后,将导致了几个关于网络的服务无法启动的现象,并且无法实现拨号上网。该服务进程名为Services.exe。
参考:如果存在Internet或局域网连接,建议保持此服务的自动启动状态。此服务不能被停止。
依存:Windows Management Instrumentation
建议:自动
17. (XP)Fast User Switching Compatibility(快速用户切换)
说明:在多使用者环境下提供应用程序管理。该服务进程名为Svchost.exe。
参考:注销画面中的切换用户功能。
依存:Terminal Services
建议:基于安全性考虑,如果不使用多用户环境,停止。
说明:在多使用者环境下提供应用程序管理。该服务进程名为Svchost.exe。
参考:注销画面中的切换用户功能。
依存:Terminal Services
建议:基于安全性考虑,如果不使用多用户环境,停止。
18. Fax Service(传真服务)
说明:在Windows95中支持的传真功能在Windows2000中重新被予以支持,而且与系统集成得更好。
参考:如果不使用传真机,可以设置为:已禁用。
进程:faxsvc.exe
说明:在Windows95中支持的传真功能在Windows2000中重新被予以支持,而且与系统集成得更好。
参考:如果不使用传真机,可以设置为:已禁用。
进程:faxsvc.exe
19. FTP Publishing Service(FTP发布服务)
说明:通过Internet信息服务(IIS)的管理单元提供FTP连接和管理。
进程:inetinfo.exe
建议:自动/手动
说明:通过Internet信息服务(IIS)的管理单元提供FTP连接和管理。
进程:inetinfo.exe
建议:自动/手动
20. (XP)Help and Support(帮助和支持中心)
说明:让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。该服务进程名为Svchost.exe。
依存: Remote Procedure Call(RPC)
建议: 可以根据具体情况,停止。
说明:让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。该服务进程名为Svchost.exe。
依存: Remote Procedure Call(RPC)
建议: 可以根据具体情况,停止。
21. (XP)Human Interface Device Access(人性化接口访问)
说明:启用对人性化接口装置(HID)的通用输入存取,HID装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。该服务进程名为Svchost.exe。
依存: Remote Procedure Call(RPC)
建议: 手动/已停用
说明:启用对人性化接口装置(HID)的通用输入存取,HID装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。该服务进程名为Svchost.exe。
依存: Remote Procedure Call(RPC)
建议: 手动/已停用
22. IIS Admin Service(IIS管理服务)
说明:允许通过Internet信息服务(IIS)的管理单元管理Web和FTP服务。
建议:自动/手动
说明:允许通过Internet信息服务(IIS)的管理单元管理Web和FTP服务。
建议:自动/手动
23. (XP)IMAPI CD-Burning COM Service(IMAPI光盘刻录服务)
说明:使用 Image Mastering Applications Programming Interface(IMAPI)管理光盘刻录。
参考:WinXP整合的CD-R和CD-RW光驱上拖放的刻录功能,可惜比不上烧录软件,关闭此服务还可以加快Nero的启动速度,HOHO~~。
建议: 手动/已停用
说明:使用 Image Mastering Applications Programming Interface(IMAPI)管理光盘刻录。
参考:WinXP整合的CD-R和CD-RW光驱上拖放的刻录功能,可惜比不上烧录软件,关闭此服务还可以加快Nero的启动速度,HOHO~~。
建议: 手动/已停用
24. Indexing Service(索引服务)
说明:索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建立索引,并通过Windows2000特有的文档过滤器快速定位到所需要的文档上,大大强化了Windows2000的搜索能力。但另一方面,索引搜索又消耗了大量系统资源。
微软建议:对于仅有64MB内存,而要索引的文档又超过十万个的系统,就应该禁用这个服务。但事实上,在针对64MB内存的系统中,即使文档数量远远低于十万个,系统资源的消耗亦非常惊人,而且在128MB的系统上情况无明显好转,因此强烈建议禁用它。进程:cisvc.exe
依存关系:Remote Procedure Call(RPC)
建议:已禁用
说明:索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建立索引,并通过Windows2000特有的文档过滤器快速定位到所需要的文档上,大大强化了Windows2000的搜索能力。但另一方面,索引搜索又消耗了大量系统资源。
微软建议:对于仅有64MB内存,而要索引的文档又超过十万个的系统,就应该禁用这个服务。但事实上,在针对64MB内存的系统中,即使文档数量远远低于十万个,系统资源的消耗亦非常惊人,而且在128MB的系统上情况无明显好转,因此强烈建议禁用它。进程:cisvc.exe
依存关系:Remote Procedure Call(RPC)
建议:已禁用
25. Internet Connection Firewall (Internet连接防火墙) / Internet Connection Sharing(Internet连接共享)
说明:此服务为局域网计算机提供Internet共享连接,为多台联网的电脑共享一个拨号网络访问Internet提供了捷径。以前在Windows9X中要实现这一功能需借助SYGATE、WinGATE等代理软件,现在这一功能已直接被Windows2000支持。该服务进程名为Svchost.exe。
参考:如果不使用Internet连接共享或是WinXP内含的Internet连接防火墙的普通用户可将其设为:已禁用。
依存:Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议:ICF自动,ICS手动
说明:此服务为局域网计算机提供Internet共享连接,为多台联网的电脑共享一个拨号网络访问Internet提供了捷径。以前在Windows9X中要实现这一功能需借助SYGATE、WinGATE等代理软件,现在这一功能已直接被Windows2000支持。该服务进程名为Svchost.exe。
参考:如果不使用Internet连接共享或是WinXP内含的Internet连接防火墙的普通用户可将其设为:已禁用。
依存:Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议:ICF自动,ICS手动
