Virus 版 (精华区)

发信人: SwordLea (飞刀李), 信区: Virus
标  题: Windows XP服务详解 zz
发信站: 哈工大紫丁香 (Tue Sep 21 09:20:41 2004), 转信

　　Windows XP服务详解
　　
　　1.Alerter
　　
　　Alerter （警示器）服务的进程名是Services.exe（即启动这个服
务后在后台运行的进程的名称，可以通过任务管理器看到）。Alerter
服务的功能是，WinXP 将系统上发生的与管理有关的事件以警示（Alert
）信息传送至网络上指定的电脑或用户，例如当发生打印错误或硬盘即将
写满等事件，这类警示信息由XP的警示器服务（Alerter Service ）收
集、送出。
　　
　　尽管Alerter 依存的服务并没有Messenger （信使）服务，但Alerter
服务必须依赖后者才能送出信息，故在启动Alerter 服务后还必须确定
Messenger 服务也是在工作中，而接收的电脑也必须启动Messenger 服
务。由于Alerter 服务运行后，服务使用户可以发送弹出（Pop-up）信
息给其他用户，这些信息有可能被攻击者用来实施攻击，如诱骗用户修
改口令等，从而造成安全隐患。同时该服务使得用户帐号名泄漏，也有
可能被攻击者利用来进行口令猜测攻击。所以对于家庭单机用户，甚至
对于绝大多数小型的局域网来说，这个功能是完全可禁用的，不仅节省
了系统资源和加快启动速度，也提高了机器的安全性。
　　
　　2.Application Layer Gateway Service
　　
　　简称“ALG ”（应用层网关），其进程名是alg.exe ，WinXP Home/PRO
默认安装的启动类型为手动。ALG 又被称为代理服务器（Proxy Server），
是网络防火墙从功能面上分类的一种。当内部计算机与外部主机连结时，
将由代理服务器（Proxy Server）担任内部计算机与外部主机的连结中
继者。使用ALG 的好处是隐藏内部主机的地址和防止外部不正常的连接，
如果代理服务器上未安装针对该应用程序设计的代理程序时，任何属于
这个网络服务的封包将完全无法通过防火墙。通俗点说，具体到ALG 本
身，它就是WinXP 附带的Internet连接共享/ 防火墙的具体控管程序，
如果你需要启用这二者，这个服务是必备的。当然，只有一台计算机的
上网家庭可以考虑禁用这个服务，不过笔者个人觉得WinXP 内置的防火
墙效果还是不错的，如果不是坚持要使用第三方的防火墙，还是建议开
着它吧。
　　
　　3.Application Management
　　
　　AppMgmt （应用程序管理服务）的进程名是Svchost.exe ，WinXP
Home/Pro默认安装的启动类型是手动，没有任何依存服务关系。从Win2000
开始微软引入了一种基于MSI 文件格式（应用程序安装信息程序包文件）
的全新、有效软件管理方案——即应用程序管理组件服务（Application
Management），它不仅管理软件的安装、删除，而且可使用此项服务修
改、修复现有应用程序，监视文件复原并通过复原排除基本故障等。通
常这个服务我们保持其默认状态较好。
　　
　　可能许多朋友都有印象，当年ACDSee 4.0刚发布时，由于安装制作
上的考虑不周，并没有考虑到那个时候大多数人的系统还并不支持MSI
安装格式，结果只得又去下载安装一个名为Windows Installer 的MSI
辅助文件才解决问题。通常以MSI 文件格式安装的软件十分好认，比如
说Office XP ，当你安装后再次运行软件的安装程序时，它一般会有
“重新安装”、“修复软件”、“卸载软件”等多个选项，而不是以前
安装程序那种就简单的卸载或覆盖安装了事。
　　
　　4.Automatic Updates
　　
　　Wuauserv（自动更新服务）的进程名是Svchost.exe ，WinXP Home/Pro
默认安装的启动类型为自动，没有任何依存服务关系。这个是大家都非
常熟悉的系统自动更新功能，就不多说了。用小猫上网而深受其苦的朋
友记得在系统属性中关闭是不够的，还要将Automatic Updates 这个服
务禁用才可以。以后需要更新的话，直接到在IE中键入Windows Update
网站地址手动更新即可。
　　
　　5.Background Intelligent Transfer Service
　　
　　BITS（后台智能传输服务）的进程名是Svchost.exe ，WinXP Home/Pro
默认安装的启动类型是手动，依赖于Remote Procedure Call 、Workstation
服务。微软宣称BITS能够利用剩余的带宽传输文件，当网络切断或计算
机需重启时，后台智能传输服务会自动对文件传输加以维护，当网络重
新连接时，后台智能传输服务将继续从停止的地方继续开始传输文件。
其实这个服务原是用来实现HTTP 1.1服务器之间的信息传输，基本上它
的应用也就是支持Windows 自动更新时的断点续传。如果你禁用了Automatic
Updates ，留着它基本上也没有什么意义。
　　
　　6.ClipBook
　　
　　ClipSrv （剪贴板查看器服务）的进程名是clipsrv.exe ，WinXP
Home/Pro默认安装的启动类型是手动，依赖Network DDE 服务。ClipBook
通过Network DDE 和Network DDE DSDM提供的网络动态数据交换服务，
可查阅远程机器中的剪贴板，通俗的说就是ClipBook支持剪贴板查看器
（ClipBook Viewer ）程序，该程序可允许剪贴页被远程计算机上的ClipBook
浏览。
　　
　　例如有个较大的文档工程，由A 、B 、C 共同开发，A 负责Excel
数据部分，B 负责Visio 制图部分，而C 负责将两部分文档的整合。C
经常需要对A 、B 的数据进行拷贝，愚蠢的做法是C 打开A 、B 在网络
邻居上共享的文档，然后将相关内容拷贝。而对Windows 体系有一定了
解的用户应该听说过OLE 这个东西，上面说的EXCEL 数据和Visio 制图
都可以认为是独立的OLE 对象，如果A 、B 、C 的3 台机器上的Clipbook
服务都为开启，就可利用ClipBook共享这些OLE 对象，C 只要在自己的
文档中建立OLE 对象的链接指向A 、B 的Excel 和Visio ，A 、B 对自
己工作的任何改动即可在C 的复合文档里自动体现。由此可见，ClipBook
是基于对象的共享，而非简单的文件共享。所以也很好理解，这是一把
双刃剑，在带来极大方便的同时，也带来被非法远程访问ClipBook剪贴
页面的安全隐患。对于没有上述类似工作，又不准备使用或极少使用远
程桌面的用户，这个服务完全可以禁用，在需要的时候再打开。
　　
　　7.COM+ Event System
　　
　　EventSystem （COM+事件系统服务）的进程名是Svchost.exe ，WinXP
Home/Pro默认安装的启动类型是手动，依赖Remote Procedure Call 服
务。对于非软件开发专业的朋友来说，COM+是个非常难理解的名词。简
单的说COM+是一种软件构件/ 组件的标准。比如写一个软件好比是盖一
座房子。而门窗等部件会根据标准设计，以求得省时省力，COM 组件即
是Windows 的门窗等标准组件了，COM+是对COM 的进一步扩展，其具体
含义在此就不详细介绍了，Windows 系统又是个典型的消息（事件）处
理型系统，很多功能都是由消息来触发的，这就产生了COM+ Event System。
我们要学习的是如何简单判断自己的系统中是否有程序依靠此服务。检
查你的系统安装盘下的“Program files\ComPlus Applications”目录，
如果没有东西就可以把这个服务关闭了。
　　
　　8.COM+ System Application
　　
　　COMSysApp （COM+系统应用服务）的进程名是Dllhost.exe ，WinXP
Home/Pro默认安装的启动类型是手动，依赖Remote Procedure Call 服
务。简单的说，COM+ System Application 是COM+ Event System 的具
体执行者，如果禁用了COM+ Event System 也就自然禁用它。
　　
　　9.Computer Browser
　　
　　Browser （计算机浏览器服务）的进程名是Svchost.exe ，WinXP
Home/Pro默认安装的启动类型是自动，依赖Server和Workstation 服务。
Browser 服务维护着一个网络资源的清单，其中包括基于Windows 的域、
工作组和计算机，还有其他支持NetBIOS 协议的网络设备，我们在“网
上邻居”上看到显示的内容正是来源于此。显然对于一般家庭用的计算
机这个服务并不需要，除非计算机位于局域网之上，例如用长城宽带的
朋友，用它可方便地知道社区内的网络环境。这个服务还是慎重对待较
好，若不是太在意还是将其设置成自动吧。
　　
　　10.Cryptographic services
　　
　　CryptSvc（认证服务）的进程名是Svchost.exe ，WinXP Home/Pro
默认安装的启动类型为自动，依赖Remote Procedure Call 服务。CryptSvc
是整个微软公钥体系（PKI ，Public Key Infrastructure ）的核心元
件。所谓的PK是一种公匙加密法，通过加密来保证数据的安全和传送，
它与传统的秘密（对称）钥匙密码法不相同，PK密码法的基本特性是加
密和解密的钥匙不同，每一个用户两把钥匙，一把公开密匙，一把私匙。
撇开这些难以一下子理解的术语，具体到CryptSvc本身来说，如果我们
在WinXP 中使用Automatic Updates 自动更新，或在Internet上使用证
书进行身份验证以及正确管理这些证书等，那么这个服务就不要关闭。
其中这个功能最有用的是，当你安装一个驱动程序时，以确定它是不是
通过微软认证的。因为驱动程序在操作系统内可以获得很高的运行权限，
含有恶意代码的驱动程序会让你玩完，因而开发驱动程序的厂家一般都
会去做微软认证，通过验证后，微软会在里面添加它的认证数据，再到
你机器上安装时就可以通过CryptSvc检测升级。
　　
　　11.DHCP Client
　　
　　Dhcp（DHCP客户端服务）的进程名是Svchost.exe ，WinXP Home/Pro
默认安装的启动类型为自动，依赖AFD Networking Support Environment、
NetBIOS over TCP/IP 以及TCP/IP Protocol Driver服务。简单的说DHCP
过程就是由网络中一台主机（DHCP Server ）将所有的网络参数自动分
配给网络内的任何一台计算机，而DHCP Client 就是网络中被分配网络
参数的对象计算机了。如果能在网络中被自动分配IP地址等网络参数，
那么这个DHCP Client 服务就必不可少。对于家庭单机用户来说，只要
是使用DSL/Cable 上网、开启ICS 和IPSEC 服务的人都需要这个来指定
静态IP，所以通常这个服务是不关闭的，除非你的机器是完全的单机应
用环境。
　　
　　12.Distributed Link Tracking Client
　　
　　TrkWks（分布式连结追踪客户端服务）的进程名是Svchost.exe ，
WinXP Home/Pro默认安装的启动类型为自动，依赖Remote Procedure Call
服务。对于计算机有一定了解的人对于“分布式”这个词并不陌生，这
里就不作解释。TrkWks服务简单说，就是将整个网络中分散于各台计算
机上互相有连接的NTFS文件看作一个整体，相当于一台机器上的文件系
统，所以当系统内发生文件移动，就会记录这个信息。它是针对“域用
户”的“NTFS文件”的“分布式连接”，这3 个条件缺一个你就用不上
它，对于不在局域网的单机用户来说，当然是禁用它。
　　
　　13.Distributed Transaction coordinator
　　
　　MSDTC （分布式交易协调器）的进程名是Msdtc.exe ，WinXP Home/Pro
默认安装的启动类型是手动，依赖Remote Procedure Call 和Security
Accounts Manager服务。MSDTC 主要用来处理分布式交易，所谓分布式
交易，就是跨越两个或多个数据库的单一SQL Server内部的交易。同一
数据库内不同数据表间的交易，则不能称作分布式交易。显然对于需要
同时处理多个数据库或文件系统的用户来说，这个服务意义重大，但它
也是通常意义上一般用户不会使用到的服务，通常来默认手动启动就好
了，其实这个服务也容易受到远程拒绝服务攻击，禁用它也没有问题，
而且更安全。
　　
　　14.DNS Client
　　
　　Dnscache（DNS 客户端服务）的进程名是Svchost.exe ，WinXP Home/Pro
默认安装的启动类型为自动，依赖TCP/IP Protocol Driver服务。DNS
（Domain Name System）也是常见的名词了，简单的解释就是当使用网
页浏览器去上网时，会键入网站的网址，而这些网址名称在因特网上就
是透过网域名称服务器（DNS 服务器）来完成名称转换为IP地址的解释。
实际上一些网站并不是只有一台服务器在工作，而是有多台服务器在同
时工作，也就是说同样一个网站名称地址可对应不同的IP地址（在Win2000
以前的操作系统可执行此查询）。但如果将操作系统换到Win2000 或XP，
同样的网站你又会发现总是查到同一个IP地址。为什么会这样呢？这就
是DNS Client服务的作用。
　　
　　为了要达到用最快速、最有效率的方式，让客户端能够迅速找到网
域的验证服务，在Win2000/XP系统中，加入了DNS 快取（Cache ）的功
能，当第一次在找到了目的主机的IP地址后，操作系统就会将所查询到
的名称及IP地址记录在本机的DNS 快取缓冲区中，下次客户端还需要再
查询时，就不需要到DNS 服务器上查询，而直接使用本机DNS Cache 中
的数据即可，所以你查询的结果始终是同一IP地址。这个服务关闭与否
影响并不大，在安全性上最多只是可以泄漏你的缓存内容，确定你曾经
访问过的网站。
　　
　　15.Error Reporting Service
　　
　　ERSvc （错误报告服务）的进程名是Svchost.exe ，WinXP Home/Pro
默认安装的启动类型为自动，依赖Remote Procedure Call 服务。这个
服务我们经常碰到，当使用程序出错时会跳出对话框，问你是否需要向
微软发送报告，就是这个服务的功能。此服务完全可设置为手动或禁止。
如果你想对错误报告进行更详细的设置，可以右键单击“我的电脑”图
标，选择“属性”，在“高级选项卡”下点击“错误报告”按钮，在那
里你可以决定是否发送错误报告以及发送怎样的错误报告。而对于没有
上网的用户就可直接禁用此服务了，上网用户如果担心报告会向微软透
漏你的私人信息（当然微软保证不会发生这种事情），也大可禁用它。
　　
　　16.Event Log
　　
　　Eventlog（系统日志纪录服务）的进程名是Services.exe，WinXP
Home/Pro默认安装的启动类型为自动，没有服务依存关系。Event Log
服务负责记录来自系统和运行中程序的管理事件消息，为Windows 和应
用程序提供了一个标准而集中的方法来记录重要的软件和硬件事件。打
开事件查看器的方法是依次打开“开始→控制面板”，然后选择打开
“管理工具→事件查看器”。这个服务是基础服务，无法调整关闭。
　　
　　17.Fast User Switching Compatibility
　　
　　Fast User Switching Compatibility （多用户快速切换服务）的
进程名是svchost.exe ，WinXP Home/Pro默认安装的启动类型是手动，
依赖Terminal Services 服务。此服务是WinXP 的新技术，即快速的多
用户切换环境。解决了以前的多用户环境虽然安全但是切换用户环境需
要重新启动，并丢失上一用户工作环境的问题。使用很简单，只要进行
“开始→注销→切换用户”操作即可方便地切换用户环境，是非常不错
的多用户技术，如果用不着多用户环境就不用打开它（加入域后默认不
能进行快速切换，当然可禁用）。
　　
　　18.FAX Service
　　
　　FAX （传真服务）的进程名是Fxssvc.exe，WinXP Home/Pro中默认
是没有安装的，依赖Plug and Play 、Print Spooler 、Remote Procedure
Call、Telephony 服务。FAX 服务在默认情况下是没有安装的，但如果
你安装了它就可以进行“开始→所有程序→附件→通讯→传真”操作，
使用WinXP 内置的传真服务来收发传真了，当然你要保证你的机器至少
还保留了一只小猫。不需要的人就禁用吧。
　　
　　19.Help and Support
　　
　　Helpsvc （帮助服务）的进程名是Svchost.exe ，WinXP Home/Pro
中默认安装的启动类型为自动，依赖Remote Procedure Call 服务。这
个服务用于支持WinXP 帮助和支持中心的功能，如果你刚开始使用WinXP
，这个帮助中心能解决不少问题，如果你觉得不需要它了，那就禁用吧。
　　
　　20.Human Interface Device Access
　　
　　HidServ （人性化接口装置服务）的进程名是Svchost.exe ，WinXP
Home/Pro中默认安装的启动类型是禁用，依赖Remote Procedure Call
服务。这个服务简单说就是支持那些所谓的带有多媒体功能智能键盘，
比如音量调节。当然你有符合人体工程学标准的设备（主要指键盘和鼠
标），那么这个服务就设置为自动，否则这些设备的一些功能将不能正
常使用。而如果你没有这类设备或者你的设备有自己的驱动，即可禁用
此服务。
　　
　　21.IMAPI CD-Burning COM Service
　　
　　ImapiService（IMAPI CD刻录服务）的进程名是Imapi.exe ，WinXP
Home/Pro中默认安装的启动类型是手动，没有任何的服务依存关系。这
个就是WinXP 内置的CD刻录服务了，杂志2003年第12期对此有过较详细
的介绍。总的来说该服务的功能和性能十分有限，有刻录机的朋友还是
安装成熟的第三方刻录软件，关闭这个服务吧。
　　
　　22.Indexing Service
　　
　　Cisvc （索引服务）的进程名是Cisvc.exe ，WinXP Home/Pro中默
认安装的启动类型是手动，依赖Remote Procedure Call 服务。这个服
务可为本地和远程计算机上的文件编制索引，也就是说像图书馆里为图
书编制的查询索引一样，这样可加快寻找文件的速度。开启此项服务对
个人用户而言有一个很大的帮助，就是文件浏览速度（即双击某文件夹
后的等待时间）会明显增加，因为系统已将目录结构读入了内存，需要
时会直接调用。但此服务启用后某此情况会导致系统极度繁忙，通过任
务管理器，可看见Cidaemon.exe这个进程占用了大部分CPU 资源。因此
对待这个不成熟的服务请根据自己机器的情况设为“自动”或“禁用”。
　　
　　23.Internet Connection Firewall/Internet Connection Sharing
　　
　　SharedAccess（Internet连接共享和防火墙服务）的进程名是Svchost.exe，
WinXP Home/Pro中默认安装的启动类型分别是手动和自动，依赖Application
Layer Gateway Service 、Network Connections 、Network Location
Awareness 、Remote Access Connection Manager服务。这个服务提供
WinXP 内置的Internet连接共享和防火墙功能。笔者比较喜欢这两个功
能，性能都不错而且方便，具体关闭与否看个人喜好，不用就可以关闭
它。
　　
　　24.IPSEC Services
　　
　　PolicyAgent （IP安全策略服务）的进程名是Lsass.exe ，WinXP
Home/Pro中默认安装的启动类型为自动，依赖IPSEC driver、Remote Procedure
Call、TCP/IP Protocol Driver服务。IPSEC 是一种用来保护内部网、
专用网络以及外部网（Internet、Extranet）免遭攻击的重要防御方法，
主要特征在于它可对所有IP级的通信进行加密和认证，正是这一点才使
IPSEC 可以确保包括远程登录、客户/ 服务器、电子邮件、文件传输及
Web 访问在内的多种应用程序的安全。由于企业及政府用户非常注重于
部署安全的IP，所以这一服务显得很重要。同时也可以看到，对于绝大
多数用户来说，这是个根本就不用关心的东西。所以禁用它吧。
　　
　　25.Logical Disk Manager
　　
　　Dmserver（逻辑磁盘管理员服务）的进程名是Svchost.exe ，WinXP
Home/Pro中默认安装的启动类型分别是手动和自动，依赖Plug and Play
、Remote Procedure Call服务。Dmserver用来动态管理磁盘，如显示磁
盘可用空间和使用Microsoft Management Console（MMC ）主控台中的
磁盘管理功能。这个服务对于经常使用移动硬盘、U 盘等外设的朋友来
说必不可少，没有的话可选择禁用它。
　　
　　26.Logical Disk Manager Administrative Service
　　
　　Dmadmin （逻辑磁盘管理系统管理服务）的进程名是Svchost.exe ，
WinXP Home/Pro中默认安装的启动类型分别是手动和自动，依赖Logical
Disk Manager、Plug and Play 、Remote Procedure Call 服务。Dmadmin
主要用来配置硬盘信息，平时基本上没用。打开“计算机管理”（Microsoft
Management Console，简称MMC ）时，你可以看到“磁盘管理”，这时
就会用上它，可设为手动。
　　
　　27.Messenger
　　
　　Messenger （信使服务）的进程名是Services.exe，WinXP Home/Pro
中默认安装的启动类型为自动，依赖NetBIOS Interface 、Plug and Play、
Remote Procedure Call 、Workstation 服务。Messenger 这个服务上
过网的人都应该比较熟悉，本来Microsoft 开发“信使服务”是为了方
便同一域中的管理员进行信息交流，后来有些人开发了突破域限制的信
使发送工具，于是大家挂在网上时，计算机上经常会弹出一个名为“信
使服务”的对话框，这些不请自到的“信使”基本上是一些垃圾信使信
息，有无聊的广告，有非法的信息等。通常这些信息是用一些名为“凶
宝宝信使”、“妖刺”的软件发布的，但实际上如果是在同一域中，只
需要用NET SEND命令就可以轻易发送消息了。突然出现的“信使服务”
不仅会干扰工作，影响心情，而且还容易遭到“社会工程”攻击，所以
禁用它吧。
　　
　　28.MS Software Shadow Copy Provider
　　
　　SwPrv （管理磁盘区卷影复制服务）的进程名是dllhost.exe ，WinXP
Home/Pro中默认安装的启动类型是手动，依赖Remote Procedure Call
服务。这个服务是为WinXP 中的MS Backup 备份程序提供支持，奇怪的
是即使关掉它我的备份工作也可以顺利完成，用不着的话就禁用它吧。
　　
　　29.Net Logon
　　
　　Netlogon（网域登录服务）的进程名是lsass.exe ，WinXP Home/Pro
中默认安装的启动类型分别是手动和自动，依赖Workstation 服务。这
个服务是用来做网域审查的。当你的计算机处在一个域网内时，如果要
使用网内的域服务器登录到域网时，就要通过它来登录了。一般用户用
不着，禁用即可。
　　
　　30.NetMeeting Remote Desktop Sharing
　　
　　Mnmsrvc （NetMeeting远程桌面共享服务）的进程名是Mnmsrvc.exe
，WinXP Home/Pro 中默认安装的启动类型是手动，依赖Remote Procedure
Call服务。使用NetMeeting可透过公司内部网络，让使用者将计算机的
控制权分享给局域网上或因特网上的其他使用者，很多人都因为安全问
题关掉它，而且它很占网络资源。但如果你想和别人做些非文字的交流，
还是比较好玩的。注意关掉它后，远程桌面共享功能将无法使用。
　　
　　31.Network Connections
　　
　　Netman（网络连接服务）的进程名是svchost.exe ，WinXP Home/PRO
默认安装的启动类型是手动，依赖于Remote Procedure Call 服务。Netman
也是非常重要的基础服务，它管理着“网络和拨号连接”文件夹中的所
有对象，任何有关于网络上（局域网、Internet）的连接都需要这个服
务。如果被禁用，在“网络和拨号连接”文件夹中将什么都看不到，更
不用说新建连接和拨号上网了。因此除非你的机器是绝对的单机环境，
才可将其关闭。
　　
　　32.Network DDE
　　
　　NetDDE（网络动态数据交换服务）的进程名是netdde.exe，WinXP
Home/PRO默认安装的启动类型是手动，依赖于Network DDE DSDM服务。
NetDDE（Network Dynamic Data Exchange ）是微软早期设计的一种方
法，可让应用程序在不同PC上的Windows 之间交换动态数据，现在已经
很少使用。实际上在WinXP 中，真正使用它的只有ClipBook服务，回顾
上一期中提到的3 人共同开发文档，通过ClipBook来交换动态数据的例
子就可以很好理解这个服务的作用了。数据共享服务通常是经过可信赖
的沟通渠道，负责管理这项服务的是网络DDE 代理（Network DDE Agent
），实际上网络DDE代理会使机器非常容易遭受攻击而失去本机的管理员
控制权。因此如果无需ClipBook共享这个特殊服务，不妨禁用。
　　
　　33.Network DDE DSDM
　　
　　NetDDE dsdm （网络动态数据交换网络共享服务）的进程名是netdde.exe，
WinXP Home/PRO默认安装的启动类型是手动，它不依赖于其他服务。如
果此服务终止，Network DDE 服务将不可用，实际上如果不用Network
DDE ，那么Network DDE DSDM也禁用好了。
　　
　　34.Network Location Awareness
　　
　　NLA （网络位置识别服务）的进程名是svchost.exe ，WinXP Home/PRO
默认安装的启动类型是手动，依赖于AFD 网络支持环境和TCP/IP Protocol
Driver服务，而ICF/ICS 服务依赖于它。NLA 可以探测网络系统的相关
信息，当这些信息发生变化时通知相关的应用程序。基本上，这个服务
主要针对的对象是笔记本电脑。因为在实际工作和生活中，人们的笔记
本电脑常常在超过一个以上的网络环境中应用。经常可能遇到在一个网
络中需要使用动态IP地址，而在另一网络中需要使用静态IP地址的问题。
比如说你在办公室里使用的是动态IP，而在家里却使用静态IP来连接宽
带，那么NLA 就可让你在家里及单位网络（有线）之间切换时自动辨认
出不同网络环境，从而自动选择合适的配置而无需重新调整网络参数。
对于经常移动办公的人，这确实是个不错的功能。
　　
　　35.NT LM Security Support Provider
　　
　　NtLmSsp （NT LM 安全性支持提供者服务）的进程名是lsass.exe ，
WinXP Home/PRO默认安装的启动类型是手动，它不依赖于其他服务。NT
LM的意思即NT LanManger，是NT下提供的认证方法之一，使用了64位的
加密手段。NtLmSsp 这个服务主要针对RPC （远程过程调用），通常RPC
可以选择基于两种通信方式，一种是传输协议，比如TCP/IP、UDP 、IPX
等，另一种为命名管道（Pipeline）。通常情况下Windows 默认选择都
是传输协议，而由于RPC 是采用非加密传输的，通信数据安全无法得到
保证，而NtLmSsp 就可向这一类RPC 提供安全服务。WinXP 中已知的这
类RPC 应用就是Telnet服务（Telnet也依赖于NtLmSsp ），因此无需Telnet
服务的单机用户可将NtLmSsp 其关闭。
　　
　　36.Performance Logs and Alerts
　　
　　SysmonLog （效能记录日志及警示服务）的进程名是smlogsvc.exe，
WinXP Home/PRO默认安装的启动类型是手动，它没有任何服务依存关系。
如果打开控制面板的管理工具，可以看到有“性能”这个工具，它较详
细地反映了系统的性能，但配置起来相当复杂，不好上手，而且大多数
人也会认为这个性能工具没什么意义。
　　
　　SysmonLog 就是为它提供日志记录的服务。如果你对自己机器的工
作状态比较在意，这绝对是一个值得研究的工具，因为它可以严格监视
硬盘、内存、CPU 甚至于软件在系统中的运行，并通过记录下的日志数
据分析机器软硬件资源的具体情况。更有用的是，如果你比较了解计数
器这个参数的设置，就可为各部分资源设置合适的计数器值，一旦服务
监视到资源的性能值超过或是低于此值，就会通过Messenger 服务发出
警告，如此很容易就能觉察到机器的某部分资源不足（如若升级电脑就
可先从这里考虑）或发生了故障等。当然，并不关心自己机器具体工作
的用户也可将其关闭。
　　
　　37.Plug and Play
　　
　　PlugPlay（即插即用服务）的进程名是services.exe，WinXP Home/PRO
默认安装的启动类型是自动，它不依赖于任何服务。这个服务想必大家
相当熟悉，从Win98 开始这个技术就始终是微软操作系统的核心部分。
即插即用是Intel 开发的一组规范，它赋予了计算机自动检测和配置设
备并安装相应驱动程序的能力，当有设备被更改时能自动通知当前设备
的状况并使用该设备变更后的程序。PlugPlay是WinXP 的几个基础服务
之一，在服务管理工具中无法调整它，而且如果本服务一旦失败就只有
重新启动机器了。
　　
　　38.Portable Media Serial Number Service
　　
　　WmdmPmSp（便携的媒体序号服务）的进程名是svchost.exe ，WinXP
Home/PRO默认安装的启动类型是自动，它没有任何服务依存关系。这个
服务其实非常简单，它是微软用来防盗版的工具之一，但目前基本上只
是针对音乐。微软用它获得你系统中媒体播放器的序列号，做什么用呢？
其实它是在试图控制你将盗版的音乐文件拷贝到类似MP3 、MD等便携播
放器上。尽管微软声称关掉这个服务会影响将正版音乐下载到便携播放
器，但笔者还是关掉这个服务，一是影响并不大，至少手上的正版CD拷
贝到MP3 是没有问题的，二是微软也刺探得太多了吧，我们用什么还都
得报告它？
　　
　　39.Print Spooler
　　
　　Spooler （打印后台处理服务）的进程名是spoolsv.exe ，WinXP
Home/PRO默认安装的启动类型是自动，依赖于Remote Procedure Call 。
Spooler 是为了提高文件打印效率，将多个请求打印的文档统一进行保
存和管理，先将要打印的文件拷贝到内存，待打印机空闲后，再将数据
送往打印机处理。这样处理速度更快些。建议将其设置为手动，有打印
任务时再打开。如果没有打印机自然是禁用了。
　　
　　40.Protected Storage
　　
　　ProtectedStorage（受保护存放区服务）的进程名是lsass.exe ，
WinXP Home/PRO默认安装的启动类型是自动，依赖于Remote Procedure
Call。这一服务提供对敏感性数据保护的功能，比如密码、证书等，但
通常它只针对Windows 自身的敏感数据进行保护，可用来储存你计算机
上的密码。通常上网的用户都比较喜欢开这个服务，毕竟像自动填表这
些功能给人带来不少方便。但如果你的电脑是多用户环境，或是使用笔
记本电脑，经常移动办公，那么这个服务就要谨慎使用了。有不少密码
破解软件就是针对这个ProtectedStorage的，比较有名的有Protected
Storage PassView，用它可以轻易得到被储存在ProtectedStorage中你
曾经上过的论坛的帐号密码、拨号密码等。因此，对于这个服务要视使
用环境而定，在不安全的环境下还是关闭较好。
　　
　　41.QoS RSVP
　　
　　RSVP（QoS 许可控制服务）的进程名是rsvp.exe，WinXP Home/PRO
默认安装的启动类型是手动，依赖于AFD Networking Support Environment、
Remote Procedure Call 、TCP/IP Protocol Driver服务。这就是微软
那个饱受争议的占用了20% 网络带宽的服务了。对大多数朋友来说，关
掉它是简单正确的选择。但是要理解这个服务究竟是干什么的就不这么
简单了。QoS 这个词的意思是服务质量（Quality of Service），而RSVP
这个词的意思是资源预留协议（ReSerVation Protocol）。
　　
　　随着IP技术和网络的发展，世界各国的运营商基于IP网络已开发出
多种多样的新业务。由于目前基于存储转发机制的Internet（IPv4标准）
只为用户提供了“尽力而为（best-effort ）”的服务，不能保证数据
包传输的实时性、完整性以及到达的顺序性，更无法保障实时多媒体业
务服务质量（QoS ），所以主要应用在文件传送和电子邮件服务。而随
着Internet的飞速发展，人们对于在Internet上传输多媒体信息的需求
越来越大，这就要求网络应能根据用户的要求分配和调度资源，传统的
“尽力而为”转发机制已不能满足用户的要求。为解决这一问题，美国
于1996年底开始了以提高网络服务质量研究为核心的InternetⅡ以及NGI
（下一代Internet）等研究项目。相关的权威组织IETF（Internet Engineering
Task Force）也成立了专门的工作小组来研究多媒体服务质量的定义和
相关标准。IETF在IP网络的QoS 方面提出了多种服务模型和机制，其中
的综合业务模型（Int-Serv）引入了一个重要的网络控制协议RSVP（资
源预留协议），这一模型的思想是“为了给特定的客户包流提供特殊的
QoS ，要求路由器必须能够预留资源。反过来要求路由器中有特定流的
状态信息”。所以可以看出，这一模型能提供绝对有保证的QoS ，是以
预留下的资源作为代价的，对资源的要求实际上是更高的。因此，对于
WinXP 中的QoS RSVP服务保留了20% 的网络带宽也就不足为奇了，由于
对于个人应用几乎毫无意义，禁用它是不二选择。
　　
　　42.Remote Access Auto Connection Manager
　　
　　RasAuto （远程访问自动联机管理员服务）的进程名是svchost.exe
，WinXP Home/PRO 默认安装的启动类型是手动，依赖于Remote Access
Connection Manager、Telephony 服务。RasAuto 主要针对宽带使用，
当有网络连接请求时它会自动打开网络连接，我们在使用WinXP 时会经
常弹出一个自动拨号窗口，就是它在工作。如果你的机器提供网络共享
服务就开着它，避免网络断线后手动连接，否则可将其关闭。
　　
　　43.Remote Access Connection Manager
　　
　　RasMan（远程访问联机管理员服务）的进程名是svchost.exe ，WinXP
Home/PRO默认安装的启动类型是手动，依赖于Telephony 服务，其简单
描述是“创建网络连接”，这个解释简单明了，所以根据自己系统的情
况来使用这个服务即可。
　　
　　44.Remote Desktop Help Session Manager
　　
　　RDSessMgr （远程桌面协助服务）的进程名是sessmgr.exe ，WinXP
Home/PRO默认安装的启动类型是手动，依赖于Remote Procedure Call
服务。这是与NetMeeting Remote Desktop Sharing 很类似的一个服务。
鼠标点击“开始→所有程序→附件→通讯→远程桌面连接”可开远程桌
面功能，而RDSessMgr 就是为它提供支持。微软的原意是通过它做远程
帮助，其代价是牺牲安全与4MB 内存的占用，不需要时一定得关闭。
　　
　　45.Remote Procedure Call
　　
　　RpcSs （远程过程调用服务）的进程名是svchost.exe ，WinXP Home/PRO
默认安装的启动类型是自动。太多服务依赖于这一服务了，最近“冲击
波”横行，恐怕大家都对RPC 有此印象了吧，它原名远程进程调用，是
早期IBM 、SUN 等公司定义的功能级通信协议，随后被微软采纳，但作
了改动，称之为MRPC。总的来说RPC 是一种消息传递功能，上一期说过
Windows 系统是个典型的消息（事件）处理型系统，所以RPC 对于系统
的重要性不言而喻。由于Windows 内部结构已相当复杂了，很难搞清楚
哪些模块在用RPC 哪些不用，事实上你只要关掉它，系统就可能崩溃。
所以这个服务也是不可禁用的。
　　
　　46.Remote Procedure Call（RPC ）Locator
　　
　　RpcLocator（远程过程调用定位服务）的进程名是locator.exe ，
WinXP Home/PRO默认安装的启动类型是手动，依赖于Workstation 服务。
这一服务和上面的RPC 服务并无太多关系，是用来给RPC 的命名服务的。
其用途简单解释就是，通过它对RPC 的命名管理，调用者才能找到被调
用者的位置。但由于微软系统注册表的存在，使得这些命名服务在本机
上的调用上毫无意义。因此对于一般用户完全可以关闭。
　　
　　47.Remote Registry
　　
　　RemoteRegistry（远程注册表服务）的进程名是svchost.exe ，在
WinXP Home下不可用，在WinXP PRO 下默认安装的启动类型是自动，依
赖于Remote Procedure Call 服务。此服务是向其他连机的计算机开放
你的注册表，微软总是让这种明显是安全隐患的服务自动启动实在让人
费解。不过如果你有这种特殊需求的话可以尝试一下。打开注册表编辑
器Regedit ，在文件菜单栏里找到“连接网络注册表”这一项，可让你
打开甚至编辑其他机器上的注册表。当然那些机器上的RemoteRegistry
也必须是打开的，而且对你计算机的一些相应权限同样必须开放。
　　
　　48.Removable Storage
　　
　　NtmsSvc （卸除式存放装置服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是手动，依赖于Remote Procedure Call
服务。此服务的名称太容易让人误解，实际上它只是对特殊可移动存储
器的管理，比如ZIP 软驱和磁带驱动器，不要担心你的CD和DVD 等设备。
从事图像设计的用户经常会用ZIP 同苹果机交换文件，一般人恐怕很少
使用这些特殊设备，因此可将其关闭。
　　
　　49.Routing and Remote Access
　　
　　RemoteAccess（路由和远程访问服务）的进程名是svchost.exe ，
在WinXP Home/PRO下默认安装的启动类型分别为禁用和手动，依赖于NetBIOSGroup、
Remote Procedure Call 服务。Routing and Remote Access 为软路由，
即在一台连接多个网络的计算机上通过运行路由软件，以实现网络间路
由的一种方法，相对于硬件路由来说很是方便经济。WinXP 也把这个功
能集成到系统里来了，不过可能比较少人知道是在哪里配置路由，主要
原因就是这个服务默认为关闭。首先启动此服务，网络连接文件夹里会
多出一个“传入的连接”，值得注意的是，在VPN 连接（传入的连接）
的属性“Internet协议（TCP/IP）”里一般要指定TCP/IP地址（一般来
说都必须是合法地址）才行。感兴趣的朋友可以自己继续研究，而大多
数不需要的朋友直接禁用它吧。
　　
　　50.Secondary Logon
　　
　　Seclogon（二次登录服务）的进程名是svchost.exe ，在WinXP Home/PRO
下默认安装的启动类型是自动，没有任何服务依存关系。这个服务对应
于用户临时权限分配功能，在多用户使用的计算机上，某些用户因为是
非管理员权限，导致某些程序无法执行。为了让没有管理员权限的已经
登录用户可以使用这些程序，WinXP 设计了这个功能来分配临时的管理
员权限。打开这个服务后，右键点击鼠标选择“运行方式”将会出现对
话框，让你选择执行这个程序的用户身份。对多用户环境下的管理员，
这确实是方便的功能，不过依然是以安全作为代价的，对单人环境的笔
记本电脑用户来说尤其无用而且危险！所以要谨慎使用。
　　
　　51.Security Accounts Manager
　　
　　SamSs （安全账户管理服务）的进程名是lsass.exe ，在WinXP Home/PRO
下默认安装的启动类型是自动，依赖于Remote Procedure Call 服务。
熟悉WinXP 启动过程的用户都知道SAM 文件的重要性，SamSs 是负责SAM
数据库的控制和维护的服务。SAM 数据库位于注册表“HKLM\SAM\SAM”
下，可使用Regedit32.exe 打开注册表编辑器，并设置适当权限查看SAM
中的内容。SAM 数据库保存在磁盘上的“系统盘\windows\system32\config”
目录下的sam 文件中，在这个目录下还包括一个security文件，是安全
数据库的内容，两者有不少关系。SAM 数据库中包含了系统中所有组、
账户的信息。而WinXP 启动时就需要在SAM 文件中读取诸如用户名、用
户全名（full name ）、所属组、描述、密码、注释、是否可以更改密
码、密码设置时间等信息。这也是系统中不可关闭的几个基础服务之一，
如果服务启动失败，系统就只有重启了。
　　
　　52.Server
　　
　　Lanmanserver（服务器服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是自动。Server服务对应的是网络上的
文件/ 打印机器共享，以及网络的路径映射共享功能。没有这些方面的
需要你就可以关闭它。
　　
　　53.Shell Hardware Detection
　　
　　ShellHWDetection（外壳硬件探测服务）的进程名是svchost.exe ，
在WinXP Home/PRO下默认安装的启动类型是自动，依赖于Remote Procedure
Call服务。对这个服务微软是语焉不详，也没有给出详细的硬件描述或
列表，不过根据网络上不少人的测试，这个服务主要还是和具有自动运
行（播放）功能的硬件有关系，例如数字相机、CD-ROM等。通过这个服
务，当这些硬件接上系统或放入相应媒介时，WinXP 能自动探测到并做
出对应动作。对于外设越来越多的现在，没有把握还是不要轻易关闭它。
　　
　　54.Smart Card
　　
　　SCardSvr（智能卡服务）的进程名是SCardSvr.exe，在WinXP Home/PRO
下默认安装的启动类型是手动，依赖于Plug and Play 服务。Smart Card
（智能卡）其外型和一般信用卡大小一样，但多了一块指甲大小的IC芯
片后，使原本普通的一张卡片变成拥有资料控管与逻辑运算的能力。智
能卡包括金融卡、GSM 卡等，与我们一般常用的电话IC卡相比，内部的
IC线路设计不同。由于卡内本身即已包含了CPU 功能、ROM 、EEPROM、
RAM 等元件，智能卡就像一台可随身携带的超微型电脑，可用来储存及
处理重要资料。在安全性方面，智能卡具有自我毁灭系统，想窃取卡上
的资料非常困难。如果你拥有智能卡及相关的读卡设备就开启这个服务，
否则就禁用吧。
　　
　　55.Smart Card Helper
　　
　　SCardDrv（智能卡协助服务）的进程名是SCardSvr.exe，在WinXP
Home/PRO下默认安装的启动类型是手动，它没有任何服务依存关系。只
要没有相关的设备就禁用好了。
　　
　　56.SSDP Discovery Service
　　
　　SSDPSRV （简易服务发现协议之发现服务）的进程名是svchost.exe
，在WinXP Home/PRO 下默认安装的启动类型是手动。SSDPSRV 主要用于
局域网上UPnP（Universal Plug and Play ，统一即插即用）设备的搜
索。UPnP并不同于我们平常熟悉的PnP ，UPnP技术PnP 对进行了扩展，
简化了家庭或企业中智能设备的联网过程。UPnP规范基于TCP/IP协议和
针对设备彼此间通信而制订的其他Internet协议，这就是它之所以被称
作“通用”的原因所在- ——UPnP技术不依赖于特定的设备驱动程序，
而是使用标准协议。与即插即用相比，这种技术的意义在于，能够轻易
地使家庭等非专业用户享受到智能化技术带来的更舒适完美的生活，例
如，正是UPnP才使得能在网上冲浪的电冰箱成为可能。UPnP是个较新的
协议，也不是非常成熟，对应设备在市场上非常罕见，市场上流行的Linksys
BEFSR41W无线路由器是这方面的例子。对于大多数现在还无缘使用此类
设备的朋友，关闭这个服务吧。
　　
　　57.System Event Notification
　　
　　SENS（系统事件通知服务）的进程名是svchost.exe ，在WinXP Home/PRO
下默认安装的启动类型是自动，依赖于COM+ Event System 服务。它的
简单描述是“跟踪系统事件，如登录Windows 、网络以及电源事件等。
将这些事件通知给COM+事件系统‘订阅者（subscriber）’”。这已将
服务的内容解释得很清楚了。尽管有人认为这个服务无关紧要，事实上
系统是否需要它取决于你在系统里安装了些什么，而许多应用程序的运
行是要通过SENS来实现的，所以建议还是让它自动打开为好。
　　
　　58.System Restore Service
　　
　　Srservice （系统还原服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是自动，依赖于Remote Procedure Call
服务。这是大家都非常熟悉的系统还原功能了，如果不使用的话，先在
“我的电脑”属性中的系统还原选项卡关闭，然后在这里将服务禁用即
可。
　　
　　59.Task Scheduler
　　
　　Schedule（计划任务服务）的进程名是svchost.exe ，在WinXP Home/PRO
下默认安装的启动类型是自动，依赖于Remote Procedure Call 服务。
此服务支持WinXP 的计划任务，它能使程序在预定的时间自动运行，如
定期进行磁盘碎片整理、病毒扫描、更新等，可根据自己的需要选择是
否开启。
　　
　　60.TCP/IP NetBIOS Helper
　　
　　LmHosts （TCP/IP NetBIOS助手服务）的进程名是svchost.exe ，
在WinXP Home/PRO下默认安装的启动类型是自动，依赖于AFD 网络支持
环境、NetBios Over TCP/IP 服务。该服务能在TCP/IP上提供NetBIOS
支持。大家应该对TCP/IP比较熟悉了，相对来说NetBIOS 网络协议对读
者来说可能比较陌生，它是由IBM 开发的一个很古老的协议，当年在局
域网上占据主导。由于NetBIOS 不具备路由功能，也就是说它的数据包
无法跨网段传输，因此在广域网、城域网大行其道的今天，它只能退居
配角。其实在Win95/98的网络协议中仍然保留着NetBIOS ，不过它已经
改名叫NetBEUI （NetBIOS 扩展用户接口），是NetBIOS 的Microsoft
改进版。由于NetBIOS 是完全基于局域网的，因此作为访问Internet资
源的一般用户可以禁用它，除非你的系统处在小局域网中，而且使用的
也正是NetBIOS 协议。
　　
　　61.Telephony
　　
　　TapiSrv （电话服务）的进程名是svchost.exe ，在WinXP Home/PRO
下默认安装的启动类型是手动，依赖于Plug and Play 、Remote Procedure
Call服务。简单地说这个服务能为计算机提供电话拨号的能力。如果你
使用了任何形式的拨号，不管是用拨号调制解调器还是DSL/Cable 连接
到Internet，还是通过电话线连接其他计算机，或是拨打电脑IP电话、
发传真等，你就有必要保留这个服务，反之就可关掉它。
　　
　　62.Telnet
　　
　　TapiSrv （远程登录服务）的进程名是tlntsvr.exe ，在WinXP Home
下不可用，在WinXP PRO 下默认安装的启动类型是手动，依赖于NT LM
Security Support Provider 、Remote Procedure Call 、TCP/IP Protocol
Driver服务。这是一个容易遭到误会的服务名称，一般人会误以为这是
以前DOS 下那个Telnet，关了之后就无法使用BBS 。其实它与BBS 无关，
完全是微软自己的Telnet系统，尽管两者的原理相差不大，即让用户以
模拟终端的方式，登录到Internet的某台主机上，一旦连接成功，这些
个人计算机就好像是远程计算机的一个终端，可以像使用自己的计算机
一样输入命令，运行远程计算机中的程序。基于安全性理由，如果没有
特别需求，这个服务一定要关掉禁用。
　　
　　63.Terminal Services
　　
　　TermService （终端机服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是手动，依赖于Remote Procedure Call
服务。它的简单描述是“允许多位用户连接并控制一台机器，并且在远
程计算机上显示桌面和应用程序。这是远程桌面（包括管理员的远程桌
面）、快速用户转换、远程协助和终端服务器的基础结构”。这段描述
已将该服务的用途解释得很清楚了，需要强调的是，这些方便都是以安
全为代价的，如果平时不用就一定要关掉。
　　
　　64.Themes
　　
　　Themes（主题服务）的进程名是svchost.exe ，在WinXP Home/PRO
下默认安装的启动类型是自动，没有服务依存关系。很多人都喜欢使用
XP的布景主题，不过如果用户没有使用就关闭好了。
　　
　　65.Uninterruptible Power Supply
　　
　　UPS （UPS 电源管理服务）的进程名是UPS.exe ，在WinXP Home/PRO
下默认安装的启动类型是手动，没有服务依存关系。它的简单描述是
“管理连接到计算机的不间断电源（UPS ）”，同样很好理解，UPS
（不间断电源供应）一般用户极少用到，除非你的电源供应器具备此功
能，不然可关闭。
　　
　　66.Universal Plug and Play Device Host
　　
　　UPNPhost（统一即插即用驱动主机服务）的进程名是svchost.exe ，
在WinXP Home/PRO下默认安装的启动类型是手动，依赖于SSDP Discovery
Service 服务。它同SSDP Discovery Service是继承关系，后者搜索发
现UPnP设备，而UPNPhost为UPnP设备提供驱动支持。当然通常情况下关
闭即可。
　　
　　67.Upload Manager
　　
　　Uploadmgr （上传管理服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是自动，依赖于Remote Procedure Call
服务。这个服务的具体效果不明，关闭它后实际使用中的网络上传下载
并没有受到什么影响，也许它跟微软的服务器和相关服务有关？请根据
需要关闭。
　　
　　68.Volume Shadow Copy
　　
　　VSS （上传管理服务）的进程名是vssvc.exe ，在WinXP Home/PRO
下默认安装的启动类型是手动，依赖于Remote Procedure Call 服务。
它的简单描述是“管理并执行用于备份和其他目的的卷影复制”，依然
是和WinXP 备份有关的服务，它默认就是关闭的，也并没有在笔者的机
器上对备份造成影响，其具体应用依是未解之谜。
　　
　　69.WebClient
　　
　　WebClient （Web 客户端服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是自动，依赖于WebDav Client Redirector
系统组件。使用WebDav可将档案或数据夹上传到某个Web 服务，这个服
务对于未来.NET意义更大。基于安全性的理由，现在你可以尝试关闭它。
　　
　　70.Windows Audio
　　
　　AudioSrv（Windows 音频服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是自动，依赖于Plug and Play 、Remote
Procedure Call服务。理解这个服务再简单不过了，如果你的机器没有
声卡可以关闭它。
　　
　　71.Windows Image Acquisition（WIA ）
　　
　　Stisvc（Windows 影像取得服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是手动，依赖于Remote Procedure Call
服务。该服务为控制面板中的“扫描仪和照相机”功能提供支持。通过
这个功能，用户在安装好设备驱动后无需要再安装相关管理软件，就能
轻易操作扫描仪和数码相机来获得图像。不需要的用户可关闭它。
　　
　　72.Windows Installer
　　
　　MSIServer （Windows 安装服务）的进程名是msiexec.exe ，在WinXP
Home/PRO下默认安装的启动类型是手动，依赖于Remote Procedure Call
服务。这一服务同Application Management服务基本是一样的。从微软
的解释看，Windows Installer 服务应该是.MSI文件的最直接执行者。
同样让人奇怪的是，这个服务默认就是关闭的，可.MSI文件的安装、修
复或删除却很正常，和备份工具一样，究竟这个服务在系统中扮演什么
角色，如何工作，只有微软的工程师才知道了。
　　
　　73.Windows Time
　　
　　W32Time （Windows 时间服务）的进程名是svchost.exe ，在WinXP
Home/PRO下默认安装的启动类型是自动，它没有服务依存关系。这一服
务对应WinXP 的Internet对时服务，如不需要关闭即可。
　　
　　74.Windows Management Instrumentation （WMI ）
　　
　　Winmgmt （Windows 管理规范服务）的进程名是svchost.exe ，在
WinXP Home/PRO下默认安装的启动类型是自动，依赖于Event Log 、Remote
Procedure Call服务。WMI 是Windows 中的基础管理结构，它通过一组
常用接口来控制和监视系统（如对系统属性的查看与更改、设置用户权
限等）。WMI 为访问大量的Windows 管理数据提供了一个统一的机制。
WMI 通过脚本、C++ 程序接口、.NET类（系统管理）和命令行工具（WMIC）
提供了对信息的访问。WMI 的功能还包括事件、远程、查询、查看、计
划和实施用户扩展及更多内容。总而言之，虽然在服务管理工具中可以
关闭，但最好别动它，否则会出现许多莫名的问题。
　　
　　75.Windows Management Instrumentation Driver Extensions
　　
　　Wmi （Windows 管理规范驱动延伸服务）的进程名是svchost.exe ，
在WinXP Home下不可用，在WinXP PRO 下默认安装的启动类型是手动，
没有服务依存关系。微软的白皮书介绍，该服务是作为WMI 服务在驱动
程序方面的一个延伸，简单说主要就是为让系统方便地获知计算机中OEMs
（original equipment manufacturers）以及IHVs（independent hardware
vendors ）等与硬件厂商相关的硬件信息。不过让人奇怪的是，为什么
它在WinXP Home下不可用呢？
　　
　　76.Wireless Zero Configuration
　　
　　WZCSVC（无线配置服务）的进程名是svchost.exe ，在WinXP Home/PRO
下默认安装的启动类型是自动，依赖于NDIS Usermode I/O Protocol组
件、Remote Procedure Call 服务。它的简单描述是“为您的802.11适
配器提供自动配置”。802.11是大家都比较熟悉的无线局域网协议标准
了，其已经在市场上占据了优势。当然，802.11协议、蓝牙标准和HomeRF
工业标准是无线局域网所有标准中最主要的竞争对手，它们也各有优劣。
然而802.11b 无线局域网技术已经在美国得到了广泛的应用，所以微软
的WinXP 内置服务支持也就不足为奇了。如果你没有使用无线网络适配
卡装置，那么可以关闭服务。
　　
　　77.WMI Performance Adapter
　　
　　WmiApSrv（WMI 性能适配器服务）的进程名是wmiapsrv.exe，在WinXP
Home/PRO下默认安装的启动类型是手动，依赖于Remote Procedure Call
服务。此服务提供了从WMI HiPerf提供者获得的性能库信息，需要以手
动方式进行配置，并不会在缺省状态下实现运行。该服务太过专业，无
法解释得浅显，对于普通的使用者最好保持其默认状态。
　　
　　78.Workstation
　　
　　Lanmanworkstation （工作站服务）的进程名是svchost.exe ，在
WinXP Home/PRO下默认安装的启动类型是自动，它不依赖于其他服务，
但有不少服务都依赖它。该服务同样为基础服务，请保持其默认状态不
要关闭。

--
    I came, I saw, I conquered ! — Caesar


※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.246.*]