電腦系統進程大解剖

一、關係到系統安全的服務 

在病毒橫行的今天，系統安全可能是最受關注的問題了，除了病毒、外來惡意程式以外，微軟預設開啟的系統服務也存在一些值得反思的問題。 

1、Portable Media Serial Number Service 
描述：Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device. 
進程名：svchost.exe 
這項服務表面上看只有一個作用，向微軟報告你有的Windows Media Player播放器的序號，但我們實在不知道它是否還報告了其他東西，所以我堅決設為禁用，這並不影響使用WMP收看網路電影、電視。 

2、Remote Registry 
描述：使遠端使用者能修改此電腦上的註冊表設定。如果此服務被終止，只有此電腦上的使用者才能修改註冊表。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
光看描述就知道這絕對是一項垃圾服務，實在不明白微軟為什麼會預設將其設為自動，我是堅決將其改為禁用，因為從不使用遠程協助功能。 

3、Security Accounts Manager 
描述：儲存本機使用者帳戶的安全資訊。 
進程名：lsass.exe 
儲存是為了留給誰的？不知道。那我就不儲存了，禁用。 

4、Shell Hardware Detection 
描述：為自動播放硬體事件提供通知。 
進程名：svchost.exe 
當放入一張光碟片或隨身碟後，機器就自動出現光碟片裡的引導程式畫面或詢問用什麼程式開啟隨身碟裡的檔案，這就是該項服務辛勤工作的成果。是否關閉看個人的使用習慣，從安全的角度出發，我還是習慣將其禁用，這樣就不怕光碟片自啟動程式夾帶惡意程式，也不會佔用大量系統資源運行一些不必要的程式。 

二、關係到系統穩定、便捷的服務 

現今，各種針對WIDNOWS XP系統的最佳化方法數不勝數，在有GHOST保駕下，我們完全可以積極嘗試。如果不想過多的進行那種高風險實驗，又讓自己的作業系統方便易用、穩定且相容性良好，那就千萬不要禁用下面這些服務，這是我進行N次高風險實驗後總結的一點心得。 

5、COM+ System Application 
描述：管理 基於COM+ 組件的配置和跟蹤。如果服務停止，大多數基於 COM+ 組件將不能正常工作。如果本服務被禁用，任何明確依賴它的服務都將不能啟動。 
進程名：dllhost.exe 
可以設為手動，若禁用的話，WPS OFFICE 2005及其他一些需要調用COM+組件的軟體就無法啟動。 

6、DCOM Server Process Launcher 
描述：為 DCOM 服務提供載入功能。 
進程名：svchost.exe 
不知道微軟是怎麼想的，關於這項重要的服務的描述居然這麼短，而那些莫名其妙的服務的描述卻又那麼長而難懂。我將其設為自動，原因是設為手動的話，任何一個程式都不會在需要的時候自動開啟該服務，而WPS OFFICE 2005和磁碟管理、磁碟整理等程式都要用上它。將其禁用的話，重啟系統後，系統欄那個反映網路連通狀況的小電腦表徵圖就會消失了，哪怕你拔掉網線它也不會冒出來。這項服務似乎與任何一項網路應用均無實際關聯，禁用後仍可正常使用區域網路或使用ADSL撥號、GPRS上網。 

7、Event Log 
描述：啟用在事件檢視器查看基於 Windows 的程式和組件頒發的事件記錄訊息。無法終止此服務。 
進程名：services.exe 
與DCOM Server Process Launcher服務一樣，確是無法終止，但可以禁用。不過禁用了至少會有一個麻煩，系統開機時會讓你至少多等一分鐘，所以還是老老實實設為自動的好。 

8、kavsvc 
描述：Provides anti-virus functionality of Personal, installed on your computer. 
進程名：kavsvc.exe 
這個就不必說了吧，大名鼎鼎的卡巴斯基，後台監控程式，設為自動。 

9、Logical Disk Manager 
描述：監測和監視新硬碟並向邏輯磁碟管理器管理服務發送卷的資訊以便配置。如果此服務被終止，動態磁碟狀態和配置資訊會過時。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
設為手動即可。遇上隨身碟之類的東東插上機器卻無反應需要用到磁碟管理時，它是會自動啟用的。 

10、Logical Disk Manager Administrative Service 
描述：配置硬碟和卷。此服務只為配置處理運行，然後終止。 
進程名：dmadmin.exe 
只在硬碟分區調整後的第一次系統重啟時會用到，其他時候基本在放假，設為手動就行了。 

11、Net Logon 
描述：支援網路上電腦 pass-through 帳戶登入身分識別驗證事件。 
進程名：lsass.exe 
你會用到這個莫名其妙的帳戶嗎？估計很少有人會，但若設為禁用，在某些機器上會出現系統無法登入的現象，設為手動即可。 

12、NT LM Security Support Provider 
描述：為使用傳輸協議而不是具名管道的遠端程序呼叫(RPC)程式提供安全機制。 
進程名：lsass.exe 
不清楚具體作用是什麼，但禁用的話極有可能導致系統無法登入，設為手動即可。 
13、Plug and Play 
描述：使電腦在極少或沒有使用者輸入的情況下能識別並適應硬體的更改。終止或禁用此服務會造成系統不穩定。 
進程名：services.exe 
不管你是否相信微軟，但他的這個描述你一定得相信，否則使用隨身碟、印表機時麻煩一定不少，此項服務應該設為自動。 

14、Remote Procedure Call (RPC) 
描述：提供終結點對應程式 (endpoint mapper) 以及其它 RPC 服務。 
進程名：svchost 
還記得衝擊波嗎？那東東就是拿它下手。不過，要是你禁用或將其設為了手動以後還能正常進入系統，那真的叫奇蹟。 

15、Windows Audio 
描述：管理基於 Windows 的程式的音訊裝置。如果此服務被終止，音訊裝置及其音效將不能正常工作。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
在WINDOWS 2003中，這項服務被預設禁用，想聽歌得手動啟用。估計現今不會有誰的機器沒有音效卡吧，那就設為自動吧。 

16、Windows Management Instrumentation 
描述：提供共同的介面和對象模式以便訪問有關作業系統、裝置、應用程式和服務的管理資訊。如果此服務被終止，多數基於 Windows 的軟體將無法正常運行。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
搞不清這東東存在有什麼意義，經驗告訴我，禁用它，系統穩定性反而會有所好轉。 
三、一些安裝大型軟體必須用到的服務 
這些服務平時基本不用，但在安裝OFFICE、一些大型遊戲等軟體時卻必須開啟，否則肯定會反覆報錯，無法安裝。 

17、Application Management 
描述：提供軟體安裝服務，諸如指派，發行以及刪除。 
我的進程中通常有5個svchost.exe，但不會是它。一般在安裝一些程式時會被開啟，比如OFFICE 2003，通常設為手動。一般的安裝程式不會用到這項服務，若有程式安裝時提示某項服務未啟用，再手動啟用下就OK。 

18、ASP.NET State Service 
描述：Provides support for out-of-process session states for ASP.NET. If this service is stopped, out-of-process requests will not be processed. If this service is disabled, any services that explicitly depend on it will fail to start. 
若有安裝.NET開發環境，就會有這項服務，我裝了Framework，目的是運行nlite精減系統安裝程式。通常設為禁用，用的時候臨時啟用下便是。我想，不會有人有事沒事製作系統精簡光碟片吧。 

19、Windows Installer 
描述：添加、修改和刪除以 Windows 安裝程式(*.msi)的軟體包提供的應用程式。如果禁用了此服務，任何完全依賴它的服務不會被啟動。 
進程名：msiexec.exe 
只在安裝OFFICE、大型遊戲、微軟補丁等東東時會用上，設為手動即可，要用的時候它會自個啟動。 

四、一些非必需服務 

下列服務並不是系統正常工作所必須啟動的，但卻與我們一些日常應用息息相關，可以有選擇的啟動或禁用。 

20、Fast User Switching Compatibility 
描述：為在多使用者下需要協助的應用程式提供管理。 
進程名：svchost.exe 
若系統只有一個使用者名稱，大膽設為禁用吧。就算有多個使用者名稱，設為手動就行。事實上，我用兩個使用者名稱的時候，設為禁用也可以進行切換。 

21、Human Interface Device Access 
描述：啟用對智能介面裝置 (HID)的通用輸入訪問，它啟用並儲存鍵盤、遠端控制和其它多媒體裝置上的預先定義的熱按鈕。如果此服務被終止，由此服務控制的熱按鈕將不再運行。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
若在用USB滑鼠或手寫板一類的東東，禁用這項服務會帶來災難。若用PS/2滑鼠，大膽設為禁用吧。不過有些主板似乎不受影響，禁用該服務後照樣能正常使用USB滑鼠。 

22、Network Connections 
描述：管理“網路和撥號連線”檔案夾中對象，在其中您可以查看區域網路和遠端連線。 
進程名：svchost.exe 
區域網路使用者可以設為手動，開機時會自動啟動，若禁用，將無法使用近端分享。非區域網路使用者設為禁用。禁用後，進程中的svchost.exe會由5個減至4個。 

23、Network Location Awareness (NLA) 
描述：收集並儲存網路設定和位置資訊，並在資訊改動時通知應用程式。 
進程名：svchost.exe 
與22、Network Connections服務配套使用，設定原則相同。若禁用，進程中的svchost.exe也會減少1個。若與Network Connections一同禁用，進程中的svchost.exe就會減少到3個。 

24、Performance Logs and Alerts 
描述：收集本地或遠端電腦基於預先配置的議程參數的效能資料，然後將此資料寫入日誌或觸發警報。如果此服務被終止，將不會收集效能資訊。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：smlogsvc.exe 
系統預讀，你有啟用嗎？我覺得啟用前後對啟動速度並無影響，所以“禁用”。如果你有用到啟動預讀功能，那就設為自動吧。 

25、Print Spooler 
描述：將檔案載入到記憶體中以便遲後列印。 
進程名：spoolsv.exe 
要使用印表機或預覽列印功能的機器，必須將此項服務設為自動。沒有這項服務需要的使用者，可以設為禁用。注意，絕大部分區域網路安裝的OA、ERP系統會需要這項服務讀寫電子版公文。
26、Protected Storage 
描述：提供對敏感性資料(如私密金鑰)的保護性儲存，以便防止未授權的服務，過程或使用者對其的非法訪問。 
進程名：lsass.exe 
登入網站時，單擊使用者名稱那一欄，會有一個以往登入時輸入的使用者名稱，只要選中，相應的密碼就會自動填上，支援這種偷懶功能的就是這項服務。若想確保系統安全或個人隱私，禁用是個好辦法，我就是這麼乾的。 

27、Remote Access Connection Manager 
描述：建立網路連接。 
進程名：svchost.exe 
若是區域網路，完全可以設為禁用。若是ADSL，我是GPRS上網，就必須設為手動或自動，否則沒法上網。ADSL撥號的使用者也必須設為手動或自動，否則一樣不能上網。 

28、Remote Procedure Call (RPC) Locator 
描述：管理 RPC 名稱服務資料庫。 
進程名：locator.exe 
設為手動，有需要時會自動啟用，但我忘了是在什麼時候啟用過。 

29、Routing and Remote Access 
描述：在區域網路以及廣域網路環境中為企業提供路由服務。 
進程名：svchost.exe 
一般使用者根本用不上，禁用。要用它的人根本就不會再問別人它是幹什麼的了。 

30、Secondary Logon 
描述：啟用替換憑據下的啟用進程。如果此服務被終止，此類型登入訪問將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
不知微軟想幹什麼，一個簡單的東西硬要說得這麼複雜，這項服務只有一個功能，那就是支援在不同使用者間進行切換。機器上只有一個使用者名稱的完全可以設為禁用，就像我這樣。 

31、Server 
描述：支援此電腦通過網路的檔案、列印、和具名管道共用。如果服務停止，這些功能不可用。如果服務被禁用，任何直接依賴於此服務的服務將無法啟動。 
進程名：svchost.exe 
這是微軟為數不多的幾個清楚說明了作用的服務，區域網路內需要與別的機器共用文檔、共用自己的印表機或使用別人共用出來的印表機，就得啟用這項服務，最好是設為自動。家庭單機使用者完全用不上，禁用吧。 

32、SSDP Discovery Service 
描述：啟動您家用網路上的 UPnP 裝置的發現。 
進程名：svchost.exe 
聽人說，很少有網路裝置支援UPnP功能，但實際使用中發現，若禁用該服務，無法與一些雷射印表機正常聯機，所以區域網路使用者還是設為手動的好。單機就沒關係了，放心禁用便是。 

33、Task Scheduler 
描述：使使用者能在此電腦上配置和制定自動任務的議程。如果此服務被終止，這些任務將無法在議程時間裡運行。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
有配置自動啟動並執行任務嗎？反正我是沒有，禁用。 

34、Telephony 
描述：提供 TAPI 的支援，以便程式控制本機電腦，伺服器以及 LAN 上的電話裝置和基於 IP 的語音連線。 
進程名：svchost.exe 
簡單說，這項服務就是支援數據機。若在使用小貓上網，包括內、外置數據機、GPRS或CDMA上網卡、通過資料線串連手機等方式上網，將其設為手動即可，開機時會自動啟用。使用區域網路或ADSL的使用者，放心禁用便是。禁用後，進程中會減少1個svchost.exe。
35、Themes 
描述：為使用者提供使用主旨管理員的經驗。 
進程名：svchost.exe 
若堅持使用類似WINDOWS 2000的介面，那就禁用吧，可以節省不少的系統資源。我喜歡蘋果介面，所以儘管機器配置很老，但仍將其設為了自動。 

36、Universal Plug and Play Device Host 
描述：為主持通用隨插即用裝置提供支援。 
進程名：svchost.exe 
不知道它具體負責哪項工作，但禁用了某些隨身碟用起來就不正常，得手動分配盤符，設為手動。 

37、User Profile Hive Cleanup 
描述：Cleans up handles to allow unloading of user profile hive.? This can help speed up logging off, reconciliation of roaming profiles and prevent exceeding the registry size limit. 
進程名：uphclean.exe 
這是微軟元月份發布的一個補丁，裝上後才知道我根本用不上，它是為那些關機總需要很長時間的使用者準備的，若你的機器不巧有這種現象，建議設為自動。 

38、Windows Firewall/Internet Connection Sharing (ICS) 
描述：為家庭和小型辦公網路提供網路位址轉譯、定址、名稱解析和/或入侵保護服務。 
進程名：svchost.exe 
這就是系統內建的防火牆功能。我覺得卡巴內建的網路防禦功能也夠用了，所以將其設為了禁用。這項服務實際上也沒什麼用，它是在系統完全啟動、網路已連通後才啟動的，系統內有惡意程式的話早就開始工作囉。若機器內安裝的防毒軟體沒有整合網路防禦功能，還是設為自動的好。 

39、Wireless Zero Configuration 
描述：為您的 802.11 適配器提供自動設定 
進程名：svchost.exe 
在用無線網卡嗎(註：不是無線上網卡)？若在用，正使用多個無線路由或網關，且沒有配置固定IP的話，那就設為自動吧。若只用一個無線路，由或網關，且設定了固定IP，那就設為手動。沒有裝無線網卡的，設為禁用好啦，又可以節省一點系統資源。 

40、Workstation 
描述：建立和維護到遠程服務的用戶端網路連接。如果服務停止，這些串連將不可用。如果服務被禁用，任何直接依賴於此服務的服務將無法啟動。 
進程名：svchost.exe 
區域網路使用者還是將其設為自動的好，否則網路列印、檔案分享權限設定時常會出現無法訪問的提示，部分OA和ERP系統也需要啟用它。 

五、一些用途不明確的服務 
雖說不明確，但並不能通通禁用了事，最好結合自己實際情況而定，若禁用後發現機器中某個程式不正常，還是設為手動較好。 

41、Computer Browser 
描述：維護網路上電腦的更新列表，並將列表提供給電腦指定瀏覽。如果服務停止，列表不會被更新或維護。如果服務被禁用，任何直接依賴於此服務的服務將無法啟動。 
進程名：svchost.exe 
若不是在區域網路內，這項服務可以設為禁用。就算要在區域網路內使用，我也只設為手動，因為說不準什麼時候會要用上，用的時候它會自個啟動。
42、HTTP SSL 
描述：此服務通過安全通訊端層(SSL)實現 HTTP 服務的安全超文本傳送協議(HTTPS)。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
聽起來似乎很有用，但你有用過嗎？反正我是設為禁用，也沒看到有什麼問題。公司的OA系統也從未用到過這個東東。 

43、Network Provisioning Service 
描述：為自動網路提供管理基於域的 XML 設定檔。 
進程名：svchost.exe 
不知為何，公司區域網路是帶有域的，但我一直禁用，也沒發現內網有什麼功能無法使用。 

44、Removable Storage 
描述：無 
進程名：svchost.exe 
連微軟都不知道是幹什麼的，為什麼要裝入系統呢，禁用。 

45、System Event Notification 
描述：跟蹤系統事件，如登入 Windows，網路以及電源事件等。將這些事件通知給 COM+ 事件系統 “訂閱者(subscriber)”。 
進程名：svchost.exe 
不怎麼它的真正作用是什麼，反正我是從未啟用過。 

45、WebClient 
描述：使基於 Windows 的程式能建立、訪問和修改基於 Internet 的檔案。如果此服務被終止，將會失去這些功能。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
搞不清它到底負責哪項工作，所以我是堅決“禁用”。 

46、Windows Management Instrumentation Driver Extensions 
描述：與驅動程式間交換系統管理資訊。 
進程名：svchost.exe 
具體職責不清楚，但禁用了極易莫名其妙的發生驅動丟失，設為手動就平安無事。 

47、WMI Performance Adapter 
描述：從 WMI HiPerf? 提供者提供效能庫資訊。 
進程名：wmiapsrv.exe 
具體作用不清楚，但禁用以後易出現驅動離奇丟失的現象，設為手動即可。 

六、絕對的垃圾服務 

WINDOWS XP系統被抱怨最多的地方，就是系統資源消耗大，多程式並行時執行效率低下，速度緩慢，其實，除了系統核心的不足之外，預設啟動了一些很少用到的服務也是重要的原因，這類服務通常被稱作垃圾功能。既是垃圾，就應該堆到一起，方便清潔，利於衛生，下面就是XP系統中一些幾乎用不到、完全可以放心禁用的垃圾服務。 

48、Application Layer Gateway Service 
描述：為 網際網路連線共用和 Windows 防火牆提供第三方協議外掛程式的支援。 
進程名alg.exe。 
事實上，我從來沒有發現過哪個程式會用到它。所以設為禁用。 

49、Ati HotKey Poller 
裝有ATI顯卡的機器上就會有這個東東。 
進程名ati2evxx.exe。 
我從來沒用過，這東東唯一作用似乎就是在系統欄顯示一個控製圖標，事實上，需要的時候完全可以在案頭上點右鍵進顯示內容進行顯卡附加功能的調整，有必要時時刻刻讓這東東浪費寶貴的系統資源嗎？我的選擇是禁用。 

50、ClipBook 
描述：啟用“剪貼簿查看器”儲存資訊並與遠端電腦共用。如果此服務終止，“剪貼簿查看器” 將無法與遠端電腦共用資訊。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：clipsrv.exe 
從來沒用過，禁用。

51、COM+ Event System 
描述：支援System Event Notification Services(SENS)，此服務為訂閱元件物件模型(COM)組件事件提供自動分布功能。如果停止此服務，SENS 將關閉，而且不能提供登入和登出通知。如果禁用此服務，顯式依賴此服務的其他服務將無法啟動。 
天知道這東東在起什麼作用，我禁用五年了。 

52、Cryptographic Services 
描述：提供三種管理服務: 編錄資料庫服務，它確定 Windows 檔案的簽字; 受保護的根服務，它從此電腦添加和刪除受信根憑證機構的認證;和密鑰(Key)服務，它協助註冊此電腦擷取認證。如果此服務被終止，這些管理服務將無法正常運行。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程名：svchost.exe 
不知道是幹什麼用的，但我一直是設為禁用。 

53、DHCP Client 
描述：通過註冊和更改 IP 位址以及 DNS 名稱來管理網路設定。 
進程名：svchost.exe 
可以設為禁用。曾聽人說，ADSL使用者若沒有設定固定IP，這東東就得設為自動，否則上網時可能會有一些麻煩，比如斷線。但我用GPRS上網時也是動態分配IP，設為禁用並無影響。 

54、Distributed Link Tracking Client 
描述：在電腦內 NTFS 檔案之間保持連結或在網路域中的電腦之間保持連結。 
進程名：svchost.exe 
至今沒發現禁用它有什麼不良影響，所以從未開啟過。 

55、Distributed Transaction Coordinator 
描述：協調跨多個資料庫、訊息佇列、檔案系統等資源管理員的事務。如果停止此服務，則不會發生這些事務。如果禁用此服務，顯式依賴此服務的其他服務將無法啟動。 
進程名：msdtc.exe 
不知道有什麼用，從未開啟過。 

55、DNS Client 
描述：為此電腦解析和緩衝網域名稱系統 (DNS) 名稱。如果此服務被停止，電腦將不能解析 DNS 名稱並定位 Active Directory 網域控制站。如果此服務被禁用，任何明確依賴它的服務將不能啟動。 
進程名：svchost.exe 
覺得微軟似乎在故弄玄虛，這項服務根本沒有描述說的那麼有用，至少我禁用了也沒發現對上網有什麼不利影響。 

56、Indexing Service 
描述：本地和遠端電腦上檔案的索引內容和屬性；通過靈活查詢語言提供檔案快速存取。 
進程名：cisvc.exe 
這一項很垃圾的功能，若覺得機器速度很慢，禁用它或許會有好轉。我一直設為禁用的說。 

57、IPSEC Services 
描述：管理 IP 安全性原則以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。 
進程名：lsass.exe 
這項服務有用嗎？我也不知道，反正我從未啟用過，禁用。 

58、Network DDE 
描述：為在同一台電腦或不同電腦上啟動並執行程式提供動態資料交換 (DDE) 的網路傳輸和安全。如果此服務被終止， DDE 傳輸和安全將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程：netdde.exe 
我是菜蟲，不知道它是幹什麼的，但我記得自己一直以來都是設為禁用的說。 

59、Network DDE DSDM 
描述：管理動態資料交換 (DDE) 網際網路共用。如果此服務終止，DDE 網際網路共用將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 
進程：netdde.exe 
看起來與前一個似乎有親緣關係，但可以確定沒用的說，大膽禁用吧。 

60、QoS RSVP 
描述：為依賴品質服務(QoS)的程式和控制應用程式提供網路訊號和本地通訊控制安裝功能。 
進程名：rsvp.exe 
我平時要用到2台網路印表機，但從未啟用過這項服務，禁用。 

61、Remote Access Auto Connection Manager 
描述：無論什麼時候當某個程式引用一個遠程 DNS 或 NetBIOS 名稱或者地址就建立一個到遠程網路的串連。 
進程名：svchost.exe 
聽起來很智能，但它肯定從未有利於我們的工作，因為我從未發現它啟動過。 

62、TCP/IP NetBIOS Helper 
描述：允許對“TCP/IP 上 NetBIOS (NetBT)”服務以及 NetBIOS 名稱解析的支援。 
進程名：svchost.exe 
放心禁用吧，不要被這複雜的縮寫嚇倒，這東東根本就沒有用。 

63、Windows User Mode Driver Framework 
描述：啟用 Windows 使用者模式驅動程式。 
進程名：wdfmgr.exe 
不知道是什麼意思，但可以確定沒用，一直禁用，從未開啟過。