WINDOWS XP系統服務詳解

一、什麼是系統服務
　　在Windows 2000/XP/2003系統中，服務是指執行指定系統功能的程式、常式或進程，以便支援其他程式，尤其是低層(接近硬體)程式。通過網路提供服務時，服務可以在Active Directory(活動目錄)中發布，從而促進了以服務為中心的管理和使用。
　　服務是一種應用程式類型，它在後台運行。服務應用程式通常可以在本地和通過網路為使用者提供一些功能，例如用戶端/伺服器應用程式、Web伺服器、資料庫伺服器以及其他基於伺服器的應用程式。

二、配置和管理系統服務
　　其實與系統註冊表類似，對系統服務的操作，我們可以通過“服務管理主控台”來實現。
　　以管理員或Administrators群組成員資格登入，單擊“開始→運行”功能表項目，在出現的對話方塊中鍵入“Services.msc”並斷行符號，即可開啟“服務管理主控台”。你也可以單擊“開始→控制台→管理工具→服務”選項來啟動該控制台。
　　在服務控制台中，雙擊任意一個服務，就可以開啟該服務的屬性對話方塊。在這裡，我們可以對服務進行配置、管理操作，通過更改服務的啟動類型來設定滿足自己需要的啟動、關閉或禁用服務。
　　在“常規”選項卡中，“服務名稱”是指服務的“簡稱”，並且也是在註冊表中顯示的名稱；“顯示名稱”是指在服務配置介面中每項服務顯示的名稱；“描述”是為該服務作的簡單解釋；“可執行檔的路徑”即是該服務對應的可執行檔的具體位置；“啟動類型”是整個服務配置的核心，對於任意一個服務，通常都有3種啟動類型，即自動、手動和已禁用。只要從下拉式功能表中選擇就可以更改服務的啟動類型。“服務狀態”是指服務的現在狀態是啟動還是停止，通常，我們可以利用下面的“啟動”、“停止”、“暫停”、“恢複”按鈕來改變服務的狀態。
　　下面讓我們來看看3種不同類型的啟動狀態：
　　自動：此服務隨著系統啟動時啟動，它將延長啟動所需要的時間，有些服務是必須設定為自動的，如Remote Procedure Call(RPC)。由於依存關係或其他影響，其他的一些服務也必須設定為自動，這樣的服務最好不要去更改它，否則系統無法正常運行。
　　手動：如果一個服務被設定為手動，那麼可以在需要時再運行它。這樣可以節省大量的系統資源，加快系統啟動。
　　已禁用：此類服務不能再運行。這個設定一般在提高系統安全性時使用。如果懷疑一個陌生的服務會給你的系統帶來安全上的隱患，可以先嘗試停止它，看看系統是否能正常運行，如果一切正常，那麼就可以直接禁用它了。如果以後需要這個服務，在啟動它之前，必須先將啟動類型設定為自動或手動。
　　單擊“依存關係”選項卡，在這裡我們可以看到，在頂端列表中指出運行選定服務所需的其他服務，底端列表指出了需要運行選定服務才能正確啟動並執行服務。它說明了一些服務並不能單獨運行，必須依靠其他服務。在停止或禁用一個服務之前，一定要看看這個服務的依存關係，如果有其他需要啟動的服務是依靠這個服務，就不能將其停止。在停止或禁用一個服務前，清楚瞭解該服務的依存關係是必不可少的步驟。

三、winxp系統服務詳解
1.Alerter（錯誤警示器)
說明：將系統上發生的與管理有關的事件以警示資訊傳送至網路上指定的電腦或使用者，例如當發生列印錯誤或硬碟即將寫滿等事件，即由該服務負責收集、送出。該服務進程名為Services.exe
參考：一般家用電腦根本不需要傳送或接收電腦系統管理來的警示（Administrative Alerts），除非你的電腦用在區域網路絡上。可以關閉此項服務。
依存：Workstation
建議：手動

2. （XP）Application Layer Gateway Service（應用程式層網關服務）
說明：提供網際網路聯機共用和網際網路聯機防火牆的第三方通訊協議外掛程式的支援。
參考： 如果你不使用網際網路聯機共用（ICS）提供多台電腦的網際網路存取和網際網路聯機防火牆（ICF）軟體，可以關閉此項服務。
依存： Internt Connection Firewall（ICF）/Internet Connection Sharing（ICS）
建議： 手動/已禁用

3. Application Management（應用程式管理）
說明：AppMgmt(應用程式管理服務)。提供軟體安裝服務，如指派、發行以及刪除。該服務進程名為Svchost.exe。Windows2000引入了一種基於MSI（應用程式安裝資訊程式包檔案）檔案格式的軟體管理方案——應用程式管理元件服務，它不僅管理軟體的安裝、刪除，而且可以使用此項服務修改、修複現有應用程式，監視檔案複原並通過複原排除基本故障等。
參考：當設定為“已禁用”時其實並不影響單機上軟體的安裝與卸載，而且基於MSI格式安裝、修複與刪除的行為也正常。
建議：手動

4. Automatic Updates（自動更新）
說明：Wuauserv(自動更新服務)。從Windows Update啟用Windows更新的下載和安裝。該服務進程名為Svchost.exe。
參考：寬頻使用者如果需要Windows自動更新，可讓此服務隨機啟動（自動），駐留後台。
建議：手動

5. Background Intelligent Transfer Service（背景智慧型傳送服務）
說明：用來實現http1.1伺服器之間的資訊傳輸，微軟稱支援Windows更新時斷點續傳，Windows Update就是以此為工作之一。
依存：Remote Procedure Call（RPC）和Workstation
建議：手動

6. ClipBook（剪貼簿）
說明：通過Network DDE和Network DDE DSDM提供的網路動態資料交換服務，查閱遠程機器中的剪貼簿，用於區域網路中電腦來共用粘貼/剪貼的內容。
參考：把剪貼簿內的資訊和其它台電腦分享，一般家用電腦根本用不到，普通使用者可以設定為：已禁用。
依存：Network DDE
進程：clipsrv.exe
建議：該服務對於一般家用電腦根本涉及不到，可以根據具體情況，停止

7. COM+Event System（COM+組件系統）
說明：COM+倡導了一種新的概念，它把COM組件軟體提升到應用程式層（使用者使用層）而不再是底層的軟體結構，通過作業系統的各種支援，使元件物件模型建立在應用程式層上，把所有組件的底層細節留給作業系統。一些 COM+軟體需要這項服務的支援。該服務進程名為Svchost.exe。
參考：有些程式可能用到COM+組件，如BootVis的optimize system應用，檢查Program FilesComPlus Applications目錄，如果該目錄為空白就可以關閉此服務。
依存： Remote Procedure Call（RPC）和System Event Notification
建議：手動

8. （XP）COM+ System Application（COM+系統應用程式層）
說明：COMSysApp(COM+系統應用服務)。管理基於COM+組件的配置和跟蹤。該服務進程名為Dllhost.exe。
依存：Remote Procedure Call（RPC）
建議：如果COM+ Event System是一輛車，那麼COM+ System Application就是司機，手動

9. Computer Browser（電腦瀏覽器）
說明：維護網路位置中電腦的最新列表，並將這個列表通知給請求的程式，用來瀏覽區域網路電腦的服務。
參考：普通使用者佈建為：已禁用；區域網路使用者設為：手動。
依存：Server 和 Workstation
建議：手動

10. Cryptographic Services（認證服務）
說明：提供三個管理服務：確認 Windows數位簽章章的“類別目錄資料庫服務”；從這個電腦新增及移除受根信任憑證授權憑證的“受保護的根目錄服務”，以及協助註冊這個電腦以取得憑證的“密鑰服務”。如果這個服務被停止，這些管理服務將無法正確工作。該服務進程名為Svchost.exe。
參考：簡單的說就是Windows Hardware Quality Lab（WHQL）認證，如果使用 Automatic Updates ，可能需要這個。
依存：Remote Procedure Call（RPC）
建議：手動

11. DHCP Client（動態主機設定通訊協定用戶端）
說明：DHCP是一種提供動態IP地址分配、管理的TCP/IP服務合約，它作為網路啟動過程的一部分。DHCP用戶端系統就可以向DHCP伺服器請求和租用IP地址。
參考：如果是通過撥號方式連入Internet，則需要保持此服務的自動啟動狀態，因為在Internet上的IP地址是由ISP動態分配的。除非系統不應用於任何網路，可以將其設為：已禁用。
依存：AFD 網路支援環境、NetBT、SYMTDI、TCP/IP Protocol Driver和NetBios over TCP/IP
建議：自動

12. Distributed Link Tracking Client（散佈式連結追蹤用戶端）
說明：散佈式連結追蹤用戶端能追蹤檔案在網路域的NTFS卷中移動的情況，並發出通知，用於區域網路更新檔案連結資訊。後台運行時一般佔用4M記憶體。
參考：普通使用者佈建為：已禁用；區域網路使用者（硬碟已格式為NTFS格式）設為：手動。
依存：Remote Procedure Call（RPC）
建議：手動/已禁用

13. Distributed Transaction Coordinator（分布式協同處理器）
說明：分佈於兩個以上的資料庫、訊息佇列、檔案系統其它事務保護資源管理員，協調跨越多個資源管理員的交易，如資料庫、資訊隊列及檔案系統。如果此服務被停止，這些交易將不會發生。該服務的進程名為Msdtc.exe
參考：普通使用者沒有用處，除非啟用Message Queuing。
依存：Remote Procedure Call（RPC）和Security Accounts Manager
建議：手動

14. DNS Client（網域名稱系統用戶端）
說明：將網域名稱解析為IP地址。如果停止這個服務，這台電腦將無法解析DNS名稱並尋找Active Directory網域控制站的位置。
參考：除非沒有連入任何網路，否則應保持此服務的自動啟動狀態。另外IPSEC需要用到。
依存：TCP/IP Protocol Driver
進程：dns.exe
建議：自動

15. （XP）Error Reporting Service（錯誤報表服務）
說明：允許對執行於非標準環境中的服務和應用程式的錯誤報表。該服務進程名為Svchost.exe。
依存：Remote Procedure Call（RPC）
建議：該服務即微軟的應用程式錯誤回報工具，基於安全性考慮，停止。

16. Event Log（事件記錄）
說明：記錄程式和系統發送的出錯訊息，包含了對診斷問題有所協助的資訊。禁用此服務後，將導致了幾個關於網路的服務無法啟動的現象，並且無法實現撥接。該服務進程名為Services.exe。
參考：如果存在Internet或區域網路串連，建議保持此服務的自動啟動狀態。此服務不能被停止。
依存：Windows Management Instrumentation
建議：自動

17. （XP）Fast User Switching Compatibility（快速切換使用者）
說明：在多使用者環境下提供應用程式管理。該服務進程名為Svchost.exe。
參考：登出畫面中的切換使用者功能。
依存：Terminal Services
建議：基於安全性考慮，如果不使用多使用者環境，停止。

18. Fax Service（傳真服務）
說明：在Windows95中支援的傳真功能在Windows2000中重新被予以支援，而且與系統整合得更好。
參考：如果不使用傳真機，可以設定為：已禁用。
進程：faxsvc.exe

19. FTP Publishing Service（FTP發布服務）
說明：通過Internet資訊服務（IIS）的嵌入式管理單元提供FTP串連和管理。
進程：inetinfo.exe
建議：自動/手動

20. （XP）Help and Support（說明及支援中心）
說明：讓說明及支援中心能夠在這台電腦上執行。如果這個服務停止，將無法使用說明及支援中心。該服務進程名為Svchost.exe。
依存： Remote Procedure Call（RPC）
建議： 可以根據具體情況，停止。

21. （XP）Human Interface Device Access（人性化介面訪問）
說明：啟用對人性化介面裝置（HID）的通用輸入存取，HID裝置啟動並維護對這個鍵盤、遠端控制、以及其它多媒體裝置上事先定義的快捷紐的使用。如果這個服務被停止，這個服務控制的快捷紐將不再起作用。該服務進程名為Svchost.exe。
依存： Remote Procedure Call（RPC）
建議： 手動/已停用

22. IIS Admin Service（IIS管理服務）
說明：允許通過Internet資訊服務（IIS）的嵌入式管理單元管理Web和FTP服務。
建議：自動/手動

23. （XP）IMAPI CD-Burning COM Service（IMAPI光碟片燒錄服務）
說明：使用 Image Mastering Applications Programming Interface（IMAPI）管理光碟片燒錄。
參考：WinXP整合的CD-R和CD-RW光碟機上拖放的燒錄功能，可惜比不上燒錄軟體，關閉此服務還可以加快Nero的啟動速度，HOHO~~。
建議： 手動/已停用

24. Indexing Service（索引服務）
說明：索引服務能針對本地硬碟或共用網路磁碟機上的文檔內容和屬性建立索引，並通過Windows2000特有的文檔過濾器快速定位到所需要的文檔上，大大強化了Windows2000的搜尋能力。但另一方面，索引搜尋又消耗了大量系統資源。
微軟建議：對於僅有64MB記憶體，而要索引的文檔又超過十萬個的系統，就應該禁用這個服務。但事實上，在針對64MB記憶體的系統中，即使文檔數量遠遠低於十萬個，系統資源的消耗亦非常驚人，而且在128MB的系統上情況無明顯好轉，因此強烈建議禁用它。進程：cisvc.exe
依存關係：Remote Procedure Call(RPC)
建議：已禁用

25. Internet Connection Firewall （Internet串連防火牆） /  Internet Connection Sharing（Internet串連共用）
說明：此服務為區域網路電腦提供Internet共用串連，為多台連網的電腦共用一個撥號網路訪問Internet提供了捷徑。以前在Windows9X中要實現這一功能需藉助SYGATE、WinGATE等代理軟體，現在這一功能已直接被Windows2000支援。該服務進程名為Svchost.exe。
參考：如果不使用Internet串連共用或是WinXP內含的Internet串連防火牆的普通使用者可將其設為：已禁用。
依存：Application Layer Gateway Service、Network Connections、Network Location Awareness（NLA）、Remote Access Connection Manager
建議：ICF自動，ICS手動

26. IPSEC Policy Agent（IP安全性原則代理）
說明：此服務允許IP安全性原則對兩台電腦之間傳輸的資料包進行加密，從而防止在網上看到它的人對它變更和破譯。IPSEC是一種用來保護內部網、專用網路（Internet）和外部網（Extranet）免遭攻擊的重要防禦方法。使用IPSEC前必須需要首先定義兩台電腦之間相互信任和通訊安全的方式。
請注意：在Windows2000預設情況下“IP安全性原則代理”是自動啟動的，而“IP安全性原則”並沒有啟動（網路和撥號連線→撥號連線屬性→網路→Internet協議（TCP/IP）屬性→進階→選項中的“IP安全機制”屬性中可以看到）。
參考：一般使用者就完全可以禁用此代理服務。
依存：IPSEC driver、Remote Procedure Call （RPC）、TCP/IP Protocol Driver
進程：lsass.exe
建議：手動

27. Logical Disk Manager（邏輯磁碟管理）
說明：磁碟管理服務。
參考：動態管理磁碟，如顯示磁碟可用空間等和使用 Microsoft Management Console（MMC）主控台的功能。在需要時此服務會通知使用者，所以一般可以關閉此服務。
依存：Plug and Play、Remote Procedure Call （RPC）、Logical Disk Manager Administrative Service
建議：手動

28. Logical Disk Manager Administrative Service（邏輯磁碟管理服務）
說明：設定硬碟磁碟及磁碟區，服務只執行設定程式然後就停止。
參考：使用Microsoft Management Console（MMC）主控台的功能時才用到。
依存：Plug and Play、Remote Procedure Call （RPC）、Logical Disk Manager
進程：dmadmin.exe
建議：手動

29. Messenger（信差服務）
說明：此服務非MSN Messenger，發送和接收由系統管理員或由Alerter服務所發送訊息的服務。Alerter服務需要依賴本服務。
參考：允許網路之間互相傳送提示訊息的功能，如net send 功能。如果Alerter已禁止，可設定為：手動或已禁用。
依存：NetBIOS Interface、Plug and Play、Remote Procedure Call（RPC）、Workstation
建議：手動/已禁

30. （XP）MS Software Shadow Copy Provider（微軟陰影複製服務）
說明：管理磁碟區陰影複製服務所取得的以軟體為主的磁碟區陰影複製。如果停止這個服務，就無法管理以軟體為主的磁碟區陰影複製。
參考充：使用MS Backup程式需要此服務。
依存：Remote Procedure Call（RPC）
建議：已停用

31. Net Logon（網路登入）
說明：此服務用於在區域網路上驗證登入資訊的選項、登入網域名控制。
參考：一般使用者可設為：已禁用或手動。
建議：手動/已禁用

32. NetMeeting Remote Desktop Sharing（NetMeeting遠端桌面共用）
說明：該服務能通過NetMeeting，允許擁有許可權的使用者遠端存取Windows案頭。
參考：使用者可以將電腦的控制權分享予網路上的其它使用者。此服務提供的功能對一般使用者並無太大的用處，並可能帶來安全問題，可以設定為：已禁用。
進程：mnmsrvc.exe
建議：手動/已禁用

33. Network Connections（網路連接）
說明：管理“網路和撥號連線”檔案夾中的所有對象。
參考：如果存在任何網路連接（包括撥號連線），保持此服務的自動/手動狀態。若禁用此服務，“網路和撥號連線”檔案夾中將為空白，不能建立串連和撥接。
依存：Remote Procedure Call（RPC）、Internet Connection Firewall（ICF）/ Internet Connection Sharing（ICS）
建議：手動

34. Network DDE（網路動態資料交換）

35. Network DDE DSDM
說明：此兩項服務和Clipbook一起使用。網路動態資料交換服務是一種為DDE對話提供網路傳輸和安全的服務。DDE（動態資料交換）是實現進程通訊的一種形式，它允許支援DDE的兩個或多個程式交換資訊和命令。
參考：一般使用者可設為：已禁用。
依存： Network DDE DSDM、ClipBook
建議：手動/已禁用

36. （XP）Network Location Awareness（NLA）
說明：收集並存放網路設定和位置資訊，並且在這個資訊變更時通知應用程式。
參考：如果不使用 ICF 和 IC可以關閉此服務。
依存：AFD網路支援環境、TCP/IP Procotol Driver、Internet Connection Firewall （ICF） / Internet Connection Sharing （ICS）
建議：已禁用

37. NT LM Security Support Provider（NT LM安全性支援提供者）
說明：此服務供Telnet服務使用，為使用傳輸協議而不是具名管道的遠端程序呼叫（RPC）程式提供安全機制。
參考：如果不使用 Message Queuing 或是 Telnet Server可以關閉，根據使用者需要確定啟動類型。
建議：手動/已禁用

38. Performance Logs and Alerts（效能記錄檔及警示）
說明：記錄電腦健全狀態並且定時寫入日誌或發出警告。但是記錄的內容可能過於專業，不易理解。
進程：smlogsvc.exe
建議：手動/已禁用

39. Plug and Play（隨插即用）
說明：隨插即用是Intel開發的一組規範，它賦予了電腦自動檢測和配置裝置並安裝相應驅動程式的能力。當有裝置被更改時，能自動通知使用該裝置的程式當前裝置的狀況。
參考：將該服務狀態保持自動啟動狀態有利於裝置的管理和維護。
依存：Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建議：自動

40.（xp）portable Media Serial Number（攜帶型媒體序號）
說明：Retrieves the serial number of any portable music player connected to your computer
參考：通過聯機電腦重新取得任何音樂播放序號，無用服務。
建議： 已停用

41. Print Spooler（列印多工緩衝處理）
說明：此服務的作用是將多個請求列印的文檔統一進行儲存和管理，待印表機資源空閑後，再將資料送往印表機處理。
參考：無任何列印裝置的使用者佈建為：已禁用，否則設為：自動。
依存： Remote Procedure Call（RPC）
進程：spoolsv.exe
注意：如果啟用了傳真服務（Fax Service），此服務就應該保持自動狀態，因為傳真服務依賴Print Spooler的運行。

42. Protected Storage（保護性儲存）
說明：提供儲存本地密碼和網上服務密碼的服務，包括填表時的自動完成功能，防止未授權的服務、過程或使用者對其的非法訪問。
參考：儲存電腦上密碼的服務，如Outlook、撥號程式、其它應用程式、主從架構等。
依存：Remote Procedure Call（RPC）
建議：自動

43. QoS RSVP（QoS 許可控制）
說明：為依賴品質服務（QoS）的程式和控製程序提供網路訊號和本地通訊控制安裝功能。
參考：用來保留20%頻寬的服務，如果網路卡不支援 802.1p或在電腦的網路上沒有ACS server，可以關閉此服務。
依存： AFD網路支援環境、TCP/IP Procotol Driver、Remote Procedure Call（RPC）
進程：rsvp.exe
建議：手動/已停用

44. Remote Access Auto Connection Manager（遠端存取自動連接管理器）
說明：在程式企圖讀取網路資訊時自動連接到網路。
參考：有些 DSL/Cable提供者可能需要用此來處理登入程式。
依存：Remote Access Connection Manager、Telephony
建議：手動

45. Remote Access Connection Manager（遠端存取連線管理員）
說明：建立網路聯機。
參考：網路聯機用
依存：Telephony、Internet Connection Firewall（ICF）/ Internet Connection Sharing（ICS）、Remote Access Auto Connection Manager
建議：手動

46. （XP）Remote Desktop Help Session Manager（遠端桌面協助管理）
微軟： 管理並控制遠程協助。如果此服務停止的話，遠程協助將無法使用。
參考： 不使用管理和控制遠程協助可以關閉
依存： Remote Procedure Call（RPC）
建議： 手動/已停

47. Remote Procedure Call（RPC）（遠端程序呼叫）
說明：一種訊息傳遞功能。在電腦的遠端管理期間它允許分布式應用程式（即COM＋應用程式）呼叫網路上不同電腦上的可用服務。很多服務需要依賴它的運行。
參考：很多進程服務都依賴此服務，保持手動。
建議：自動

48. Remote Procedure Call Locator（遠端程序呼叫定位器）
說明：管理RPC資料庫服務，後台運行時一般佔用1M記憶體。
參考：一般電腦上很少用到，可以嘗試關閉。
進程：locator.exe
建議：手動

49. Remote Registry Service（遠端登錄服務）
說明：該服務能使您編輯另一台電腦上的註冊表，可能帶來安全問題。
參考：普通單機使用者根本沒必要使用這個服務，除非需要遠程協助修改你的登入設定。該服務進程名為Svchost.exe。可以設定為：已禁用。
進程：regsvc.exe
建議：手動/已禁用

50. Removable Storage（抽取式存放裝置）
參考：除非有Zip磁碟機、USB之類可攜式的硬體或是Tape備份裝置，不然可以嘗試關閉。
依存： Remote Procedure Call（RPC）
建議：手動

51. Routing and Remote Access（路由和遠端存取）
說明：在區域網路以及廣域網路環境中為企業提供路由服務。
參考：提供撥號聯機到區域網路或是VPN服務，一般使用者用不到。
建議：已禁用

52. Run As Service（以其他使用者身份運行服務的服務）
說明：當以一般許可權使用者身份登入系統，而在使用中又需要修改只有系統管理員才能修改的系統設定項時，該服務提供了不用重啟系統以管理員身份登入的捷徑。只需要在命令提示字元下運行RunAs命令就可達到更改目的。
參考：對於一般使用者在未熟悉RunAs命令用法之前可以將其設為：已禁用。
建議：已禁用

53. Security Accounts Manager（安全帳戶管理器）
說明：儲存本機使用者帳戶的安全資訊。Protected Storage，IIS Admin服務都需要此服務的支援。該服務進程名為Lsass.exe。
參考：管理帳號和群組原則（gpedit.msc）應用需要此服務。
依存：Remote Procedure Call（RPC）、Distributed Transaction Coordinator
建議：自動

54. Server（伺服器）
參考：此服務用於區域網路檔案/列印共用，除非你有和其它電腦分享，不然就可以關閉了。
依存：Computer Browser
建議：手動/已禁用

55. （XP）Shell Hardware Detection（外層硬體檢測）
說明：為自動播放硬體事件提供通知。
參考：一般使用在記憶卡或是CD-RO、DVD-ROM上。
依存：Remote Procedure Call （RPC）
建議：自動/手動

56. Smart Card（智慧卡）

57. Smart Card Helper（智慧卡助手）
說明：提供對智慧卡裝置的支援。
進程：SCardSvr.exe
建議：已禁用

58. （XP）SSDP Discovery Service（隨插即用裝置檢測服務）
說明：在您的家用網路上啟用通用隨插即用裝置的發現。
參考：通用隨插即用服務（Universal Plug and Play、UPnP）讓電腦可以找到並使用網路上的裝置，經由網路透過 TCP/IP來搜尋裝置，如網路上的掃瞄儀數位相機或印表機，即使用UPnP的功能。基於安全性，無此需要可以關閉此服務。該服務進程名為Svchost.exe。
依存：Universal Plug and Play Device Host
建議：已停用

59. System Event Notification（系統事件通知）
說明：記錄使用者登入、登出、重起、關機資訊。SENS(System Event Notification Services)。跟蹤系統事件，如登入Windows、網路以及電源事件等。將這些事件通知給COM+事件系統“訂閱者(subscriber)”。該服務進程名為Svchost.exe。
依存：COM+ Event System
建議：自動

60. （XP）System Restore Service（系統還原服務）
說明：執行系統還原功能。若要停止服務，從我的電腦>屬性>系統還原中關閉。
依存： Remote Procedure Call（RPC）

61. Task Scheduler（計劃任務）
說明：Schedule(計劃任務服務)。使使用者能在此電腦上配置和制定自動任務的議程。能使程式在預定的時間自動運行，如定期進行磁碟磁碟重組。
參考：不需要此功能的使用者可以設定為：已禁用。
依存： Remote Procedure Call（RPC）
進程：mstask.exe

62. TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS支援服務）
說明：在TCP/IP上提供NetBIOS支援，NetBIOS是基於區域網路的。
參考：作為訪問Internet資源的一般使用者可以禁用它，除非系統處在區域網路中。
進程：wins.exe
建議：手動

63 Telephony（電話語音）
說明：為電腦提供電話撥號的能力。
參考：一般的撥號數據機或是一些 DSL/Cable 可能用到，如果使用撥號方式串連到Internet或通過電話線串連其他電腦，應將其設為：手動。
依存：Plug and Play、Remote Procedure Call（RPC）、Remote Access Connection Manager、Remote Access Auto Connection Manager
建議：手動

64. Telnet（遠程登入協議）
說明：遠端控制電腦執行控制台命令，後台運行時一般佔用2M記憶體。此服務允許從遠端電腦上登入本系統並且使用命令列方式操作這台電腦。
參考：允許遠程使用者用 Telnet 登入本電腦。一般人會誤解服務關閉就無法使用BBS，和BBS無關。基於安全性的理由，可以設為：手動或已禁用。
進程：tlntsvr.exe
建議：手動/已禁用

65. （XP）Terminal Services （終端機服務）
說明：允許多位使用者互動串連到同一部電腦、案頭的顯示器及到遠端電腦的應用程式。遠端桌面的加強 （包含系統管理員的 RD）、快速切換使用者、遠程協助和終端機伺服器。
參考：遠端桌面或是遠程協助的功能，不需要可以關閉。
依存：Remote Procedure Call（RPC）、Fast User Switching Compatibility、InteractiveLogon
建議：已停用

66. （XP）Themes（主題服務）
說明：提供使用者經驗主旨管理員，影響到WindowsXP的外觀介面。
建議：自動/手動

67. Uninterruptible Power Supply（UPS/不斷電供應系統）
說明：管理串連到電腦的不斷電供應系統（UPS）的服務。
參考：如果沒有UPS裝置就設為：已禁用。
進程：ups.exe
建議：手動/已禁用

68. （XP）Universal Plug and Play Device Host（主機通用隨插即用裝置）
說明：提供主機通用隨插即用裝置的支援。
參考：用來檢測安裝通用隨插即用服務（Universal Plug and Play、UPnP）裝置，如數位相機或印表機。
依存：SSDP Discovery Service
建議：已禁用

69.upload Manager
說明：Uploadmgr(上傳管理服務)。管理網路上用戶端和伺服器之間同步和非同步檔案傳輸。該服務進程名為Svchost.exe。
依存關係：Remote Procedure Call(RPC)
建議：視具體情況而定，停止。

70. Utility Manager（協助工具輔助）
說明：從一個視窗中啟動和配置協助工具輔助。
建議：手動

71. （XP）Volume Shadow Copy（磁碟區陰影複製）
說明：管理磁碟區陰影複製服務所取得的以軟體為主的磁碟區陰影複製。如果停止這個服務，就無法管理以軟體為主的磁碟區陰影複製。該服務進程名為Vssvc.exe。
參考：使用MS Backup程式需要此服務。
依存：Remote Procedure Call（RPC）
建議：已禁用

72. （XP）WebClient（網路用戶端）
說明：啟用Windows為主的程式來建立、存取，以及修改基於Internet的檔案。
參考：使用WebDAV將檔案或檔案夾上傳到所有的Web服務。基於安全性的理由，可以嘗試關閉。
依存：WebDav Client Redirector
建議：停止。

73. （XP）Windows Audio（Windows音頻服務）
說明：管理用於Windows為主程式的音訊裝置。如果這個服務被停止，音訊裝置和效果將無法正常工作。
參考：如果沒有音效卡可以關閉此服務。
依存：Plug and Play、Remote Procedure Call（RPC）
建議：自動

74. （XP）Windows Image Acquisition（WIA/Windows影像取得程式）
說明：為掃描器和數位相機提供影像擷取服務。
參考：如果掃描器和數位相機內部支援WIA功能，就可以直接看到映像而不需要其它驅動程式。沒有掃描器和數位相機的使用者可以關閉。
依存：Remote Procedure Call（RPC）
建議：已禁用

75. windows Installer（Windows 安裝服務）
說明：Windows的MSI安裝服務，根據包含在.msi檔案中的指示來安裝、修複或刪除軟體。
參考：協助使用者正確地安裝、設定、追蹤、升級和卸載軟體，可管理應用程式建立和安裝的標準格式，並且追蹤例如檔案群組、登入項目及捷徑等組件。 進程：msiexec.exe
依存關係：Remote Procedure Call(RPC)
建議：手動

76. windows Image Acquisition（WIA/Windows映像擷取）
說明：有些數位相機和掃描器使用。
建議：根據需要設定啟動類型

77. windows Management Instrumentation（Windows管理規範）
說明：WMI是Windows2000中的基礎管理結構，它通過一組常用介面控制和監視管理系統資源（如對系統屬性的查看與更改、設定使用者權限等）。
依存：Event Log、Remote Procedure Call （RPC）
進程：winmgmt.exe
建議：自動

78. windows Management Instrumentation Driver Extensions（Windows管理規範驅動程式擴充）
說明：與驅動程式間交換系統管理資訊。
參考：Windows Management Instrumentation的延伸。
建議：手動

79. windows Time（Windows時間）
說明：自動連網實現網上時間校對。
建議：手動

80. （XP）Wireless Zero Configuration（無線適配器服務）
說明：為 802.11 適配卡提供自動設定。
參考：自動設定無線網路裝置。如果不使用無線網路適配卡裝置，可以關閉此服務。
依存：NDIS Usermode I/O Protocol、Remote Procedure Call（RPC）
建議：已禁用

81. （XP）WMI Performance Adapter（Windows管理規範）
微軟：提供來自WMIHiPerf 提供者的效能連結庫資訊。
依存：Remote Procedure Call（RPC）
建議：已禁用

82. Workstation（工作站）
說明：建立並維護到遠程伺服器的用戶端網路聯機。如果停止這個服務，這些聯機將無法使用。所有依存於它的服務將無法啟動。是網路連接中所必要的一些功能
依存：Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建議：自動 。如果你已經是打了sp2的，就會多幾個的，比如有一個資訊安全中心的服務，如果你覺得那是多餘的大可把它關了就是了，也不影響什麼東東！！

83. World Wide Web Publishing Service（全球資訊網發布服務）
說明：通過Internet資訊服務（IIS）的嵌入式管理單元提供Web串連和管理。
建議：自動/手動

另外一篇文章 結合起來看 http://blog.csdn.net/freexploit/archive/2005/07/31/443054.aspx