标签： 安全

在网上搜索了好多教程，感觉乱的很。干脆自己总结了一套windows2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试，也希望与我一起交流服务器的安全问题。希望对大家有帮助!
　　策略一：关闭windows2003不必要的服务
　　·computer browser 维护网络上计算机的最新列表以及提供这个列表
　　·task scheduler 允许程序在指定时间运行
　　·routing and remote access 在局域网以及广域网环境中为企业提供路由服务
　　·removable storage 管理可移动媒体、驱动程序和库
　　·remote registry service 允许远程注册表操作
　　·print spooler 将文件加载到内存中以便以后打印。
　　·ipsec policy agent 管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序
　　·distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知
　　·com+ event system 提供事件的自动发布到订阅com组件
　　·alerter 通知选定的用户和计算机管理警报
·error reporting service 收集、存储和向 microsoft 报告异常应用程序
　　·messenger 传输客户端和服务器之间的 net send 和 警报器服务消息
　　·telnet 允许远程用户登录到此计算机并运行程序
　　策略二：磁盘权限设置
　　c盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
　　windows目录要加上给users的默认权限，否则asp和aspx等应用程序就无法运行。
　　策略三：禁止 windows 系统进行空连接
　　在注册表中找到相应的键值hkey_local_machine/system/currentcontrolset/control/lsa，将dword值restrictanonymous的键值改为1
　　策略四：关闭不需要的端口
　　本地连接–属性–internet协议(tcp/ip)–高级–选项–tcp/ip筛选–属性–把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
　　更改远程连接端口方法
　　开始–>运行–>输入regedit
　　查找3389：
请按以下步骤查找:
　　1、hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp下的portnumber=3389改为自宝义的端口号
　　2、hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下的portnumber=3389改为自宝义的端口号
　　修改3389为你想要的数字(在十进制下)—-再点16进制(系统会自动转换)—-最后确定!这样就ok了。
　　这样3389端口已经修改了，但还要重新启动主机，这样3389端口才算修改成功!如果不重新启动3389还
　　是修改不了的!重起后下次就可以用新端口进入了!
　　禁用tcp/ip上的netbios
　　本地连接–属性–internet协议(tcp/ip)–高级—wins–禁用tcp/ip上的netbios
　　策略五：关闭默认共享的空连接
　　首先编写如下内容的批处理文件：
　　@echo off
　　net share c$ /delete
　　net share d$ /delete
net share e$ /delete
　　net share f$ /delete
　　net share admin$ /delete
　　以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32grouppolicyuserscriptslogon目录下。然后在开始菜单→运行中输入gpedit.msc，
　　回车即可打开组策略编辑器。点击用户配置→windows设置→脚本(登录/注销)→登录.
　　在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。
　　重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。
　　策略五：iis安全设置
　　1、不使用默认的web站点，如果使用也要将iis目录与系统磁盘分开。
　　2、删除iis默认创建的inetpub目录(在安装系统的盘上)。
　　3、删除系统盘下的虚拟目录，如：_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
　　4、删除不必要的iis扩展名映射。
　　右键单击“默认web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
5、更改iis日志的路径
　　右键单击“默认web站点→属性-网站-在启用日志记录下点击属性
　　策略六：注册表相关安全设置
　　1、隐藏重要文件/目录
　　hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”
　　鼠标右击 “checkedvalue”，选择修改，把数值由1改为0。
　　2、防止syn洪水攻击
　　hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
　　新建dword值，名为synattackprotect，值为2
　　3、禁止响应icmp路由通告报文
　　hkey_local_machinesystem currentcontrolset servicestcpipparametersinterfacesinterface
　　新建dword值，名为performrouterdiscovery 值为0。
　　4、防止icmp重定向报文的攻击
　　hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
　　将enableicmpredirects 值设为0
5、不支持igmp协议
　　hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
　　新建dword值，名为igmplevel 值为0。
　　策略七：组件安全设置篇
　　a、 卸载wscript.shell 和 shell.application 组件，将下面的代码保存为一个.bat文件执行(分2000和2003系统)
　　windows2000.bat
　　regsvr32/u c:winntsystem32wshom.ocx
　　del c:winntsystem32wshom.ocx
　　regsvr32/u c:winntsystem32shell32.dll
　　del c:winntsystem32shell32.dll
　　windows2003.bat
　　regsvr32/u c:windowssystem32wshom.ocx
　　del c:windowssystem32wshom.ocx
　　regsvr32/u c:windowssystem32shell32.dll
　　del c:windowssystem32shell32.dll
b、改名不安全组件，需要注意的是组件的名称和clsid都要改，并且要改彻底了，不要照抄，要自己改
　　【开始→运行→regedit→回车】打开注册表编辑器
　　然后【编辑→查找→填写shell.application→查找下一个】
　　用这个方法能找到两个注册表项：
　　{13709620-c279-11ce-a49e-444553540000} 和 shell.application 。
　　第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。
　　第二步：比如我们想做这样的更改
　　13709620-c279-11ce-a49e-444553540000 改名为 13709620-c279-11ce-a49e-444553540001
　　shell.application 改名为 shell.application_nohack
　　第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中(双击即可)，导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，clsid中只能是十个数字和abcdef六个字母。
　　其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，
　　改好的例子
　　建议自己改
应该可一次成功
　　windows registry editor version 5.00
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}]
　　@="shell automation service"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}inprocserver32]
　　@="c:\winnt\system32\shell32.dll"
　　"threadingmodel"="apartment"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}progid]
　　@="shell.application_nohack.1"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}typelib]
　　@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}version]
　　@="1.1"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}versionindependentprogid]
@="shell.application_nohack"
　　[hkey_classes_rootshell.application_nohack]
　　@="shell automation service"
　　[hkey_classes_rootshell.application_nohackclsid]
　　@="{13709620-c279-11ce-a49e-444553540001}"
　　[hkey_classes_rootshell.application_nohackcurver]
　　@="shell.application_nohack.1"
　　评论：
　　wscript.shell 和 shell.application 组件是 脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，asp和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。
　　c、禁止使用filesystemobject组件(也就是FSO不懂的不要改，改了后网站程序也要改)
　　filesystemobject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。
　　hkey_classes_rootscripting.filesystemobject
改名为其它的名字，如：改为 filesystemobject_changename
　　自己以后调用的时候使用这个就可以正常调用此组件了
　　也要将clsid值也改一下
　　hkey_classes_rootscripting.filesystemobjectclsid项目的值
　　也可以将其删除，来防止此类木马的危害。
　　2000注销此组件命令：regsrv32 /u c:winntsystemscrrun.dll
　　2003注销此组件命令：regsrv32 /u c:windowssystemscrrun.dll
　　如何禁止guest用户使用scrrun.dll来防止调用此组件?
　　使用这个命令：cacls c:winntsystem32scrrun.dll /e /d guests
　　d、禁止使用wscript.shell组件
　　wscript.shell可以调用系统内核运行dos基本命令
　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。
　　hkey_classes_rootwscript.shell及hkey_classes_rootwscript.shell.1
　　改名为其它的名字，如：改为wscript.shell_changename 或 wscript.shell.1_changename
　　自己以后调用的时候使用这个就可以正常调用此组件了
　　也要将clsid值也改一下
hkey_classes_rootwscript.shellclsid项目的值
　　hkey_classes_rootwscript.shell.1clsid项目的值
　　也可以将其删除，来防止此类木马的危害。
　　e、禁止使用shell.application组件
　　shell.application可以调用系统内核运行dos基本命令
　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。
　　hkey_classes_rootshell.application及
　　hkey_classes_rootshell.application.1
　　改名为其它的名字，如：改为shell.application_changename 或 shell.application.1_changename
　　自己以后调用的时候使用这个就可以正常调用此组件了
　　也要将clsid值也改一下
　　hkey_classes_rootshell.applicationclsid项目的值
　　hkey_classes_rootshell.applicationclsid项目的值
　　也可以将其删除，来防止此类木马的危害。
禁止guest用户使用shell32.dll来防止调用此组件。
　　2000使用命令：cacls c:winntsystem32shell32.dll /e /d guests
　　2003使用命令：cacls c:windowssystem32shell32.dll /e /d guests
　　注：操作均需要重新启动web服务后才会生效。
　　f、调用cmd.exe
　　禁用guests组用户调用cmd.exe
　　2000使用命令：cacls c:winntsystem32cmd.exe /e /d guests
　　2003使用命令：cacls c:windowssystem32cmd.exe /e /d guests
　　通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

下面是系统服务名称的解释

1. 服务名称：Alerter
显示名称：Alerter
服务描述：通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k LocalService
其他补充：
操作建议：停止并禁用

2. 服务名称：ALG
显示名称：Application Layer Gateway Service
服务描述：为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32alg.exe
其他补充：
操作建议：手动

3. 服务名称：AeLookupSvc
显示名称：Application Experience Lookup Service
服务描述：在应用程序启动时为应用程序处理应用程序兼容性查找请求。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

4. 服务名称： Appmgmt
显示名称： Application Management
服务描述：为 Active Directory 智能映像组策略程序处理安装、删除和枚举请求。如果此服务被停用，用户将无法安装、删除或枚举任何智能映像程序。如果此服务被禁用，任何依赖于它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动

5. 服务名称： aspnet_state
显示名称： ASP.NET State Service
服务描述：为 ASP.NET 提供进程外会话状态支持。如果此服务被停止，进程外请求将得不到处理。如果此服务被禁用，任何显式依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_state.exe
其他补充：
操作建议：手动

6. 服务名称：Wuauserv
显示名称：Automatic Updates
服务描述：从 Windows Update 启用重要的 Windows 更新的下载和安装。如果禁用该服务，操作系统可以在 Windows Update Web 网站手动更新。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动或自动

7. 服务名称：BITS
显示名称：Background Intelligent Transfer Service
服务描述：利用空闲的网络带宽在后台传输文件。如果服务被停用，例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用，任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件，一旦 BITS 被禁用，就可能无法传输文件。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动或自动

8. 服务名称： ClipSrv
显示名称： ClipBook
服务描述：启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止，“剪贴簿查看器”将无法与远程计算机共享信息。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32clipsrv.exe
其他补充：
操作建议：停止并禁用

9. 服务名称： EventSystem
显示名称： COM+ Event System
服务描述：支持系统事件通知服务 (SENS)，此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。如果停止此服务，SENS 将关闭，而且不能提供登录和注销通知。如果禁用此服务，显式依赖此服务的其他服务都将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

10. 服务名称： COMSysApp
显示名称： COM+ System Application
服务描述：管理基于组件对象模型 (COM+) 的组件的配置和跟踪。如果停止该服务，则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务，则任何明确依赖它的服务都将无法启动。
可执行文件路径：C:WINDOWSsystem32dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
其他补充：
操作建议：手动

11. 服务名称： Browser
显示名称： Computer Browser
服务描述：维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

12. 服务名称： CryptSvc
显示名称： Cryptographic Services
服务描述：提供三种管理服务: 编录数据库服务，它确定 Windows 文件的签名；受保护的根服务，它从此计算机添加和删除受信根证书颁发机构的证书；和密钥(Key)服务，它帮助注册此计算机获取证书。如果此服务被终止，这些管理服务将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：自动

13. 服务名称： DCOMLaunch
显示名称： DCOM Server Process Launcher
服务描述：为 DCOM 服务提供启动的功能。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k DcomLaunch
其他补充：
操作建议：自动
14. 服务名称：Dfs
显示名称：Distributed File System
服务描述：将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32Dfssvc. exe
其他补充：
操作建议：停止或禁用

15. 服务名称： Dhcp
显示名称： DHCP Client
服务描述：为此计算机注册并更新 IP 地址。如果此服务停止，计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用，所有明确依赖它的服务都将不能启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k NetworkService
其他补充：
操作建议：停止并禁用

16. 服务名称： TrkWks
显示名称：Distributed Link Tracking Client
服务描述：启用客户端程序跟踪链接文件的移动，包括在同一 NTFS 卷内移动，移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS。如果此服务被停用，这台计算机上的链接将不会维护或跟踪。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

17. 服务名称： TrkSvr
显示名称：Distributed Link Tracking Server
服务描述：启用同域内的分布式链接跟踪客户端服务，以便在同域内提供更高的可靠性和有效维护。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

18. 服务名称： MSDTC
显示名称： Distributed Transaction Coordinator
服务描述：协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务，则不会发生这些事务。如果禁用此服务，显式依赖此服务的其他服务将无法启动。
可执行文件路径：C:WINDOWSsystem32msdtc.exe
其他补充：
操作建议：自动

19. 服务名称： Dnscache
显示名称： DNS Client
服务描述：为此计算机解析和缓冲域名系统(DNS)名称。如果此服务被停止，计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用，任何明确依赖它的服务将不能启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k NetworkService
其他补充：
操作建议：自动

20. 服务名称： Ersvc
显示名称： Error Reporting Service
服务描述：收集、存储和向 Microsoft 报告异常应用程序崩溃。如果此服务被停用，那么错误报告仅在内核错误和某些类型用户模式错误时发生。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k WinErr
其他补充：
操作建议：停止并禁用

21. 服务名称： Eventlog
显示名称： Event Log
服务描述：启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
可执行文件路径：C:WINDOWSsystem32services.exe
其他补充：
操作建议：自动

22. 服务名称： NtFrs
显示名称： File Replication
服务描述：允许在多个服务器上自动同时复制和管理文件。如果此服务被终止，文件复制将不会进行并且服务器也不会同步。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32ntfrs.exe
其他补充：
操作建议：停止并禁用

系统服务篇第一部分列出了服务显示名称首字母为A到G的所有服务，并给出了服务名、服务描述、可执行文件路径等相应的信息，并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议，让管理员既可以知道怎么设置服务，又可以知道服务的用途，防止了在特殊应用下有的服务需要开启而关闭的情况。
23. 服务名称： helpsvc
显示名称： Help and Support
服务描述： 启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

24. 服务名称： HTTPFilter
显示名称： HTTP SSL
服务描述： 此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32lsass.exe
其他补充：
操作建议： 手动

25. 服务名称： IISADMIN
显示名称： IIS Admin Service
服务描述： 允许此服务器管理 Web 和 FTP 服务。如果此服务被停止，服务器将不能运行 Web，FTP，NNTP，SMTP 站点，或配置 IIS。如果此服务被禁止，任何明确依赖于它的服务都将不能启动。
可执行文件路径：C:WINDOWSsystem32inetsrvinetinfo.exe
其他补充：
操作建议： 自动

26. 服务名称： ImapiService
显示名称： IMAPI CD-Burning COM Service
服务描述： 用 Image Mastering Applications Programming Interface (IMAPI) 管理 CD 录制。如果停止该服务，这台计算机将无法录制 CD。如果该服务被禁用，任何依靠它的服务都无法启动。
可执行文件路径：C:WINDOWSsystem32imapi.exe
其他补充：
操作建议： 停止并禁用

27. 服务名称： Cisvc
显示名称： Indexing Service
服务描述： 本地和远程计算机上文件的索引内容和属性；通过灵活查询语言提供文件快速访问。
可执行文件路径：C:WINDOWSsystem32cisvc.exe
其他补充：
操作建议： 停止并禁用

28. 服务名称： IsmServ
显示名称： Intersite Messaging
服务描述： 启用在运行 Windows Server 的站点间交换消息。如果此服务被停用，消息将不交换，而且不计算其他服务的站点路由信息。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSSystem32ismserv.exe
其他补充：
操作建议： 停止并禁用

29. 服务名称： PolicyAgent
显示名称： IPSEC Services
服务描述： 提供 TCP/IP 网络上客户端和服务器之间端对端的安全。如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32lsass.exe
其他补充：
操作建议：自动

30. 服务名称： kdc
显示名称： Kerberos Key Distribution Center
服务描述： 在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSSystem32lsass.exe
其他补充：
操作建议： 停止并禁用

31. 服务名称： LicenseService
显示名称： License Logging
服务描述： 监视和记录操作系统部分(如 IIS、终端服务器和文件/打印)的客户端访问授权，也监视和记录不属于操作系统的产品，如 SQL 和 Exchange Server。如果这个服务被停止，会执行授权操作，但是不会得到监视。
可执行文件路径：C:WINDOWSSystem32llssrv.exe
其他补充：
操作建议： 停止并禁用

32. 服务名称： dmserv
显示名称： Logical Disk Manager
服务描述： 监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议： 自动

33. 服务名称： dmadmin
显示名称： Logical Disk Manager Administrative Service
服务描述： 配置硬盘驱动器和卷。此服务只为配置处理运行，然后终止。
可执行文件路径：C:WINDOWSSystem32dmadmin.exe /com
其他补充：
操作建议： 手动

34. 服务名称： Messenger
显示名称： Messenger
服务描述： 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议： 停止并禁用

35. 服务名称： MSSEARCH
显示名称： Microsoft Search
服务描述： 基于结构化和半结构化数据的内容以及属性生成全文索引，以便可以对数据进行快速的单词搜索
可执行文件路径："C:Program FilesCommon FilesSystemMSSearchBinmssearch.exe"
其他补充：
操作建议： 手动

36. 服务名称： swprv
显示名称： Microsoft Software Shadow Copy Provider
服务描述： 管理卷影复制服务制作的基于软件的卷影副本。如果该服务被停止，将无法管理基于软件的卷影副本。如果该服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k swprv
其他补充：
操作建议： 停止并禁用

37. 服务名称： MSSQLSERVER
显示名称： MSSQLSERVER
服务描述： 微软SQL SERVER数据库
可执行文件路径：C:PROGRA~1MICROS~1MSSQLbinnsqlservr.exe
其他补充：
操作建议： 自动

38. 服务名称： MSSQLServerADHelper
显示名称： MSSQLServerADHelper
服务描述：
可执行文件路径：C:Program FilesMicrosoft SQL Server80ToolsBinnsqladhlp.exe
其他补充：
操作建议： 手动

39. 服务名称： Netlogon
显示名称： Net Logon
服务描述： 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32lsass.exe
其他补充：
操作建议： 手动

40. 服务名称： mnmsrvc
显示名称： NetMeeting Remote Desktop Sharing
服务描述： 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。
可执行文件路径：C:WINDOWSsystem32mnmsrvc.exe
其他补充：
操作建议： 停止并禁用

41. 服务名称： Netman
显示名称： Network Connections
服务描述： 管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。如果服务被禁用，您将无法查看局域网和远程连接而且任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议： 手动

42. 服务名称： NetDDE
显示名称： Network DDE
服务描述： 为在同一台计算机或不同计算机上运行的程序提供动态数据交换 (DDE) 的网络传输和安全。如果此服务被终止，DDE 传输和安全将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32netdde.exe
其他补充：
操作建议： 停止并禁用

43. 服务名称： NetDDEdsdm
显示名称： Network DDE DSDM
服务描述： 管理动态数据交换 (DDE) 网络共享。如果此服务终止，DDE 网络共享将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32netdde.exe
其他补充：
操作建议： 停止并禁用

44. 服务名称： Nla
显示名称： Network Location Awareness (NLA)
服务描述： 收集并保存网络配置和位置信息，并在信息改动时通知应用程序。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用

45. 服务名称： xmlprov
显示名称： Network Provisioning Service
服务描述：在域内为自动网络提供管理 XML 配置文件。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动

46. 服务名称： NtLmSsp
显示名称： NT LM Security Support Provider
服务描述：为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
可执行文件路径：C:WINDOWSsystem32lsass.exe
其他补充：
操作建议：手动

系统服务篇第二部分列出了服务显示名称首字母为H到N的所有服务，并给出了服务名、服务描述、可执行文件路径等相应的信息，并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议，让管理员既可以知道怎么设置服务，又可以知道服务的用途，防止了在特殊应用下有的服务需要开启而关闭的情况。
47. 服务名称： SysmonLog
显示名称： Performance Logs and Alerts
服务描述： 收集本地或远程计算机基于预先配置的计划参数的性能数据，然后将此数据写入日志或触发警报。如果此服务被终止，将不会收集性能信息。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32smlogsvc.exe
其他补充：
操作建议：停止并禁用
48. 服务名称： PlugPlay
显示名称： Plug and Play
服务描述： 使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。
可执行文件路径：C:WINDOWSsystem32services.exe
其他补充：
操作建议：自动
49. 服务名称： Spooler
显示名称： Print Spooler
服务描述：管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSsystem32spoolsv.exe
其他补充：
操作建议：停止并禁用
50. 服务名称： ProtectedStorage
显示名称： Protected Storage
服务描述：保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSsystem32lsass.exe
其他补充：
操作建议：自动
51. 服务名称： RasAuto
显示名称： Remote Access Auto Connection Manager
服务描述：检测连接到远程网络或计算机的不成功尝试并提供其它连接方法。如果此服务停止，用户将需要手动连接。如果此服务被禁用，任何明确依赖它的服务都将不能启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动
52. 服务名称： Rasman
显示名称： Remote Access Connection Manager
服务描述：管理从此计算机到 Internet 或其它远程网络的拨号和虚拟专用网络(VPN)连接。如果此服务停止，操作系统可能无法正常工作。如果此服务被禁用，任何明确依赖它的服务都将不能启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动
53. 服务名称： RDSessMgr
显示名称： Remote Desktop Help Session Manager
服务描述：管理并控制远程协助。如果此服务被终止，远程协助将不可用。终止此服务前，请参见“属性”对话框上的“依存关系”选项卡。
可执行文件路径：C:WINDOWSsystem32sessmgr.exe
其他补充：
操作建议：手动
54. 服务名称： RpcSs
显示名称： Remote Procedure Call (RPC)
服务描述：作为终结点映射程序(endpoint mapper)和 COM 服务控制管理器使用。如果此服务被停用或禁用，使用 COM 或远程过程调用(RPC)服务的程序工作将不正常。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k rpcss
其他补充：
操作建议：自动
55. 服务名称： RpcLocator
显示名称： Remote Procedure Call (RPC) Locator
服务描述：启用使用 RpcNs* 系列 API 的远程过程调用 (RPC) 客户端来定位 RPC 服务器。如果此服务被停用或禁用，使用 RpcNs* APIs 的 RPC 客户端可能无法定位服务器或无法启动。Windows 内部不使用 RpcNs* APIs。
可执行文件路径：C:WINDOWSsystem32locator.exe
其他补充：
操作建议：手动
56. 服务名称： RemoteRegistry
显示名称： Remote Registry
服务描述：使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k regsvc
其他补充：
操作建议：停止并禁用
57. 服务名称： NtmsSvc
显示名称： Removable Storage
服务描述：管理和编录可移动媒体并操作自动化可移动媒体设备。如果这个服务被停止，依赖可移动存储的程序，如备份和远程存储将放慢速度。如果禁用这个服务，所有专依赖这个服务的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
58. 服务名称： RSoPProv
显示名称： Resultant Set of Policy Provider
服务描述：启用用户连接到远程计算机，访问该计算机的 Windows Management Instrumentation 数据库，并验证计算机的当前组策略设置或在应用设置之前检查它。如果此服务被停用，远程验证将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSsystem32RSoPProv.exe
其他补充：
操作建议：手动
59. 服务名称： RemoteAccess
显示名称： Routing and Remote Access
服务描述：为此网络上的客户端和服务器启用多重协议 LAN 到 LAN，LAN 到 WAN，虚拟专用网络(VPN)和网络地址转换(NAT)路由服务。如果此服务停止，这些服务将不可用。如果此服务被禁用，任何明确依赖它的服务都将不能启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：禁用
60. 服务名称： seclogon
显示名称： Secondary Logon
服务描述：启用替换凭据下的启用进程。如果此服务被终止，此类型登录访问将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：禁用
61. 服务名称： SamSs
显示名称： Security Accounts Manager
服务描述：此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。
可执行文件路径：C:WINDOWSsystem32lsass.exe
其他补充：
操作建议：手动
62. 服务名称： lanmanserver
显示名称： Server
服务描述：支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
63. 服务名称： ShellHWDetection
显示名称： Shell Hardware Detection
服务描述：为自动播放硬件事件提供通知。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动
64. 服务名称： SCardSvr
显示名称： Smart Card
服务描述：管理此计算机对智能卡的取读访问。如果此服务被终止，此计算机将无法取读智能卡。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32SCardSvr.exe
其他补充：
操作建议：停止并禁用
65. 服务名称： sacsvr
显示名称： Special Administration Console Helper
服务描述：允许管理员使用紧急管理服务远程访问命令行提示符。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动

66. 服务名称： SQLSERVERAGENT
显示名称： SQLSERVERAGENT
服务描述：
可执行文件路径：C:Program FilesMicrosoft SQL ServerMSSQLbinnsqlagent.exe -i MSSQLSERVER
其他补充：
操作建议：自动
67. 服务名称： SENS
显示名称： System Event Notification
服务描述：监视系统事件并通知 COM+ 事件系统“订阅者(subscriber)”。如果此服务被停用，COM+ 事件系统“订阅者”将接收不到系统事件通知。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
68. 服务名称： Schedule
显示名称： Task Scheduler
服务描述：使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：手动
69. 服务名称： LmHosts
显示名称： TCP/IP NetBIOS Helper
服务描述：提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:WINDOWSsystem32svchost.exe -k LocalService
其他补充：
操作建议：停止并禁用
70. 服务名称： TapiSrv
显示名称： Telephony
服务描述：提供客户端的 TAPI 支持，以便程序控制电话设备和基于 IP 的语音连接。如果此服务被停用，所有依赖于此的程序功能将削弱。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k tapisrv
其他补充：
操作建议：停止并禁用
71. 服务名称： TlntSvr
显示名称： Telnet
服务描述：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户端，包括基于 UNIX 和 Windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。
可执行文件路径：C:WINDOWSsystem32tlntsvr.exe
其他补充：
操作建议：停止并禁用
72. 服务名称： TermService
显示名称： Terminal Services
服务描述：允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务 – 停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机，请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k termsvcs
其他补充：
操作建议：自动
73. 服务名称： Tssdis
显示名称： Terminal Services Session Directory
服务描述：允许用户连接请求路由到群集中合适的终端服务器。如果这个服务被停止，连接请求会被路由到第一个可用服务器。
可执行文件路径：C:WINDOWSSystem32tssdis.exe
其他补充：
操作建议：停止并禁用
74. 服务名称： Themes
显示名称： Themes
服务描述：为用户提供使用主题管理的经验。
可执行文件路径：C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
系统服务篇第一部分列出了服务显示名称首字母为O到T的所有服务，并给出了服务名、服务描述、可执行文件路径等相应的信息，并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议，让管理员既可以知道怎么设置服务，又可以知道服务的用途，防止了在特殊应用下有的服务需要开启而关闭的情况。