Windows服务功能作用详解，相关进程说明，关闭开放端口的方法、让系统更快

(共4部分内容）

爱罗忧 2011-0106

Windows XP服务详细介绍，以及服务对应的程序名，对应的网络开放端口说明

注：欲查看或关闭、启动服务，可以右键点“我的电脑”→管理→服务与应用程序→服务。注：服务是否禁用或启动，需根据自身情况选择。

Alerter　　作用：某些UPS管理程序需要。　　推荐：禁用。　　进程：svchost.exe。

Application Layer Gateway Service　　作用：Messenger、Windows等某些防火墙支持。　　推荐：如果没有使用系统的防火墙则可禁用。　　进程：alg.exe。

Application Management　　作用：与软件安装删除无多大关系。　　推荐：可禁用。

Automatic Updates　　作用：系统的自动更新。　　推荐：自动。如果使用其它软件来更新，或者自己到windows网站下载更新则可禁用。　　进程：wuauclt.exe。

Background Intelligent Transfer Service　　作用：系统的自动更新断点续传，类似于下载软件的断点续传。　　推荐：同上。

ClipBook　　作用：剪贴簿查看远程计算机的剪贴簿支持（剪贴簿查看器可打开网络中其它计算机的剪贴簿内容码）　　推荐：禁用。　　进程：clipsrv.exe。

COM+ Event System　　作用：系统的备份程序需要。　　推荐：因为禁用会产生大量日志，所以自动。

COM+ System Application　　作用：系统的备份程序需要，组件服务需要。　　推荐：禁用。如果要用到组件服务来修改系统某一个功能时再打开即可。　　进程：dllhost.exe。

Computer Browser　　作用：局域网中本机申请作为主控浏览服务器。主控浏览器用于在局网共享中提供共享计算机列表。　　推荐：可禁用。如果此计算机是在一个存在多台计算机的局网环境中，且有局网共享文件的需要，则可自动。

Cryptographic Services　　作用：本机存在多个用户时共享IE插件需要，自动更新可能需要，WHQL认证需要。

DCOM 服务器进程启动器　　作用：系统防火墙需要，QQ游戏也需要。　　推荐：自动。

DHCP Client　　作用：网卡自动获取IP地址。修复网卡IP时需要。　　推荐：如果手工指定了网卡的IP地址或者使用本机ADSL拨号则可禁用。　　进程：svchost.exe。　　端口：由svchost.exe发起的UDP 68。

Distributed Link Tracking Client

Distributed Transaction Coordinator　　作用：组件服务的MSDTC需要。　　推荐：禁用。

DNS Client　　作用：DNS解析（用于将http://www.sina.com/这样的网址解析成IP地址以便访问），修复网卡IP地址需要。　　推荐：禁用。禁用后将由软件发起DNS解析而不是通过系统来代替软件解析。　　进程：svchost.exe。　　端口：由svchost.exe发起的UDP常用端口。

Error Reporting Service　　作用：将错误报告给微软，与本机显示错误信息无关。　　推荐：禁用。

Event Log　　作用：事件查看器。　　推荐：自动。可禁用，但事件日志对于诊断系统有很大的作用。

Extensible Authentication Protocol Service　　推荐：可禁用。　　进程：svchost.exe。

Fast User Switching Compatibility　　作用：快速用户切换需要。本服务被禁用并不会影响切换用户，但可能会造成某些程序在切换用户后被关闭。　　推荐：如果本机不是多人使用或者不会用到“注销”中的“切换用户”则可禁用。

FTP Publishing　　作用：FTP服务器。此服务由添加删除组件－nternet信息服务IIS-文件传输协议FTP后出现。　　推荐：因默认是无此组件的，如果需要本机提供FTP服务则可自动。　　端口：由inetinfo.exe开放的TCP 21端口。

Health Key and Certificate Management Service　　推荐：可禁用。

Help and Support　　作用：开始菜单的帮助需要，远程协助需要。与远程桌面、软件或系统的“？”、软件的帮助无关。　　推荐：禁用。如果要用到“帮助”或者远程协助则可手动。

HTTP SSL　　推荐：可禁用。　　进程：svchost.exe。

Human Interface Device Access　　作用：USB键盘的功能键、USB音箱的音量调节支持。　　推荐：无则禁用。

IIS Admin　　作用：服务器支持（FTP、邮件、web网站等）。此服务由添加删除组件－Internet信息服务IIS-某个服务后出现。　　推荐：因默认是无此服务的。此服务是WEB、FTP、邮件服务的基础服务，有需要则自动。　　进程：inetinfo.exe。　　端口：由inetinfo.exe开放的TCP常用端口。　　端口：在FTP、邮件、WEB中启用了任何一个服务后，会由inetinfo.exe发起UDP3000+随机端口。

IMAPI CD-Burning COM Service　　作用：通过系统或Windows Media Player刻录光盘支持、显示空白光盘容量支持。与其它刻录软件如Nero刻录光盘无关。　　推荐：禁用。　　进程：imapi.exe。

Indexing Service　　作用：加快本机、网站、局网中以文件内容包含的关键字来搜索的速度。　　推荐：禁用。　　进程：cidaemon.exe。

Indexing Service　　作用：本机红外线设备支持（一般笔记本上有带此设备）。　　推荐：如无需要则禁用。

IPSEC Services　　推荐：可禁用。　　端口：由lsass.exe发起的UDP 500、UDP 4500。　　端口：由lsass.exe发起，无端口号。

IPv6 Helper Service　　作用：P2P服务IPV6支持。此服务由添加删除组件－网络服务-点对点后出现。　　端口：由svchost.exe发起的UDP常用端口2个。　　端口：由svchost.exe发起的UDP随机端口1个。

Logical Disk Manager　　作用：计算机管理－磁盘管理支持。　　推荐：禁用，需要用到时再打开即可。

Logical Disk Manager Administrative Service　　作用：同上。　　推荐：同上。　　进程：dmadmin.exe。

Machine Debug Manager　　作用：安装Office后出现此服务。脚本调试用。　　推荐：禁用。

Messenger　　作用：某些广告会需要此服务。　　推荐：禁用。

MS Software Shadow Copy Provider　　作用：系统备份程序需要。　　推荐：禁用。　　进程：dllhost.exe。

Net Logon　　作用：登录域服务器支持。　　推荐：不在域网络中则禁用（一般的局网是工作组，某些公司可能是域局域网）。

NetMeeting Remote Desktop Sharing　　作用：通过NetMeeting访问本机支持。　　推荐：禁用。

Network Access Protection Agent

Network Connections　　作用：禁用后无法查看网络属性、断线不会有反应、连接共享不可用、不能传建新连接、不能拨号连接，但对网络的使用不会有影响。　　推荐：手动或自动。

Network DDE　　推荐：禁用。

Network DDE DSDM　　推荐：禁用。　　进程：netdde.exe。

Network Location Awareness (NLA)　　作用：禁用后，如果网卡断线则须重启计算机才能连接上。　　推荐：手动或自动。

Network Provisioning Service　　作用：无线网卡可能需要。

NT LM Security Support Provider　　推荐：禁用。

Office Source Engine　　作用：Office的更新需要。

Performance Logs and Alerts　　推荐：禁用。

Plug and Play　　作用：即插即用。此服务比较重要。　　推荐：自动。

Portable Media Serial Number Service　　作用：网络多媒体防盗版保护。　　推荐：禁用。

Print Spooler　　作用：打印和传真支持。　　推荐：如有需要则自动，否则禁用。　　进程：spoolsv.exe。

Protected Storage　　作用：智能卡登录、访问私钥、SSL等。　　推荐：禁用。

QoS RSVP　　作用：为网络保留20%带宽。　　推荐：禁用。　　进程：rsvp.exe。　　端口：rsvp.exe发起，无端口号。

Remote Access Auto Connection Manager　　作用：某些DSL可能需要此服务来建立连接。　　推荐：禁用。

Remote Access Connection Manager　　作用：建立连接及拨号。　　推荐：如果使用路由器，且无需本机ADSL连接拨号则可禁用。

Remote Desktop Help Session Manager　　作用：远程协助需要。与远程桌面无关。　　推荐：禁用。　　进程：sessmgr.exe。

Remote Procedure Call (RPC)　　作用：核心服务。　　推荐：自动。

Remote Procedure Call (RPC) Locator　　作用：管理RPC名称服务数据库。　　推荐：禁用。　　进程：locator.exe。

Remote Registry　　作用：远程修改本机注册表，与远程桌面无关。　　推荐：禁用。　　进程：svchost.exe。

Removable Storage　　作用：计算机管理－可移动存储管理需要（光驱权限分配等）。移动硬盘可能会需要。　　推荐：可禁用。

RIP Listener　　作用：由添加删除组件－网络服务-RIP侦听器后出现。　　端口：由svchost.exe发起的UDP 520。

Routing and Remote Access　　作用：提供路由服务。　　推荐：禁用。　　端口：由svchost.exe发起的UDP常用端口。

Secondary Logon　　作用：当前用户对程序使用“运行方式...”来使用另一个用户执行此程序时需要（称为替换凭据）。　　推荐：如无此需要则禁用，可能会用到则手动。

Security Accounts Manager　　作用：比较重要，停止将导致很多服务无法启动。　　推荐：自动。

Security Center　　作用：安全中心。停用将无法启动安全中心，不影响系统更新、防火墙、杀毒软件，但不再监视这些软件是否启动。　　推荐：禁用。

Server　　作用：局网访问本机的共享文件、以及计算机管理－共享文件夹、查看本机用户的隶属关系时需要。此服务对应网卡属性中绑定的“网络文件和打印机共享”（删除它即会删除该服务，但不启用该组件并不会禁用该服务）。关闭此服务也可能会关闭默认共享，关闭此服务不会影响自己访问局网中其它计算机的共享文件。　　推荐：如需提供局网共享则自动。因默认共享对于系统既是一个漏洞但也比较重要，是否关闭此服务自己决定。

Shell Hardware Detection　　作用：移动存储器（包括光盘、U盘等）自动播放支持，禁用后，插入光盘或U盘等将不会弹出打开方式的选择筐。　　推荐：禁用。

Simple Mail Transfer Protocol (SMTP)　　作用：邮件服务器。由添加删除组件－Internet信息服务IIS-SMTP Service 后出现。　　推荐：默认是无此服务的，如果需要则自动。　　端口：由inetinfo.exe开放的TCP 25。

Simple TCP/IP Services　　作用：由添加删除组件－网络服务-简单TCP/IP服务 后出现。　　进程：tcpsvcs.exe。　　端口：由tcpsvcs.exe开放的TCP 7、UDP 7。　　端口：由tcpsvcs.exe开放的TCP 9、UDP 9。　　端口：由tcpsvcs.exe开放的TCP 13、UDP 13。　　端口：由tcpsvcs.exe开放的TCP 17、UDP 17。　　端口：由tcpsvcs.exe开放的TCP 19、UDP 19。

Smart Card　　作用：智能卡支持。　　推荐：如无则禁用。　　进程：scardsvr.exe。

SNMP Service　　作用：由添加删除组件－管理和监视工具-简单网络管理协议后出现。　　进程：snmp.exe。　　端口：由snmp.exe发起的UDP 161。

SNMP Trap Service　　作用：由添加删除组件－管理和监视工具-简单网络管理协议 后出现。　　进程：snmptrap.exe。　　端口：由snmptrap.exe发起的UDP 162。

SSDP Discovery Service　　作用：网络打印机支持、网络邻居属性中发现UPNP设备支持。此服务在添加删除组件中Internet网关设备发现和控制客户端存在时启动。　　推荐：禁用。不会影响软件中的使用UPNP。　　进程：svchost.exe。　　端口：由svchost.exe发起的UDP 1900。　　端口：由svchost.exe发起的UDP 1900（127.0.0.1）。

System Event Notification　　作用：系统备份程序、同步程序需要。　　推荐：因禁用会产生大量事件日志，因此自动。

System Restore Service　　作用：系统还原。　　推荐：如停用了系统还原则可禁用（即使不禁用也不会启动）。

Task Scheduler　　作用：自动更新、任务计划、自动校时等需要自动按时间执行的程序都需要。　　推荐：自动。

TCP/IP NetBIOS Helper　　推荐：禁用。　　进程：svchost.exe。

TCP/IP Print Server　　作用：由添加删除组件－其它网络文件和打印服务 后出现。　　进程：tcpsvcs.exe。　　端口：由tcpsvcs.exe开放的TCP 515。

Telephony　　作用：拨号连接（也包括本机ADSL拨号）支持。　　推荐：如使用路由器等无需本机执行ADSL拨号的可禁用。

Telnet　　作用：远程用户使用Telnet命令登录并使用此计算机。　　推荐；禁用。　　进程：tlntsvr.exe。　　端口：由tlntsvr.exe开放的TCP 23。

Terminal Services　　作用：远程桌面、远程协助、快速用户切换、用户替换数据凭据 等支持。　　推荐：如以上都没有则可禁用，否则手动。

Themes　　作用：桌面主题。停止后将使用WIN98\2000那样的经典外观。　　推荐：自动。

Uninterruptible Power Supply　　作用：管理UPS支持，主要是台式机等使用数据线连接UPS进行管理时需要，与笔记本使用电池无关。　　推荐：禁用。

Universal Plug and Play Device Host　　作用：UPNP支持。禁用不影响软件使用UPNP。　　推荐：禁用。

Volume Shadow Copy　　作用：系统备份程序需要。　　推荐：可禁用。　　进程：vssvc.exe。

WebClient　　作用：WEB发布向导。　　推荐：禁用。　　进程：svchost.exe。

Windows Audio　　作用：声音。停用后将无声音。　　推荐：自动。

Windows Firewall/Internet Connection Sharing (ICS)　　作用：Windows防火墙。主控浏览服务器也需要。　　推荐：如果不使用Windows防火墙则可禁用。否则自动。

Windows Image Acquisition (WIA)　　作用：我的电脑中使用摄像头。与软件（例如QQ等聊天工具）使用摄像头无关。　　推荐：因在有摄像头的情况下禁用此服务会产生大量事件日志，因此手动。如无摄像头则可禁用。　　进程：svchost.exe。

Windows Installer　　作用：安装*.msi软件时需要（比如Office、IIS等由*.msi组成的软件，虽然它们主执行程序是exe）　　推荐：手动。　　进程：msiexec.exe。

Windows Management Instrumentation　　作用：比较重要。设备和软件之间的管理。　　推荐：自动。

Windows Management Instrumentation Driver Extensions　　作用：与驱动程序间交换管理信息。　　推荐：禁用。

Windows Time　　作用：自动校时。　　推荐：如未使用Internet自动校时则可禁用。否则自动。　　进程：svchost.exe。　　端口：由svchost.exe发起的UDP 123。　　端口：由svchost.exe发起的UDP 123（127.0.0.1）。

Windows User Mode Driver Framework　　推荐：可禁用。　　进程：wdfmgr.exe。

Wired AutoConfig　　作用：可能与无线网卡支持有关。　　进程：svchost.exe。

Wireless Zero Configuration　　作用：可能与无线网卡支持有关。

WMI Performance Adapter　　推荐：可禁用。　　进程：wmiapsrv.exe。

Workstation　　作用：访问局网共享支持。对应网卡属性中绑定的“网络客户端”（删除它即会删除该服务，但不启用该组件并不会禁用此服务）。禁用后点击网上邻居工作组会无反应。禁用此服务不会影响其它计算机访问本机共享。　　推荐：如果无局网共享的需要则禁用。

World Wide Web Publishing　　作用：WEB网站。由添加删除组件－Internet信息服务IIS-万维网服务后出现。　　推荐：本服务默认是不安装的。在有需要在自己机子上建立网站的才会安装此组件并出现本服务，因此有需要的则自动。　　端口：由inetinfo.exe开放的TCP 80。　　端口：由inetinfo.exe开放的TCP 443。

对等名解析协议对等网络对等网络标识管理器对等网络组身份验证　　作用：P2P服务。这些服务由添加删除组件－网络服务-点对点 后出现。　　进程：只有这些服务的基础服务“对等网络标识管理器”才有一个进程：svchost.exe。

服务对应的相关进程说明、任务管理器中出现的进程对应的服务名

　　将以上的服务对应的进程罗列出来，以便在使用任务管理器时可选择性的结束某些进程，或禁用相应服务来结束进程。·SVCHOST.EXE　　Alerter　　DHCP Client　　DNS Client　　Extensible Authentication Protocol Service　　HTTP SSL　　Remote Registry　　SSDP Discovery Service　　TCP/IP NetBIOS Helper　　WebClient　　Windows Image Acquisition (WIA)　　Windows Time　　Wired AutoConfig　　对等网络标识管理器

·ALG.EXE　　Application Layer Gateway Service

·CLIPSRV.EXE　　ClipBook

·CIDAEMON.EXE　　Indexing Service

·DLLHOST.EXE　　COM+ System Application　　MS Software Shadow Copy Provider

·DMADMIN.EXE　　Logical Disk Manager Administrative Service

·IMAPI.EXE   IMAPI CD-Burning COM Service

·INETINFO.EXE　　IIS Admin

·LOCATOR.EXE　　Remote Procedure Call (RPC) Locator

·MSIEXEC.EXE　　Windows Installer

·NETDDE.EXE　　Network DDE DSDM

·RSVP.EXE　　QoS RSVP

·SCARDSVR.EXE　　Smart Card

·SESSMGR.EXE　　Remote Desktop Help Session Manager

·SNMP.EXE　　SNMP Service

·SNMPTRAP.EXE　　SNMP Trap Service

·SPOOLSV.EXE　　Print Spooler

·TCPSVCS.EXE　　Simple TCP/IP Services　　TCP/IP Print Server

·TLNTSVR.EXE　　Telnet

·VSSVC.EXE　　Volume Shadow Copy

·WDFMGR.EXE　　Windows User Mode Driver Framework

·WUAUCLT.EXE　　Automatic Updates

·WMIAPSRV.EXE　　WMI Performance Adapter

关闭常见端口的方法办法

　　前言：从以上服务介绍得知，某些服务会打开特定端口，而开放端口越多，系统安全性越差。下面将介绍哪些端口是需要的、它的作用，以及关闭方法。　　要查看本系统开放了哪些端口，除了软件外，也可以通过系统的自带命令来查看：“开始菜单”“运行”“cmd”，打开命令行，输入“netstat -ano”回车即可看到。在Local Address列中，列出的是“IP地址:端口”，State显示“LISTENING”即为监听，表示本机开放了这些端口，其它端口是本机某个程序在使用网络时发起的端口，并非开放的端口，当然处于监听状态的端口如果已经连接或正在连接也显示为其它状态。如果无状态则表示只是本机某个程序发起占用了此端口，但未开放。　　开放端口（即监听端口）是比较危险的，常常被黑客利用。非开放端口是在本机某个程序使用网络时使用的端口，危险性不是很高，但也需提防。

TCP 7、9、13、17、19：　　类型：开放端口。　　关闭：对应Simple TCP/IP Services服务。无需要可禁用此服务。

TCP 21：　　类型：开放端口。高危。　　关闭：FTP服务器。对应FTP Publishing服务，无需要则禁用此服务。

TCP 23：　　类型：开放端口。高危。　　关闭：对应Telnet服务，无需要则禁用此服务。

TCP 25：　　类型：开放端口。高危。　　关闭：MAIL邮件服务器。对应Simple Mail Transfer Protocol (SMTP)服务，无需要则禁用此服务。

TCP 80：　　类型：开放端口。高危。　　关闭：网站服务。对应World Wide Web Publishing服务，无需要则禁用此服务。此端口也可能是其它软件造成的。

TCP 135：　　类型：开放端口。比较危险。　　关闭：此端口由RPC服务使用，不过RPC服务比较重要，不能禁用。可通过修改注册表来关闭此端口，使用regedit.exe注册表编辑器，

打开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole。设置"EnableDCOM"="N"。

打开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole。删除DCOM Protocols的值ncacn_ip_tcp。　　方法2：运行中输入dcomcnfg打开组件服务，展开“计算机”，右键点“我的电脑”－属性，“默认属性”选项卡下取消“在此计算机上启用分布式COM”的勾。并在“默认协议”选项卡删除“面向连接的TCP/IP”。

TCP 139：　　类型：开放端口。比较危险。　　关闭：此端口是局网共享文件所需要的。给局网其它计算机提供共享文件。如需关闭可：右键“网络邻居”－属性－右键“本地连接”的属性，双击打开项目“Internet协议(TCP/IP)”－高级－“WINS”选项卡，选择“禁用TCP/IP上的NetBIOS”。

TCP 443：　　类型：开放端口。高危。　　关闭：网站安全连接服务。对应World Wide Web Publishing服务，无需要则禁用此服务。

TCP 445：　　类型：开放端口。　　关闭：局网共享需要，和TCP139作用相同。可使用注册表编辑器regedit.exe打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]，添加或修改键值SMBDeviceEnabled为00000000。

TCP 515：　　类型：开放端口。　　关闭：对应TCP/IP Print Server服务，无需要则可禁用此服务。

TCP 1024～5000　　类型：非开放端口。常用。　　关闭：常用端口，可以不管。如果是开放的端口则可能是IIS Admin服务提供，无需要则禁用此服务。

TCP 3389：　　类型：开放端口。高危。　　关闭：此端口为远程桌面提供，无需要则关闭：我的电脑－属性－远程，去掉“允许用户远程连接到此计算机”的勾。也可通过注册表修改远程桌面使用的端口号。

UDP 7、9、13、17、19：　　类型：开放端口。　　关闭：对应Simple TCP/IP Services服务。无需要可禁用此服务。

UDP 68：　　类型：非开放端口。　　关闭：无需要。本机获取IP地址时使用的端口。对应对方端口67。对应服务：DHCP Client。

UDP 123：　　类型：非开放端口。　　关闭：不使用自动校时则可禁用Windows Time服务。

UDP 137：　　类型：非开放端口？。　　关闭：此服务是局网共享需要的。在局网共享中提供计算机名称和IP地址查询，与UDP 138一起主要提供在局网共享中建立连接，而传输信息、文件则需要通过TCP 139、445。如需关闭参见TCP 139。

UDP 138：　　类型：非开放端口？。　　关闭：此端口为提供局网共享所需要的，在局网中提供计算机名浏览。如果关闭参见TCP 139。

UDP 161、162：　　类型：非开放端口。　　关闭：对应SNMP Service服务，无需要可禁用此服务。

UDP 445：非开放端口。　　关闭：参见TCP 445。

UDP 520：　　类型：非开放端口。　　关闭：对应RIP Listener服务，无需要可禁用此服务。

UDP 1024～5000　　类型：如果为非开放端口则为正常。　　关闭：如果在未使用网络时有此端口则可能是DNS Client服务，无需过问（也可关闭此服务）。

UDP 1900：　　类型：非非开放端口。　　关闭：UPNP支持，可禁用SSDP Discovery Service服务。不会影响使用UPNP。

UDP 500、4500：　　类型：非开放端口。　　关闭：对应IPSEC Services服务，无需要则可禁用此服务。

精简进程，让系统更快速禁用或删除一些不必要的进程、程序

　　前言：一台明明配置不错的电脑，使用起来却很慢，开机启动速度慢，打开程序慢，看网页也慢，而且还经常出错死机。而一台配置不怎么样的计算机，却用起来很顺畅。最根本的原因在于，每个电脑系统中所安装的程序不同，设置不同，导致进程上有很大差别。排除病毒原因，两台配置一样的电脑，进程少的、占用CPU和内存少的电脑，速度一定比另外一台快。　　如何提高自己计算机的速度，并且减少死机的次数？精简进程！

　　首先按Ctrl+Alt+Del键打开任务管理器，切换到“进程”选项卡，并勾选下方的“显示所有用户的进程”，下方会列出进程数总和，看看自己的系统一共有多少个进程。我的电脑是18个（防火墙和杀毒软件占4个）。提交更改为264MB。进程分别是：csrss.exectfmon.exeexplorer.exelsass.exeservices.exesmss.exesvchost.exe(4个)SystemSystem Idle Processtaskmgr.exewinlogon.exe

以下罗列出系统中常见的正常进程，以方便区别正常进程和软件、非法进程：