解析Windows 2008系统的数百个服务（2）

struggle

SSDP Discovery
发现了使用 SSDP 发现协议的网络设备和服务，如 UPnP 设备。同时还公告了运行在本地计算机上的 SSDP 设备和服务。如果停止此服务，基于 SSDP 的设备将不会被发现。如果禁用此服务，任何显式依赖于它的服务都将无法启动。该服务在网络中搜索使用了SSDP发现协议的一些设备，比如一些非即插即用的设备，如果没有相关设备，可以关了它。
\\\\Windows\\system32\\svchost.exe -k LocalService
Superfetch
维护和提高一段时间内的系统性能。毫无疑问，这是Vista最好的功能之一，可以维护和提高系统的性能，但请关闭。
\\\\Windows\\system32\\svchost.exe -kLocalSystemNetworkRestricted
System Event Notification Service
监视系统事件并通知订户这些事件的 COM+ 事件系统。SENS提供了一个唯一的系统追踪、通知的机制，使用于系统的登陆、设备连接、网络连接、电源和内部事件的订阅及通知，不建议设置成关闭。
\\\\Windows\\system32\\svchost.exe -k netsvcs
Tablet PC Input Service
启用 Tablet PC 笔和墨迹功能，非Table PC及不使用手写板就可以关掉它。
\\\\Windows\\System32\\svchost.exe -kLocalSystemNetworkRestricted
Task Scheduler
使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止，这些任务将无法在日程时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。已经不单是以前操作系统的计划任务调度管理器了，Vista和第三方的应用都会用到，你无法关闭它。
\\\\Windows\\system32\\svchost.exe -k netsvcs
TCP/IP NetBIOS Helper
提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。主要是支持 NetBIOS 名称的解析，使得你可以在计算机之间进行文件和打印机共享、网络登录。不需要可关闭。
\\\\Windows\\system32\\svchost.exe -kLocalServiceNetworkRestricted
Telephony
提供电话服务 API (TAPI)支持，以便各程序控制本地计算机上的电话服务设备以及通过 LAN 同样运行该服务的服务器上的设备。为应用程序提供 TAPI 的支持，很多时候这个服务会自己启动。保持默认。
\\\\Windows\\System32\\svchost.exe -k NetworkService
Terminal Services
允许用户以交互方式连接到远程计算机。远程桌面和终端服务器依赖此服务。若要防止远程使用此计算机，请清除“系统”属性控制面板项目的“远程”选项卡上的复选框。管理员账户的远程桌面、远程协助、远程终端服务或远程管理功能，很多时候这个服务会自动启动。可以关闭，但建议保持默认。
\\\\Windows\\System32\\svchost.exe -k NetworkService
Terminal Services Configuration
终端服务配置服务(TSCS)负责需要 SYSTEM 上下文的与所有终端服务和远程桌面相关的配置和会话维护活动。这些包括每会话临时文件夹、TS 主题和 TS 证书。管理员的远程桌面或进行远程管理设置，如果不打算使用这些功能，可以设置成禁用。
\\\\Windows\\System32\\svchost.exe -k netsvcs
Terminal Services UserMode Port Redirector
允许为 RDP 连接重定向打印机/驱动程序/端口，支持远程连接上的打印机/驱动器/端口重定向功能，如果不打算使用远程功能，建议设置成禁用。
\\\\Windows\\System32\\svchost.exe -kLocalSystemNetworkRestricted
Themes
为用户提供使用主题管理的经验。为了XP风格就要先启动这个服务，使用Aero更是如此。除非你用经典界面，否则开启它。
\\\\Windows\\System32\\svchost.exe -k netsvcs
Thread Ordering Server
提供特定期间内一组线程的排序执行。提供特别的线程排序和调度服务，如果用不上，可以设置成手动，但不建议设置成自动。
\\\\Windows\\system32\\svchost.exe -k LocalService
TPM Base Services
允许访问受信任的平台模块(TPM)，该模块向系统组件和应用程序提供基于硬件的加密服务。如果此服务已停止或禁用，应用程序将无法使用 TPM 保护的密钥。TPM是TrustedPlatform Module的缩写，TPM平台会提供基于硬件的加密服务，如果关闭服务，那么Vista或应用程序可能无法访问或使用加密的密钥，可以设置成手动。
\\\\Windows\\System32\\svchost.exe -k LocalService
UPnP Device Host
允许 UPnP 设备宿主在此计算机上。如果停止此服务，则所有宿主的 UPnP 设备都将停止工作，并且不能添加其他宿主设备。如果禁用此服务，则任何显式依赖于它的服务将都无法启动。这是系统中通用即插即用的设备的宿主程序，它将作为通用即插即用的设备和操作系统通讯和工作的主体，不建议甚至成禁用。
\\\\Windows\\system32\\svchost.exe -k LocalService
User Profile Service
此服务负责加载和卸载用户配置文件。如果已停止或禁用此服务，用户将无法再成功登录或注销，应用程序在获取用户数据时可能会出问题，而且为接收配置文件事件通知注册的组件将无法接收这些通知。建议不要动它，否则会麻烦。
\\\\Windows\\system32\\svchost.exe -k netsvcs
Virtual Disk
提供用于磁盘、卷、文件系统和存储阵列的管理服务。提供存储设备软件卷和硬件卷的管理，不要将其设置成禁用。
\\\\Windows\\System32\\vds.exe
Volume Shadow Copy
管理并执行用于备份和其它目的的卷影复制。如果此服务被终止，备份将没有卷影复制，并且备份会失败。如果此服务被禁用，任何依赖它的服务将无法启动。卷影复制，在Vista中和备份功能一起被调用，不建议设置成禁用。
\\\\Windows\\system32\\vssvc.exe
WebClient
使基于 Windows 的程序能创建、访问和修改基于 Internet 的文件。如果此服务被停止，这些功能将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。简单的说如果你不需要Web目录或类似功能，就可以关掉它。
\\\\Windows\\system32\\svchost.exe -k LocalService
Windows Audio
管理基于 Windows 的程序的音频。如果此服务被停止，音频设备和效果将不能正常工作。如果此服务被禁用，任何依赖它的服务将无法启动。除非你不想让电脑发声，否则就要自动启动它。
\\\\Windows\\System32\\svchost.exe -kLocalServiceNetworkRestricted
Windows Audio Endpoint Builder
管理 Windows 音频服务的音频设备。如果此服务被停止，音频设备和效果将不能正常工作。如果此服务被禁用，任何依赖它的服务将无法启动，除非你不想让电脑发声，否则就要自动启动它。
\\\\Windows\\System32\\svchost.exe -kLocalSystemNetworkRestricted
Windows Backup
提供 Windows 备份和还原功能。Windows备份和版本恢复功能，一直都不好使，可以关掉。
\\\\Windows\\System32\\svchost.exe -k SDRSVC
Windows CardSpace
安全启用数字标识符的创建、管理和公开。像Smart Card一样的个人标识管理，.NET Framework 3.0提供的一个WCF编程模型。一般用户关闭。
\\\\Windows\\Microsoft.NET\\Framework\\v3.0\\WindowsCommunication Foundation\\infocard.exe
Windows Color System
WcsPlugInService 服务宿主第三方 Windows 颜色系统颜色设备模型和 gamut 映射模型插件模块。这些插件模块是 Windows 颜色系统基线颜色设备和 gamut 映射模型的特定于供应商的扩展。停止或禁用 WcsPlugInService 服务将禁用此扩展功能，并且 Windows 颜色系统将使用其基线模型处理过程，而不是供应商所需的处理过程。这可能导致颜色显示不正确。色彩管理模块，Vista支持外挂的色彩管理。默认即可。
\\\\Windows\\system32\\svchost.exe -k wcssvc
Windows Connect Now - Config Registrar
作为注册器，为注册人颁发网络凭据。如果禁用该服务，则 Windows 立即连接 - 配置注册器将不能正常运行。默认即可。
\\\\Windows\\System32\\svchost.exe -k LocalService
Windows Defender
扫描计算机以找出可能不需要的软件，设置扫描，并获取最新可能不需要软件定义。Vista新功能之一，可以加强安全，防范木马和一些恶意程序，最主要的是免费。不需要可以关闭。
\\\\Windows\\System32\\svchost.exe -k secsvcs
Windows Driver Foundation - User-mode DriverFramework
管理用户模式驱动程序主机进程。管理用户模式驱动的主进程，如果关闭系统会出现很多问题，建议不要轻易设置成禁用
。
\\\\Windows\\system32\\svchost.exe -kLocalSystemNetworkRestricted
Windows Error Reporting Service
允许在程序停止运行或停止响应时报告错误，并允许提供现有解决方案。还允许为诊断和修复服务生成日志。如果此服务被停止，则错误报告将无法正确运行，而且可能不显示诊断服务和修复的结果。没人喜欢错误，对你和微软而言，错误报告传送过去都没什么用。关了它。
\\\\Windows\\System32\\svchost.exe -k WerSvcGroup
Windows Event Collector
此服务将管理对支持 WS-Management 协议的远程源中事件的永久订阅。这包括 Windows Vista 事件日志、硬件以及启用 IPMI 的事件源。该服务将转发的事件存储在本地活动日志中。如果停止或禁用此服务，将无法创建事件订阅，并且无法接受转发的事件。这个主要是性能收集分析和系统监控中的一些功能使用，也是Vista新的事件管理工具的支持服务。默认即可。
\\\\Windows\\system32\\svchost.exe -k NetworkService
Windows Event Log
此服务管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。停止该服务可能危及系统的安全性和可靠性。Vista和其他系统程序经常会用到，这个不是必须的服务，建议设置成Manual。默认即可。
\\\\Windows\\System32\\svchost.exe-k LocalServiceNetworkRestricted
Windows Firewall
Windows 防火墙通过阻止未授权用户通过 Internet 或网络访问您的计算机来帮助保护计算机，不用多说什么了。如果不需要就禁用。
\\\\Windows\\system32\\svchost.exe -kLocalServiceNoNetwork
Windows Image Acquisition (WIA)
为扫描仪和照相机提供图像采集服务。专门为扫描仪和数码相机等提供图像捕获和获取功能。有就开着，没有就关。
\\\\Windows\\system32\\svchost.exe -k imgsvc

Windows Installer
添加、修改和删除以 Windows Installer (*.msi)程序包提供的应用程序。如果禁用了此服务，任何完全依赖它的服务不会被启动。MSI安装包的服务，许多安装程序都需要这个服务，设置成手动就好了。
\\\\Windows\\system32\\msiexec /V
Windows Management Instrumentation
提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止，多数基于 Windows 的软件将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。系统管理服务， Vista启动初始化都会用到，即使设置成Manual，也会被启动。不要去动它。
\\\\Windows\\system32\\svchost.exe -knetsvcs
Windows Media Center Extender Service
允许 Windows Media Center 扩展器设备查找并连接到计算机。通过网络为Windows Media Extender（像ＸＢｏｘ）等传送多媒体文件，建议禁止，除非你需要这个功能。
\\\\Windows\\system32\\svchost.exe -kLocalService
Windows Media Center Receiver Service
电视或 FM 广播接收的 Windows Media Center 服务。建议禁止，除非你需要这个功能。
\\\\Windows\\ehome\\ehRecvr.exe
Windows Media Center Scheduler Service
在 Windows Media Center 中开始和停止录制电视节目。建议禁止，除非你需要这个功能。
\\\\Windows\\ehome\\ehsched.exe
Windows Media Center Service Launcher
如果在 Windows Media Center 中启用了电视，则在开机时启动 Windows Media Center 计划程序和 Windows Media Center 接收程序服务。建议禁止，除非你需要这个功能。
\\\\Windows\\system32\\svchost.exe -kLocalServiceNoNetwork
Windows Media Player Network Sharing Service
使用通用即插即用设备与其他网络播放机和媒体设备共享 Windows Media Player 媒体库。建议禁止，除非你需要这个功能
\\\\Program Files\\Windows MediaPlayer\\wmpnetwk.exe
Windows Modules Installer
启用 Windows 更新和可选组件的安装、修改和移除。如果此服务被禁用，则此计算机的 Windows 更新的安装或卸载可能会失败。Windows Updates 需要的，如果你不使用Windows Updates，那么可以禁止这个服务。
\\\\Windows\\servicing\\TrustedInstaller.exe
Windows Presentation Foundation Font Cache3.0.0.0
通过缓存常用的字体数据来优化 Windows 演示基础(WPF)应用程序的性能。WPF 应用程序将启动此服务(如果尚未启动)。可以禁用此服务，尽管这样做会降低 WPF 应用程序的性能。NET Framework 3.0中的WPF应用必须的，一般这个服务启动，证明你的机器上运行了新的WPF的应用。默认即可。
\\\\Windows\\Microsoft.Net\\Framework\\v3.0\\WPF\\PresentationFontCache.exe
Windows Process Activation Service
Windows Process Activation Service (WAS)为通过消息激活的应用程序提供进程激活、资源管理和运行状况管理服务。不明。建议默认。
\\\\Windows\\system32\\svchost.exe -kiissvcs
Windows Remote Management (WS-Management)
Windows 远程管理(WinRM)服务执行 WS-Management 协议来实现远程管理。WS-Management 是用于远程软件和硬件管理的标准 Web 服务协议。WinRM 服务侦听网络上的 WS-Management 请求并对它们进行处理。通过组策略或使用 winrm.cmd 命令行工具的侦听程序，来配置 WinRM 服务，以使其可通过网络侦听。WinRM 服务提供对 WMI 数据的访问并启用事件集合。事件集合及对事件的订阅需要服务处于运行状态。传输 WinRM 消息时使用 HTTP 和 HTTPS 协议。WinRM 服务不依赖于 IIS ，但在同一计算机上预配置为与 IIS 共享端口。WinRM 服务保留 /wsman URL 前缀。若要防止与 IIS 发生冲突，管理员应确保 IIS 上承载的所有网站均不使用 /wsman URL 前缀。允许从远程进行计算机管理或信息收集。建议设置为手动。
\\\\Windows\\System32\\svchost.exe-k NetworkService
Windows Search
为文件、电子邮件以及其他内容(通过可扩展性 API)提供内容索引和属性缓存。该服务响应文件和电子邮件通知，从而对已修改的内容编制索引。如果该服务已停止或被禁用，资源管理器将无法显示项目的虚拟文件夹视图，在资源管理器中搜索将回退为速度较慢的逐项搜索。新的桌面搜索功能，默认范围太小，扩大了又很耗费资源，可以试试。建议手动。
\\\\Windows\\system32\\SearchIndexer.exe/Embedding
Windows Time
维护在网络上的所有客户端和服务器的时间和日期同步。如果此服务被停止，时间和日期的同步将不可用。如果此服务被禁用，任何明确依赖它的服务都将不能启动。和服务器同步时间的，一般我都关闭它。
\\\\Windows\\system32\\svchost.exe -kLocalService
Windows Update
启用检测、下载和安装 Windows 和其他程序的更新。如果此服务被禁用，这台计算机的用户将无法使用 Windows Update 或其自动更新功能，并且这些程序将无法使用 Windows Update Agent (WUA) API。Windows Update 这个功能取决于你了，它和Background Intelligent Transfer Service、Modules Installer服务关联。
\\\\Windows\\system32\\svchost.exe -knetsvcs
WinHTTP Web Proxy Auto-Discovery Service
WinHTTP 实现了客户端 HTTP 堆栈并向开发人员提供 Win32 API 和 COM 自动化组件以供发送 HTTP 请求和接收响应。此外，通过执行 Web 代理自动发现(WPAD)协议，WinHTTP 还提供对自动发现代理服务器配置的支持。WPAD是一种协议，可以让HTTP客户端自动发现代理服务器配置，该服务使应用程序支持WPAD协议的应用，建议设置成Manual和Disabled，因为大多数的情况下不会用到。建议关闭。
\\\\Windows\\system32\\svchost.exe -kLocalService
Wired AutoConfig
此服务对以太网接口执行 IEEE 802.1X 身份验证。其实很多的时候，还是要自己设置的。默认即可。
\\\\Windows\\system32\\svchost.exe -kLocalSystemNetworkRestricted
WLAN AutoConfig
该服务枚举 WLAN 适配器，管理 WLAN 连接和配置文件。很多的时候，还是要自己设置的，不用无线网络可以关掉。
\\\\Windows\\system32\\svchost.exe -kLocalSystemNetworkRestricted
WMI Performance Adapter
Provides performance library information from Windows ManagementInstrumentation (WMI) providers to clients on the network. This service onlyruns when Performance Data Helper is activated. 微软的解释一堆英文，当每个中国人都过了英语六级吗？WMI信息转换，为性能工具、事件工具提供服务，建议手动。
\\\\Windows\\system32\\wbem\\WmiApSrv.exe
Workstation
使用 SMB 协议创建并维护客户端网络与远程服务器之间的连接。如果此服务已停止，这些连接将无法使用。如果此服务已禁用，任何明确依赖它的服务将无法启动。创建和管理到远程服务器的网络连接，一般在网络环境中，特别是局域网中是一个必须的服务，不需访问别人的共享资源时可以设为手动。
\\\\Windows\\System32\\svchost.exe -kLocalService