易用性
Microsoft也通過服務來實現Windows的易用性,比如XP的統一界面、Plug and Play 自動硬件識別和安裝、無線網絡的自動配置(Wireless Zero Configuration服務)等。Windows Audio 服務管理基於Windows程序的音頻設備;Shell Hardware Detection服務可以讓Windows在插入CD或DVD光盤時自動識別裡面的內容並啟動相應的軟件進行播放;Task Scheduler服務則允許你在計算機上配置和制定自動任務的日程;而Logical Disk Manager服務會監測和監視新硬盤驅動器並向邏輯磁盤管理器管理服務發送卷的信息以便配置。
如何優化 不必要的後台服務占用了寶貴的系統資源,並給你的電腦帶來了安全風險,關掉它們可以讓電腦運行得更快、更安全。對於一般用戶而言,Windows服務顯得相當復雜,但只要遵循一定的優化規則,你也完全可以輕松地完成這項工作。首先關閉所有你不需要的服務,然後保證必要的服務都處於正常啟動狀態。要注意的是:當你對Windows服務進行重新配置時,你是在對操作系統的核心進行操作,所以要特別小心。在做任何改動之前,你都要對重要的數據進行備份,最好能夠對系統分區進行一次完整地備份(比如用Ghost程序)。如果你不想親自完成這項優化工作,也有個偷懶的辦法,那就是利用我們後面將要討論的腳本自動進行優化。
禁用哪些服務 如果你的Windows XP還沒有升級到SP2,首先你可以禁用Messenger服務和Alerter服務,這兩項服務原先是為管理員發布消息和錯誤警報而設計的,實際上很少被用到(尤其是對於家庭用戶就更是沒用了),反而會被垃圾信息發送者和黑客濫用。如果你經常收到彈出的消息窗口向你推銷某種商品,那正是Messenger服務惹的禍。關閉服務的方法是依次打開“控制面板” “管理工具” “服務”,雙擊某個想要關閉的服務或者選中某個服務後按右鍵選擇“屬性”,然後在服務的屬性窗口中將它的啟動類型改為“已禁用”,這樣在下次電腦啟動後它們就不會被自動啟動了。如果你的Windows XP已經升級到SP2,這兩個服務是會被自動禁用的,不過你最好檢查一下,如果沒有禁用的話就將它們禁用。
接下去可以考慮禁用的服務是Error Reporting Service,它會搜集來自其他服務和應用程序的錯誤消息。如果你經常碰到系統崩潰,會很熟悉它彈出的錯誤報告窗口,它允許你把錯誤發送給Microsoft公司,但實際上多數人都不會選擇這樣做,所以還是關掉它吧。
Remote Registry服務顧名思義是用於遠程操作注冊表的,你真的需要進行這種具有相當風險的操作嗎?如果沒有的話,那還是將它禁用吧。
Task Scheduler服務允許你在計算機上配置和制定自動任務的日程,但並不是所有人都習慣這樣安排任務,如果你不想自動對系統進行備份,那就關閉它。你也不必擔心你的殺毒軟件不能正常自動更新,因為殺毒軟件的任務安排通常不是由Task Scheduler服務控制的。
Telnet服務最好也關掉,這項協議會在網絡傳輸中使用明碼傳遞ID和密碼,因此很不安全,所以還是關掉為好。
如果有疑問 如果你無法確定某個自動啟動的服務是否需要,最好不要將其禁用。在這種情況下,把它們的啟動狀態改為“手動”是個最好的選擇。
還要注意一點,很多服務之間存在著依存關系。比如,如果關閉Remote Procedure Call服務,Task Scheduler服務就無法工作。依次打開“控制面板” “管理工具” “服務”,雙擊某個想要關閉的服務或者選中某個服務後按右鍵選擇“屬性”,在屬性窗口中選擇“依存關系”選項卡,就可以看到某項服務依賴於哪些其他的服務(如圖7所示)。
如果有疑問 如果你無法確定某個自動啟動的服務是否需要,最好不要將其禁用。在這種情況下,把它們的啟動狀態改為“手動”是個最好的選擇。
還要注意一點,很多服務之間存在著依存關系。比如,如果關閉Remote Procedure Call服務,Task Scheduler服務就無法工作。依次打開“控制面板” “管理工具” “服務”,雙擊某個想要關閉的服務或者選中某個服務後按右鍵選擇“屬性”,在屬性窗口中選擇“依存關系”選項卡,就可以看到某項服務依賴於哪些其他的服務(如圖7所示)。
是否禁用那些易用性服務,你可以根據自己的情況而定,如果你寧願自己手動去檢查和安裝Windows補丁,那就可以將Automatic Updates服務關閉。如果你喜歡使用第三方的防火牆,可以將Security Center服務關閉。如果你並不使用無線連接,則可以將Wireless Zero Configuration服務關閉。
必需啟動的服務 表格中的帶“○”標記的條目表示這些服務如果不被其他服務所依賴的話,也可以將其禁用。禁用這些服務可能會使Windows XP的某些功能無法使用,比如如果禁用Cryptographic Services,就無法支持帶有簽名的程序,也無法使用安全證書。
如果你特別執著地想知道哪些服務可以被關閉,可以關閉某項服務,然後觀察關閉前後Windows XP系統是否能夠正常運行,如果一切正常,那就可以將其禁用。試驗時比較好的做法是不要將服務禁用,而是把它們的啟動狀態改為“手動”。我們曾經嘗試在一台機器上關閉了所有的服務,只保留了Remote Procedure Call服務。我們發現,操作系統還可以正常啟動,你也可以把它當作打字機使用,但其他功能基本上無法使用,操作系統會彈出無數的窗口告訴你沒有操作的權限。
安全服務 即便你按照上述的步驟對Windows XP服務進行了“瘦身”,但使用Netstat和Nmap掃描時你仍然會發現三個對外開放的服務:Epmap(端口135)、Microsoft-ds(端口445)和NetbiOS-ssn(端口139),這三項服務都和網絡有關。畢竟我們對Windows XP服務進行“瘦身”並不是為了徹底切斷與網絡的聯系。
Windows XP在默認狀態下會打開NetbiOS和SMB(Server Message Block,服務器信息塊),這些協議用於用戶共享文件、磁盤、目錄和打印機。如果你不需要它們,可以用後面討論的辦法關閉它們。先來看看如何關閉Netbios,打開“控制面板” “網絡連接”中的網卡設置窗口,進入TCP/IP設置項的高級設置窗口,在WINS選項卡中選擇“禁用TCP/IP上的NetBIOS”,這樣一來就可以去掉NetbiOS-ssn服務(如圖8所示)。
再來看Endpoint Mapper,它是由DCOM控制的。依次選擇“開始” “運行”,然後運行dcomcnfg.exe,在窗口左邊依次選擇“組件服務” “計算機” “我的電腦”,然後按鼠標右鍵並在上下文菜單中選擇“屬性” “默認屬性”,取消選擇“在此計算機上啟用分布式COM (E)”,然後在“默認協議”選項卡中刪除所有的協議。這樣重新啟動之後,你會發現Epmap也不見了。
如果想徹底關閉SMB服務,你需要在注冊表中創建一個新的值HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\NetBT\Paramters\SMBDeviceEnabled,將此值設置為0。
使用自動腳本 如果不想自己一項項地去調整各項服務,可以考慮一下使用預定義好的腳本程序。這裡介紹的腳本來自www.ntsvcfg.de,這是一家專注於優化Windows安全配置的德國網站。你需要下載的腳本程序是http://www.ntsvcfg.de/svc2kxp.cmd。下載之後雙擊該文件即可,它會打開一個Windows命令行窗口(如圖9所示),列出了4個服務配置選項:LAN、Standard、ALL、Restore。你可以按數字鍵進行選擇,LAN適用於需要使用局域網的機器,Standard適用於帶有Internet連接但沒有局域網的獨立機器,ALL則使用了該網站討論的最為激進的優化方案。其中的Standard比較符合本文推薦的優化方案,這個腳本會將Security Accounts Manager、TCP/IP NetBIOS Helper和Windows Management Instrumentation的運行狀態改為“手動”。如果你對修改後的效果不滿意,可以選擇Restore恢復之前的設置。除了不能關閉NetbiOS之外,這個腳本的自動化程度非常不錯。由於該腳本使用了sc.exe來啟動和終止服務,如果你的機器上沒有sc.exe,可以到http://www.dynawell.com/reskit/microsoft/win2000/sc.zip下載並解壓到Windows/System32下即可。
更進一步的考慮 如果想要防止黑客入侵,僅僅對Windows服務進行優化是不夠的。你仍然需要安裝Internet防火牆和防病毒軟件,經常更新你的操作系統和應用軟件。升級到Windows XP SP2是個好主意,它內置了防火牆,安全性有了不小的進步。如果你對Internet Explorer和Outlook Express並不是非常依賴的話,可以考慮使用其他的網絡浏覽工具和e-mail客戶端,比如基於Mozilla的Firefox和Thunderbird,國產的郵件客戶端Foxmail也非常不錯,這些軟件都可以免費獲得。它們通常要比Microsoft的產品更安全,原因很簡單,黑客會把注意力集中於最流行的軟件。
進行日常工作時使用普通帳戶而不是管理員帳戶登錄是個很好的習慣,不過Microsoft和很多應用軟件開發商的疏忽給這種使用習慣帶來了不小的障礙,很多廠商只是在管理員權限下對產品功能進行測試,因此普通帳戶往往需要擴展權限才能正常工作。
重要的Windows XP服務 ● Workstation:創建和維護到遠程服務的客戶端網絡連接。如果你想要訪問Internet或者局域網,就必須啟動該服務
● Computer Browser:維護網絡上計算機的更新列表,它還管理文件和打印機共享信息。
● Print Spooler:管理本地或網絡共享的打印機。
● Protected Storage:提供對敏感數據(如私鑰)的保護性存儲,以便防止未授權的服務或用戶對其的非法訪問。
● Cryptographic Services:它確定Windows文件的簽字、受保護的根服務,添加和刪除受信根證書機構的證書和密鑰服務,幫助計算機獲取證書。
● Messenger:傳輸客戶端和服務器之間的 NET SEND 和 Alerter 服務消息,此服務與 Windows Messenger 無關。如果服務停止,Alerter 消息不會被傳輸。經常被垃圾信息發送者濫用,最好將其禁用。
● Plug and Play:使計算機在極少或沒有用戶輸入的情況下能識別並適應硬件的更改,終止或禁用此服務會造成系統不穩定。
● Remote Procedure Call (RPC):因沖擊波(Worm.Blaster)病毒的發作而鼎鼎大名,但卻是Windows必需的通信服務(圖6)。
● System Restore Service:Windows用它來備份系統文件以便需要時進行恢復。
● Alerter:通知所選用戶和計算機有關系統管理級警報,容易被攻擊者濫用,最好將其關閉。
重要的服務管理工具 ● 服務控制器:Windows XP Resource Kit中自帶的命令行軟件sc.exe可以用來對配置Windows服務並能提供很多有用的背景知識。
● Netstat:這條Windows XP自帶的命令能夠顯示當前所有被激活的網絡連接。
● TCPvIEw:與Windows XP自帶的Netstat功能類似,但提供了圖形化的界面(www.sysinternals.com)。
● Nmap:帶有豐富的安全設置分析工具和端口掃描器的安全分析軟件(www.insecure.org)。
● SuperScan:適用於Windows平台的端口掃描器,易於使用(http://www.foundstone.com/resources/freetools.htm)。
● Languard:帶有強大分析功能的安全分析和網絡監測工具,30天內可試用(www.gfi.com/languard)。
● Portqry:來自Microsoft的免費端口掃描工具(http://support.microsoft.com/default.ASPx?scid=kb;zh-cn;310099)。
