商业源码 VISTA操作系统
Windows Vista是微软Windows操作系统的一个版本。微软最初在2005年7月22日正式公布了这一名字,之前操作系统开发代号Longhorn。Windows Vista的内部版本是60(即Windows NT 60),正式版的Build是606000。在2006年11月8日,Windows Vista开发完成并正式进入批量生产。此后的两个月仅向MSDN用户、电脑软硬件制造商和企业客户提供。在2007年1月30日,Windows Vista正式对普通用户出售,同时也可以从微软的网站下载。Windows Vista距离上一版本Windows XP已有超过五年的时间,这是Windows版本历史上间隔时间最久的一次发布。
根据微软表示,Windows Vista包含了上百种新功能;其中较特别的是新版的图形用户界面和称为“Windows Aero”的全新界面风格、加强后的搜寻功能(Windows Indexing Service)、新的多媒体创作工具(例如Windows DVD Maker),以及重新设计的网络、音频、输出(打印)和显示子系统。Vista也使用点对点技术(peer-to-peer)提升了计算机系统在家庭网络中的示通信能力,将让在不同计算机或装置之间分享文件与多媒体内容变得更简单。针对开发者方面,Vista使用NET Framework 30版本,比起传统的Windows API更能让开发者能简单写出高品质的程序。
微软也在Vista的安全性方面进行改良。Windows XP最受到批评的一点是系统经常出现安全漏洞,并且容易受到恶意软件、计算机病毒或缓存溢出等问题的影响。为了改善这些情形,微软总裁比尔·盖茨在2002上半年宣布在全公司实行“可信计算的政策”(Trustworthy Computing initiative),这个活动目的是让全公司各方面的软件开发部门一起合作,共同解决安全性的问题。微软宣称由于希望优先增进Windows XP和Windows Server 2003的安全性,因此延误了Vista的开发。
在开发期间,有许多团体发表了关于Vista的各种负面预测。包括延迟的开发时间、限制更严格的授权方式、限制拷贝受保护的数位媒体而加入的数项新数字版权管理技术,以及新功能的实用性(例如用户帐户控制)。
[编辑本段]升级为Window Vista 的常见问题
1C盘须转换为NTFS格式。
2主分区容量(C盘容量)须调至20GB左右(微软官方推荐40GB为佳)。
3原有的一切文件全被删除,即使有文件,但打不开,只得删除。
4Windows Vista 和网络整个融合在了一起,大多数新程序以及欢迎中心、Windows Media Center 都需要网络支持,否则将无法使用。
5注意兼容性问题。
6要重新创建一个账户,并设置相应的密码。
[编辑本段]版本
测试版本
Windows Vista会向参加Beta Experience或是MSDN使用者以及TechNet的Windows Live ID使用者发布测试信息。
Beta 1:2005年7月27日
CTP:由2005年12月20日,Build 5270
Beta 2:2006年5月23日,Build 53844,提供给所有Windows Live ID下载。
Release Candidate 1:2006年9月1日Build 5600,提供给所有Windows Live ID下载。
Release Candidate 2:2006年10月6日,Build 5744,开放下载时间只有几天,之后即换回RC1的连结,所有Windows Live ID均可下载。
Release To Manufacture:2006年11月8日,原定10月25日发布,因发现错误延后,Build 6000,仅提供MSDN订阅者、TechNet使用者下载。
正式版本
商用高级版于2006年11月30日全球同步发布大量授权版本,提供给中小企业用户。
零售版本包含旗舰版、家庭高级版、家庭普通版、商用版皆在2007年1月30日开始贩售。
由于计算机用户对计算机的需求和使用模式千差万别,微软提供了不同版本的 Windows Vista 以满足这些需求。与 Windows XP 后期的各种变异版本(某些功能仅适用于某些版本的 Windows)不同,Windows Vista 的功能分布是为了提供“好的、更好的和最好的”选项来满足消费者的需求。
与现今存在的两类 Windows XP(家庭版和专业版)密切对应, Windows Vista。Windows Vista 也分为家庭版和企业版两个大类。
家庭/消费类用户版包含四种版本:
● Windows Vista Starter(不在中国供应)
● Windows Vista Home Basic
● Windows Vista Home Premium
● Windows Vista Ultimate
企业用户版包含两种版本:
● Windows Vista Business
● Windows Vista Enterprise
除了这六种版本之外,还提供了其他的选择以满足一些特殊地区用户的需求。例如,在位于欧盟的一些地区,将提供标记为 Windows Vista Home Basic N 和 Windows Vista Business N 的额外版本,这些版本但不会包括 Windows Media Player 和其他与媒体相关的功能。在韩国也会提供一些类似的、减少了功能的版本。
各版本的配置要求
Windows Vista 家庭普通版:
1 GHz 32 位 (x86) 或 64 位 (x64) 处理器
512 MB 系统内存
具有至少 15 GB 可用空间的 20 GB 硬盘
支持 DirectX 9 图形和 32 MB 图形内存卡
DVD-ROM 驱动器
音频输出
Internet 访问能力(可能需要支付费用)
Windows Vista 家庭高级版,Windows Vista 旗舰版:
1 GHz 32 位 (x86) 或 64 位 (x64) 处理器
1 GB 系统内存
具有至少 15 GB 可用空间的 40 GB 硬盘
DirectX 9 图形支持和128MB显卡内存:
WDDM 驱动程序
128(如果64MB的话勉强还可以)MB
图形内存硬件支持 Pixel Shader 20
每像素 32 位比较版本
DVD-ROM 驱动器
音频输出
Internet 访问能力(可能需要支付费用)
Windows Vista 商用版:
DirectX 9 图形需硬件支持 Pixel Shader 20
比较版本
[编辑本段]应用程序
Windows Internet Explorer:新的Internet Explorer版本70将缺省在Windows Vista内,提供更好的安全性。
Windows Defender:控制Windows所有的软件之安全性,并且提供扫除间谍软件功能。
Windows DVD Maker:让使用者自行编辑及视讯烧录至DVD。
Windows Mail:是Outlook Express的后续版本,在功能性和操作的便捷性方面都有所改善
Windows Media Center:从Windows XP Media Center Edition移植的Windows Media Center,配合Windows Vista提供更深的蓝色接口以及新的字型“Calibri”。 Windows Media Player:新的Windows Media Player版本110将缺省在Windows Vista内,提供更好的多媒体享受,同时也包含快速搜寻。
Windows Meeting Space:邀请工作群组透过局域网路进行视讯、语音或文字会议。
Windows Movie Maker:编辑视讯,数位以及音乐制作**。
Windows 日历:从Windows Live Mail Desktop(Windows Mail for XP)分割出来的功能,Windows Mail不再提供行事历功能。可编辑行事历及设定约会、行程时间使其提醒。
Windows 照片库:检视、组织,也可对做基本亮度、对比、色相等编辑。
Windows Contact:与使用者资料夹内的连络人资料夹连结。
Windows 传真和扫描:不需安装其他软件,即可传真及扫描文件。整合过的传真和扫描使用更方便。
Windows Sidebar:第一次在Windows出现的资讯看板可在在萤幕侧边显示各式小工具。
Windows Ultimate Extras:仅提供给使用Windows Vista Ultimate的使用者取得为Windows Vista量身订做的程序。
Windows Aero:(仅能在Windows Vista Home Premium、Windows Vista Business、Windows Vista Enterprise Windows Vista Ultimate中开启此特效)Windows Aero从Windows Vista开始使用的重新设计用户界面,透明玻璃感让使用者一眼贯穿。"Aero"这个字是首字母缩略字,即是Authentic(真实)、Energetic(动感)、Reflective(具反射性)及Open(开阔)的缩略字,意为 Aero 界面是具立体感、令人震撼、具透视感和阔大的用户界面。 Windows Aero 可用于使用兼容图形适配器并运行 家庭高级版、商用版、旗舰版或 企业版的 Windows Vista 的 PC,它给您的 PC 带来全新的外观。 Windows Aero 提供高质量的用户体验,大大方便您看到并处理信息,并提供更加流畅,更加稳定的桌面体验。Windows home basic可以采用破解主题方式获取aero特效。
Bitlocker:加密磁盘分区,一般需要TPM支持。在不带有兼容TPM的计算机上,BitLocker可以提供加密,而不提供使用TPM锁定密钥的其他安全。
[编辑本段]解决应用程序兼容性问题
方法 1:用兼容模式运行程序
选择兼容模式选项后,Windows Vista 会在您运行该特定程序时模拟所选的操作系统。
要用兼容模式运行该程序,请按照下列步骤操作:1 单击“开始”,然后在“开始搜索”框中键入该程序的名称。
2 在“程序”列表中,右键单击该程序名称,然后单击“属性”。
3 在“兼容性”选项卡上,单击以选中“用兼容模式运行这个程序”复选框。
4 在列表中选择一个操作系统,然后单击“确定”。
如果该程序仍无法正常工作,请使用下一个方法。
方法 2:以管理员身份运行程序
要以管理员身份运行程序,请按照下列步骤操作:1 单击“开始”,然后在“开始搜索”框中键入该程序的名称。
2 在“程序”列表中,右键单击您正在进行故障排除的程序,然后单击“以管理员身份运行”。如果系统提示您输入管理员密码或进行确认,请键入密码或单击“继续”。
如果此时该程序正常运行,则说明该程序要求具有管理权限才能运行。有关如何以管理权限强制程序自动运行的更多信息,请参见以下 Microsoft 知识库文章中的“步骤 2:以管理员身份运行程序”部分:
931362 (http://supportmicrosoftcom/kb/931362/) 对安装后没有按预期方式运行的程序进行故障排除的高级方法
如果该程序仍无法正常工作,请使用下一个方法。
方法 3:与程序供应商或硬件制造商联系
如果某个程序无法在 Windows Vista 中运行或者在安装 Windows Vista 之后某个硬件没有按预期方式工作,请与程序供应商或硬件制造商联系以获得有关如何解决该问题的指导。一般情况下,软件供应商的网站会提供一个支持部分,您可以使用它来搜索可能从相应程序收到的错误消息等等。
方法 4: 安装DirectX90c
软件供应商经常会通过提供以下解决方案之一来解决不兼容问题: 可使该程序的当前版本与 Windows Vista 兼容的一个更新
该程序与 Windows Vista 兼容的一个版本
有关使该程序与 Windows Vista 兼容的任何配置更改的信息
有关如何与硬件及软件供应商联系的信息,请单击下面列表中适当的文章编号,以查看 Microsoft 知识库中相应的文章:
65416 (http://supportmicrosoftcom/kb/65416/) 硬件和软件供应商联系信息,A-K
60781 (http://supportmicrosoftcom/kb/60781/) 硬件和软件供应商联系信息,L-P
60782 (http://supportmicrosoftcom/kb/60782/) 硬件和软件供应商联系信息,Q-Z
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
方法 5:关闭UAC帐户控制
有些程序因受到UAC的影响而无法运行,即使使用了管理员的身份运行也是会出现错误或没有响应的状态
我(wasd168)在使用vista的过程中发现这种情况的具体是哪个游戏还是修改器我忘了
[编辑本段]预防盗版措施
Windows Vista沿用了微软的产品激活(Windows Product Activation,WPA)设计,针对不同产品采取了针对盗版活方案:
OEM授权
OEM版本的Windows Vista将会检查硬件系统BIOS中的鉴别信息以判断该硬件系统是否已包含合法的授权。由于在之前的Windows XP时代,任何一个具备相当电脑知识的使用者都可以通过修改和刷新BIOS的方式来欺骗OEM版Windows将任意硬件系统误认为具备合法授权的系统,微软公司对于该方式在Windows Vista内做了更新,新的技术命名OA 20(OEM Activition 20),该技术同样是通过在BIOS预先设置某种信息达到识别目的。但是与上一代简单的在内存里放置一个标示字符串所不同的是,OA 20技术将在BIOS内新增加一个ACPI表格。该表格被称作SLIC。此表格内存储有用于识别的加密数据。一台没有预先安装正确的带有SLIC表格的计算机将无法安装OEM版本的Windows Vista。
个人用户
和之前需要激活的微软产品一样,使用Starter,Home Basic,Home Premium和Ultimate版本的个人用户可以通过Internet自动激活或者致电当地的微软产品激活服务。Windows Vista要求在30天内激活。
批量用户
吸取了Windows XP时代由于批量授权密钥(Volume License key, VLK)泄露造成大量非法用户的教训,Windows Vista不再提供无限授权的VLK,取而代之的是被称之为VL 20 (Volume License 20)的解决方案,又分为两种:
Multiple Activation Keys (MAK),即面向小型组织或者单机用户,提供有限授权(例如,可用于10台PC)。
volume license key-management service(KMS),提供给有25台或者更多的机器的大用户。在KMS方案中,必须有一台计算机搭建为KMS服务器(须Windows Vista或Longhorn Server)并且独立激活后,其他Windows Vista客户端系统则向该台KMS请求验证和激活,起到激活服务代理的作用。该方案适合Business和Enterprise版本的Vista。在激活后,客户端Vista会启动一个180天的倒计时时钟,并每一段时间(小于1小时,具体不明)试图连接到KMS服务器来重置这个时钟到180天。可以想见的是,如果180天内没有成功连接到有效的KMS服务器,该客户端Vista就会进入Performance Reduce模式(只能使用IE浏览器),高级功能将会不可用。
[编辑本段]安装方法
设置 Windows Vista
如果计算机在购买时已安装了Windows Vista(例如,从计算机制造商处购买了计算机),请执行以下步骤:
1 根据计算机制造商提供的说明组装计算机。
2 打开计算机并按照每个页面上的说明进行操作。
3 完成Windows的设置之后,您将在屏幕上看到Windows桌面和欢迎中心。欢迎中心可以帮助您开始使用Windows。
准备
1) Windows Vista安装盘
2) 符合配置的电脑
安装
1) 打开电脑,在BIOS中设置“从驱动器启动”
2) 插入安装盘,输入正版序列号或者不输序列号
3) 选择安装路径和磁盘操作
4) 系统自动安装 期间会重启两次
5) 完成安装进入系统,开始使用
[编辑本段]改进(最新功能)
与Windows XP相比,Windows Vista在界面、安全性和软件驱动及成性上有了很大的改进。
1 操作系统核心进行了全新修正。winxp和2k的核心并没有安全性方面的设计,因此只能一点点打补丁,vista在这个核心上进行了很大的修正。例如在vista中,部分操作系统运行在核心模式下,而硬件驱动等运行在用户模式下,核心模式要求非常高的权限,这样一些病毒木马等就很难对核心系统形成破坏。
Vista上的“haep”设计更先进,方便了开发者,提高了他们的效率。在电源管理上也引入了睡眠模式,让我们的vista可以从不关机,而只是极低电量消耗的待机,启动起来非常快,比现在的休眠效率高多了。
内存管理和文件系统方面引入了superFetch技术,可以把经常使用的程序预存入到内存,提高性能,此外你的后台程序不会夺取较高的运行等级了,不用担心突然一个后台程序运作其他让你动弹不得。因为硬件驱动运作在用户模式,驱动坏了系统也没事,而且装驱动都不用重启了。
2 网络方面集成IPv6支持,防火墙的效率和易用性更高,优化了TCP/IP模块,从而大幅增加网络连接速度,对于无线网络的支持也加强了。
3 媒体中心模块将被内置在Home Premium以上版本中,用户界面更新、支持CableCard,可以观看有线高清视频了。
4 音频方面,音频驱动工作在用户模式,提高稳定性,同时速度和音频保真度也提高了不少,内置了语音识别模块,带有针对每个应用程序的音量调节。
5 显示方面,vista内置DirectX 10,这个可是vista独有的,使用更多的dll,不向下兼容,显卡的画质和速度会得到革命性的提升。
6 集成应用软件:取代系统还原的新SafeDoc功能让你自动创建系统的影像,内置的备份工具将更加强大,许多人可以用它取代ghost;在vista上outlook升级为了Windows Mail,搜索功能将非常强大,还有内置日程表模块,新的集程序、movie maker、windows media player11等等都是众所期待的升级。
7 Aero Glass以及新的用户界面,窗口支持3D显示提高工作效率。而且,它不运行在内核。要知道,很多蓝屏都是显示驱动造成的。显卡现在也是一个共享的资源,它也负责windows的加速工作,再加上双核处理器的支持,以后大型游戏对于windows来说也不会是什么大任务了,开启一个小窗口就可以运行,前提是你的PC足够强劲
8 重新设计的内核模式加强了安全性,加上更安全的IE7、更有效率的备份工具,使vista会安全很多。
[编辑本段]Windows Vista安全机制介绍
自Windows Vista操作系统发布以来,有关UAC和Windows Defender对Vista如何进行防护的讨论就充斥了整个安全领域。在众人热议Vista安全机制的同时,人们忽略了NAP——这个可以改善微软的安全政策管理与政策执行能力的功能。在保障网络连接的安全性上,微软其实对NAP寄予厚望。
NAP的英文全称是Network Access Protection,也就是网络接入防护,它是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制。比较熟悉服务器操作系统Windows Server 2003的朋友应该对网络接入隔离控制(Network Access Quarantine Control)有所了解,NAP正是此项功能的扩展。
每一个连接到本地网络的电脑都是潜在的威胁。你无法得知是否每台电脑里都安装了微软最新的安全补丁、是否被安装了间谍软件、是否设置了适当的防火墙,任何一台计算机出现了安全问题,整个本地网络的计算机都会处在危险之中。
所以,要保护网络安全,就必须制定一个“安全策略”让每台电脑在连接本地网络的时候都通过这个策略的允许。但是并不是所有的用户都会自觉地遵守这个安全策略,微软就替所有的用户找到了一个强制性的执行安全策略:检测一个系统是否已经满足了标准,并以此来决定是阻止其连入网络,或是对其放行。这就是NAP的用武之地,也是微软的健康策略平台。
NAP可以让用户监视任何试图接入用户网络的计算机的安全状态,并确保接入的计算机都具有符合用户健康策略的安全防范措施。那些不符合用户健康策略的电脑,将被接入到一个受限的网络环境,用户可以在这个网络环境中存储一些安全软件,帮助这些安全性较差的计算机提高到符合用户要求的安全水平。
目前,NAP已经被内嵌到Windows Server(现在被称为”Longhorn”),可以和Windows Vista协同使用,或和那些运行了NAP客户端插件的Windows XP客户端协同使用(NAP客户端插件将在新服务器操作系统发布时同步推出,而XP NAP客户端目前已经进入了Beta测试阶段)。据微软工作人员透露,Windows Server 2003也有可能成为一个NAP客户端。
NAP不是全面的安全机制:
NAP不能取代系统内别的安全系统,像杀毒软件、防火墙、入侵检测等,实际上,NAP的作用只是用来检查将要连入网络的电脑是否具有完备的安全补丁,是否有安全配置方面的错误等来提升用户计算机的安全性。
NAP适用的系统:
Windows用户不必担心使用问题,即使是现在XP不支持NAP,但是微软已经承诺将会开发出适用XP的NAP客户端。我们要注意的是,NAP服务器是一个网络策略服务器(Network Policy Server ,NPS)。而NPS则是Longhorn中替代Windows Server 2003中IAS(互联网验证服务)功能的组件,我们的服务器操作系统要采用Longhorn才能适用于整个本地网络。
NAP如何工作:
正如前面所说,并不是所有要进入的电脑都符合安全策略,如果遇见了不符合条件的电脑,除了强行禁止,我们也有其它的选择:
1、允许它访问网络,但是在Log中标记具体的信息,以便你可以追踪它,以查看它是否最终满足了要求;
2、允许它访问一个受限的网络,而不是访问整个网络。这一点很有用,这样你可以在受限网络中提供相关资源(比如,相关的安全更新或者反病毒软件,或者某些系统补丁),以便用户对电脑进行修正以便最终满足要求。也可以对不满足要求的电脑做出限制,让它访问网络的时间只能在规定的长度之内。
[编辑本段]Windows Vista Service Pack 1
包含了之前经由 Windows Update 所发布的所有更新,以及安全补丁。并改进了Windows Vista的效能,从而提高对软件的兼容性。目前5国语言Wave0版本已经于2008年3月17日在微软英文网站放出并提供下载,全语言安装包Wave1已经于2008年4月16日在所有微软网站上提供下载.
Windows Vista Service Pack 1 带来:
● GPMC (Group Policy Management Console) 被删除, GPEdit 成为本地组策略的编辑器
● 减少了UAC (User Account Control) 的严格程度,重命名文件夹等操作不需要确认
● 添加了对exFAT的支持,这一文件格式广泛用于数码产品
● 包含了对一些应用程序的兼容更新
● 更新了文件存储的可靠性,特别是NTFS格式的可移动媒体
● 更新了P2P连接的可靠性,例如Windows Meeting Space 或 Remote Assistance在防火墙后的表现
● 更新了Windows Vista内置的备份方案,包含EFS加密支持
● 更新SRT (Startup Repair Tool),它是 Windows Recovery environment (WinRE)的组件,可以让无法引导的PC恢复
● 提升了网络共享访问速度(非常明显)
● 提升了电源管理策略,更为省电
● 提升了Zip文件夹解压缩的性能
● 明显提高了文件夹之间复制文件的速度
● 本地磁盘对本地磁盘,快25%
● 本地到非Windows Vista SP1系统快45%
● 两台SP1更新后的对传快50%
● 提升了读取大的速度,高达50%
● 提升了 IE 处理JavaScript的能力
● 包含Windows Superfetch的改进,让应用程序启动更快
● 修改了网络系统的策略,选择有效网络更为智能
● 减少了用户重新登录PC的延迟
● 新的RDP加密算法,节省大约 25-60%的带宽消耗
● 提升了运行RemoteApp的速度
● 改进了BitLocker Drive Encryption,提供TPM加密支持,包括U盘加密和PIN
● 增强的BitLocker加密,支持非系统盘(Enterprise 和 Ultimate SKUs有效)
● 更新了Windows Update的驱动获取方式,直接从硬件提供商获取
● 提供磁盘整理程序卷标的选择
● 允许用户在离线的时候编辑共享文件
● 允许KMS (Key Management Service) 运行在虚拟机环境
● 改进操作系统的部署方式,允许从32位升级到64位
● 报告系统所安装的内存,而不是有效内存(x86 4G以上照样识别,但没法用)
● 用户需要在安装Windows Vista SP1时输入管理密码
● 在笔记本电脑连接显示器时提供更好的支持
nap n 小睡,打盹儿;细毛;孤注一掷
vt 使拉毛
vi 小睡;疏忽
nap 百科内容来自于:
NAP是因特网的路由选择层次体系中的通信交换点。每个网络接入点都由一个共享交换系统或者局域网组成,用来交换业务量。通达因特网主干线的点。ISP互相连接的点。NAP可用作主要业务提供者的数据互换点。1999年初NAP和城域交换局(MAE)被统称为公共因特网交换点(IXP)。
NAP的组成因特网NAP是因特网的路由选择层次体系中的通信交换点。每个网络接入点都由一个共享交换系统或者局域网组成,用来交换业务量。骨干网可以选择其中任何一个或所有的网络接入点与其他骨干网互联。它通常称为IX(因特网交换)。在美国,网络接入点(NAP)是几个主要的因特网互联的点中的一个,它把所有的网络接入提供商都捆绑在一起。最初的四个NAP(纽约、华盛顿特区、芝加哥和旧金山)是由NSF((美)国家科学基金会)资助并在20世纪80年代末重构因特网主干网期间由主要几个提供商创建的。从那以后许多NAP陆陆续续组建起来,其中包括WorldCom的“MAE West”网站所在地圣何塞,加利福尼亚和ICS网络系统的“Big East”。在那时,NSFNET成为主要的因特网主干网,但其他网络也可使用或正在(或要)创建。当NSF决定使因特网商业化时,它就提议开发可在主干网之间进行通信交换的因特网交换中心。现在,其他的因特网交换中心已经遍及全世界,它们正在繁忙的处理着大量的因特网通信负载。
NAP的运营
路由器NAP主要由路由仲裁组(Routing Arbiter,RA)、交换设备和ISP的边界路由器组成。此外,为开展NAP的一些其他业务,人们还可以用到网络管理和附加服务等内容。交换设备与电信公司和服务提供商(国家或区域的)的设备相连接。公司利用NAP设备构建他们公司内部的对等网络。多数因特网的流量是不通过NAP的,而是用对等排列和内部交换。实际上,NAP设备并不进行路由选择。而是网络服务提供商将路由器并置在NAP处并将这些路由器连接到交换设备中。交换设备对于NAP的可能所有其他路由器提供任意对任意的连通性。服务提供商的路由器执行所有路由选择,但使用交换设备在位于NAP处的不同的提供商网络接入点之间移动分组。当服务提供商对于在NAP处交换通信达成一致时,他们就是互相对等的。对等协议定义通信交换的参数。
大多数NAP旨在供主要的网络服务提供商使用。其他NAP可作公共使用和为本地和区域服务提供商使用。MAE(城域交换)是MCI Worldcom运营的NAP,由都市光纤环构成,光纤环与服务提供商连接,这和运行接向中央设施的连接的服务提供商是不同的。与MAE类似的NAP也由其他公司运营。
公共NAP通常处于负载过重的情况。因此一些服务提供商就决定以称为专用对等的协议方式直接进行互相连接。一种方法是通过绕开NAP的交换机,直接使用专用电缆在NAP处连接它们的路由器。另一种方法是通过使用租用线路或在地下敷设电缆的方式直接将设备连接起来。通常在服务提供商之间的地理位置距离比NAP近的情况下使用该方法。
在NSF资助创建NAP的同时,它还资助路由选择仲裁器服务的创建,该服务以路由服务器和路由选择仲裁器数据库(RADB)的形式提供路由选择协调功能。路由服务在NAP中处理路由选择任务,而RADB生成路由服务器配置文件。RADB是一组分布式数据库的组成部分,这些数据库称为“因特网路由注册表”,一种以通用格式发布路由和路由选择策略信息的公共资源库。在RADB中,路由政策按照RIPE-181格式表示,分析软件通过处理 RADB中的用户数据为RS生成相应的配置文件。ISP使用存储在任意或所有注册表中的信息来配置其主干网路由器,分析路由选择策略及创建有助于这些工作的工具。
NAP 组件
客户端计算机网络访问保护 (NAP) 包含多个客户端和服务器组件。具有在所有 NAP 部署中使用的常见 NAP 组件,以及仅针对特定部署使用的组件,具体取决于 NAP 强制方法或您选择的方法。
NAP 强制方法是与网络访问保护一起使用以强制健康策略的多种网络访问技术中的任一种。强制方法包括动态主机配置协议 (DHCP)、Internet 协议安全性 (IPsec)、虚拟专用网络 (***)、终端服务网关 (TS Gateway) 和可扩展的身份验证协议 (EAP),可以对由 NPS 服务器进行身份验证的基于 8021X 的无线和有线连接使用这些方法。
常见 NAP 组件
常见 NAP 组件包括客户端和服务器组件,由所有 NAP 强制方法使用。
客户端组件
可使用 NAP 的客户端是已安装 NAP 组件的计算机,可以通过向网络策略服务器 (NPS) 发送健康声明 (SoH) 验证其健康状态。
以下是 NAP 基础结构的可使用 NAP 的客户端计算机组件。
健康声明 (SoH) 一种声明其健康状态的来自客户端计算机的声明。系统健康代理 (SHA) 创建健康声明 (SoH) 并将这些声明发送到 NPS 服务器上相应的系统健康验证程序 (SHV)。
系统健康代理 (SHA) 一种组件,该组件检查客户端计算机的状态以确定由 SHA 监视的设置是否为最新且已正确配置。例如,Windows 安全健康代理 (WSHA) 可以监视 Windows 防火墙,检查防病毒软件是否已安装、启用和更新,反间谍软件是否已安装、启用和更新,以及 Microsoft 更新服务是否已启用,且计算机是否拥有来自 Microsoft 更新服务的最新安全更新。还可能存在提供其他功能的可从其他公司获得的 SHA(以及相应的系统健康验证程序)。
NAP 代理 一种收集和管理健康信息的客户端服务。处理来自各种系统健康代理的健康声明,并将客户端健康状况报告给 NAP 管理服务器。
强制客户端 与网络访问技术集成的客户端软件,如 DHCP、*** 和 IPsec。若要使用 NAP,必须在客户端计算机上安装和启用至少一个 NAP 强制客户端。单个 NAP 强制客户端是特定于强制方法的,并在以下部分进行说明。NAP 强制客户端请求访问网络、与提供网络访问的 NAP 服务器(如 NAP 服务器)交流客户端计算机的健康状态,并与 NAP 客户端体系结构的其他组件交流客户端计算机的受限状态。
服务器组件
以下是 NAP 基础结构的服务器组件。
更新服务器 承载 NAP 代理可用于使不兼容的客户端计算机具有兼容性的更新。例如,更新服务器可以承载防病毒签名。如果健康策略要求 NAP 客户端计算机安装最新的防病毒定义,则用于承载防病毒签名的防病毒 SHA、防病毒 SHV、防病毒策略服务器,以及更新服务器通力协作以更新不兼容的计算机。
系统健康验证程序 (SHV) 服务器软件对应于 SHA。客户端上的每个 SHA 在 NPS 中都具有相应的 SHV。NPS 使用 SHV 来验证由客户端计算机上其相应 SHA 进行的健康声明。
SHA 和 SHV 相互匹配,连同相应的策略服务器(由 SHV 用于确定系统健康的当前条件),以及可能的更新服务器。SHV 还可以检测到尚未接收 SoH(如 SHA 从未安装或者已损坏或删除的情况)。如果 SoH 不满足已定义的策略,则 SHV 会将健康声明响应 (SoHR) 消息发送到 SHA。一个网络可能具有多种 SHV。如果情况如此,则 NPS 服务器必须调整所有 SHV 中的输出,确定是否限制不兼容计算机的访问。这要求为环境定义健康策略以及评估 SHV 交互的不同方式时仔细进行计划。Windows 安全健康验证程序 (WSHV) 可以验证来自客户端计算机上的 WSHA 的 SoH。还可能存在提供其他功能的可从其他公司获得的 SHA(以及相应的 SHA)。
健康策略 通过配置单个 SHV 并将其添加到健康策略,然后配置策略条件而创建的规则。然后当您将健康策略添加到网络策略的设置时,这些策略由 NPS 实施和强制。
健康声明响应 (SoHR) 验证 SoH。如果客户端计算机不兼容,则 SoHR 包含客户端上 SHA 用于使客户端计算机配置符合健康策略的补充说明。每种类型的 SoH 存储有关系统健康状态的各种信息,SoHR 消息存储有关如何与 NPS 中配置的健康策略要求兼容的各种信息。
特定于强制方法的组件
以下是 NAP 基础结构的特定于强制方法的组件。
强制技术 可配置用于强制 NAP 策略的五种网络访问技术之一。
强制服务器 NAP 服务器上的一种组件,通常与 NAP 强制客户端匹配,根据其健康符合性限制客户端计算机的网络访问。存在多种 NAP 强制服务器:一种用于 DHCP 地址配置,一种用于 *** 连接,一种用于 IPsec 保护的通信,一种用于终端服务网关(TS 网关),一种用于可扩展的身份验证协议 (EAP),您可以将其用于由 NPS 服务器进行身份验证的基于 8021X 的连接。
端点安全是指围绕桌面台式电脑、笔记本电脑等终端设备而实行的安全保护技术和管理控制措施,目的是保障桌面计算机系统安全、数据安全、网络安全和应用安全。本文是端点安全的一份路线图,为你介绍了在为企业购买端点安全产品之前需要评估的几个方面。
我们在去年看到众多端点安全产品进入市场,它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢?本文就提供了一份路线图,并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。
一、哪几个部分最重要?
端点安全对不同的人来说意味着不同意思。为了便于讨论,我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同,也许现在想实施其中一两个部分,打算将来时机成熟时再升级到其余几个部分。
● 策略定义: 你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略,而且能够轻松修改。
● 用户检测: 不管你的用户是在本地总部还是从远地连接到企业网络,你的系统都应当能够检测到他们。这包括每个客户端上使用代理或者无代理的操作。
● 健康评估:你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下,应当在访问网络之前进行扫描,不过你的系统也应当允许登录之后进行其他检查。
● 策略执行:你的策略确定了应当保护哪些网络资源,包括交换机、虚拟专用网(***)和服务器等等。视策略而定,你应当能够隔离资源或者完全拒绝访问网络。
● 采取补救:如果客户端不符合策略,接下来会怎样?理想的系统会启动反病毒特征更新、给操作系统打上补丁,或者采取其他措施。记住:目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面,却也是大多数解决方案最薄弱的方面。问题在于,补救起来很棘手,而且需要依赖许多单个的软件和硬件正常工作。
目前正在开发中的有三种总体架构方法:微软的网络访问保护(NAP)、思科的网络准入控制(NAC)以及可信计算组织的可信网络连接(TNC)。
思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中,从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分,因为思科并不提供一切。思科架构的强项在于执行和检测,补救是它的弱项。
TNC一开始是这种概念:使用Radius和8021x等开放标准对特定的网络客户端进行验证,那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案,所以难怪其强项在于策略定义,弱项在于健康评估。
NAP还没有真正实施到微软的任何产品中,第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救,弱项在于执行,对另外两种架构起到了很好的补充作用。最初,NAP会单单支持Windows XP和Vista客户端,把其他市场让给另外两种架构。
建议:
不是每个端点解决方案都能够有效地提供五个方面,大多数的强项在于健康评估或者策略执行等一、两个方面,在其他方面比较弱。认真阅读说明书,确定你最初关注的重心。
二、现有的安全和网络基础设施是什么?
下一步就是了解你现有的安全产品组合是什么,端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备,或者不想购买功能与现有设备重复的端点产品,这取决于你何时购买了防火墙、入侵预防设备和验证服务器。
有些产品(如Vernier)自身随带入侵检测和预防系统或者虚拟专用网络网关,这些是端点安全解决方案的必要部分;而另一些产品(如Lockdown Networks)可与现有的IPS、IDS和***产品协同工作。如果你准备选购这些产品,这可能是好消息,但要认识到:你的端点安全只能保护远程用户在使用的机器,却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户,你需要实施8021x验证之类的机制。
思科的NAC假定你使用的所有思科产品都是最新版本:如果不是,那么就要考虑其他架构,除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器,那么支持另外两种架构的产品更有意义。
建议:
● 如果你没有***,或者正在考虑实施***,那么Juniper和F5(其次是思科和Aventail)提供的SSL ***具有相当可靠的端点健康扫描功能。至于已经有企业IPsec ***的用户,比较适合实施端点安全解决方案,假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支持这种方法。
● 如果你已经有了切实可行的***而现在又不想改动,不妨考虑自身随带8021x验证服务的产品解决方案,譬如赛门铁克或者Infoexpress的方案。你需要加强验证机制,以便处理下面提到的端点健康评估工具。
● 如果你需要升级交换机,Nevis和Consentry都提供各自集成了端点安全功能的48端口交换机。
三、要保护网络上的哪些部分?
接下来要确定你想把端点安全设备放在网络上的哪个部位,想保护企业计算资源的哪些部分。显然,网络上所要保护的部分越多,项目成本就会变得越高。有些设备应直接放在企业防火墙后面,保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好,或者部署用来保护某些子网或者部门级网络。
TNC架构似乎是三者当中最灵活的,适用于最广泛的部署及保护场景。NAP旨在保护微软服务器,而NAC是为思科网络交换机和路由器设计的。
有些设备(如Vernier、Consentry和Nevis Networks)采用嵌入式工作方式,这意味着位于这种设备后面的任何网络资源都会得到保护;只有健康的网络客户机才能通过进而访问这些资源。另一些设备(如Mirage、Forescout和AEP Networks)采用带外工作方式,通常经由网络跨接端口连接起来,监控某个子网上的所有网络流量;一旦用户通过活动目录或者***登录成功通过验证,它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处,就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限,无法处理较大网络的较高吞吐量。
建议:
● 对于吞吐量需求较高的大型网络,不妨考虑Juniper的端点解决方案,它适用于75 Mbps到30 GBps的多种吞吐量。
● 如果无法确定使用嵌入式还是带外式,那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。
四、管理所有桌面系统吗?
下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高(譬如说10%以上),合作伙伴或者承包商使用自己的计算机,或者远程员工不来总部办公室上班,那么你无法轻松接触外面的这些PC。如果你分发软件更新版,牢牢控制桌面PC,就能够更轻松地安装软件代理,进行健康评估,采取纠正措施。
每种设备都有可能使用三种基本类型的代理中的一种:
● “胖”代理,也就是每个端点PC上永久安装的可执行文件。
● 按需代理,只有PC连接到网络时才存在,通常通过浏览器会话或者网络登录过程的一部分来提供。
● 无代理解决方案,不在端点上安装任何软件,但能够与PC上已有的软件协同运行。
问题在于,使用哪一种软件代理来处理实际工作,要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和IE浏览器版本,但也有一些例外,如果你使用的不是Windows操作系统更是如此。
微软的NAP在这方面的功能最弱,如果你仍在运行Windows XP之前的版本,功能将更弱。微软已承诺为Windows XP SP2和Vista推出支持其网络访问保护系统的代理。如果你使用的Windows版本比较旧,就要寻求第三方代理供应商。NAC和TNC都旨在更广泛地支持Windows、Mac和Linux等端点操作系统客户端。
有些厂商提供多个代理,不过有不同的功能及对操作系统的支持。譬如说,Nevis Networks为Windows提供的Active X控件可以执行健康评估。对于非Windows客户机,Nevis只能使用无代理连接,进行最基本的身份控制。
建议:
● 如果你需要Mac OS支持“胖”代理,不妨考虑AEP、Infoexpress和Lockdown Networks的解决方案。赛门铁克的按需代理可运行在Mac OS和Linux上,但“胖”代理只能运行在Windows 2000和XP上。赛门铁克和Consentry承诺今年晚些时支持Mac OS和Linux。
● Lockdown和Mirage Networks更进了一步:两家公司都把端点放在了各自的专用虚拟局域网(VLAN)上,因而能够确保有风险的设备与其他设备隔离开来。
● 想获得完全无代理的方法,不妨考虑Forescout和Vernier。
五、非PC端点需要管理吗?
想弄清楚使用哪种代理,一方面要知道你的网络上还有什么,需要管理什么。“胖”代理无法管理企业网络上运行自身操作系统的非PC设备,譬如打印服务器、网络摄像机和PDA等。这些设备大多有IP地址,运行各自的操作系统,不容易由端点设备来管理。
处理非PC端点的最合适的架构就是TNC方案,它能够兼容类别最广泛的设备。NAC会在网络层实施支持非PC端点的功能;至于微软的NAP,你需要指定策略才能处理这些设备。
大多数厂商提供这种功能:把MAC或者IP地址加入白名单或者对它们进行预验证,那样它们仍可以连接到网络上完成任务。不过,把这些设备加入白名单只是临时解决方案,因为其中一些设备一旦被感染,安全就会受到危及,进而对网络造成危害。Forescout和Mirage Networks都能检测到来自这些专门设备的流量模式出现的变化,并且能够隔离设备。
建议:
你网络上的非PC端点数量可能比你想像的多得多,可能无法轻易把它们隔离到单一VLAN或者网段。要进行认真的现场勘查,确定这些端点与任何计划中的解决方案有着怎样的关系。
六、在何处制订及执行安全策略?
众所周知,任何端点解决方案都会影响到众多计算设备:客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来,你需要作出决定:存放端点策略的集中存储库放在何处;在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地,也有可能是全新的安全设备。
TNC倾向于使用8021x验证协议作为存储库,不过这是其架构的可选部分,而不是必需要求。NAC比NAP更注重执行功能,至少目前是这样。
建议:
● 最自然的起步就是使用微软的活动目录作为这样一个策略存储库;而且,微软的NAP确实是为这种目的而设计的,最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能,这看你是如何进行设置的。
● 另一个解决办法就是使用第三方厂商来完成这项任务,譬如Lockdown、Trusted Network Technologies或者Consentry,不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。
● 另一个办法就是使用现有反病毒软件厂商的集中管理设备,并且在这些设备上制订整体端点策略:这也许同样不可能实现,这要看你如何进行配置从而与其他网络部分进行联系。
正如大家所知,端点安全有许多方面和漏洞,它基本上仍在不断完善中。不过解答上面六个问题可以帮你关注最合适的解决方案,把范围缩小到数量合理的几家厂商,以便进行最终选择。你还要有阶段地进行考虑:先是通过***保护所有远程用户,然后进入到网络边界内部,以处理所有本地总部用户。(清水 编译)
66个进程肯定得关掉一些,太多了。再开始菜单运行 msconfigmsc 关掉些服务
Win 7服务详解及其建议
Adaptive Brightness
监视氛围光传感器,以检测氛围光的变化并调节显示器的亮度。如果此服务停止或被禁用,显示器亮度将不根据照明条件进行调节。
该服务的默认运行方式是手动,如果你没有使用触摸屏一类的智能调节屏幕亮度的设备,该功能就可以放心禁用。
Application Experience
在应用程序启动时为应用程序处理应用程序兼容性缓存请求。
该服务的默认运行方式是自动,建议手动。
Application Information
使用辅助管理权限便于交互式应用程序的运行。如果停止此服务,用户将无法使用辅助管理权限启动应用程序,而执行所需用户任务可能需要这些权限。
该服务的默认运行方式是手动,不建议更改。
Application Layer Gateway Service
为 Internet 连接共享提供第三方协议插件的支持
如果装有第三方防火墙且不需要用ICS方式共享上网,完全可以禁用掉。
Application Management
为通过组策略部署的软件处理安装、删除以及枚举请求。如果该服务被禁用,则用户将不能安装、删除或枚举通过组策略部署的软件。如果此服务被禁用,则直接依赖于它的所有服务都将无法启动。
该服务默认的运行方式为手动,该功能主要适用于大型企业环境下的集中管理,因此家庭用户可以放心禁用该服务。
Ati External Event Utility
装了ATI显卡驱动的就会有这个进程,建议手动。
Background Intelligent Transfer Service
使用空闲网络带宽在后台传送文件。如果该服务被禁用,则依赖于 BITS 的任何应用程序(如 Windows Update 或 MSN Explorer)将无法自动下载程序和其他信息。
这个服务的主要用途还是用于 进行WindowsUpdate或者自动更新,如果是采用更新包来更新的话,完全可以禁用。
Base Filtering Engine
基本筛选引擎(BFE)是一种管理防火墙和 Internet 协议安全(IPsec)策略以及实施用户模式筛选的服务。停止或禁用 BFE 服务将大大降低系统的安全。还将造成 IPsec 管理和防火墙应用程序产生不可预知的行为。同样为系统防火墙,***以及IPsec提供依赖服务,同时也是系统安全方面的服务,如果使用第三方***拨号软件并且不用系统的防火墙以及ICS共享上网,为了系统资源,关闭它吧,否则就别动它。
BitLocker Drive Encryption Service
BDESVC 承载 BitLocker 驱动器加密服务。BitLocker 驱动器加密为操作系统提供安全启动保障,并为 OS、固定卷和可移动卷提供全卷加密功能。使用此服务,BitLocker 可以提示用户执行与已安装卷相关的各种操作,并自动解锁卷而无需用户交互。此外,它还会将恢复信息存储至 Active Directory (如果这种方法可用并且需要这样做),并确保使用最近的恢复证书。停止或禁用该服务可以防止用户使用此功能。该服务的默认运行方式是手动,如果你没有使用 BitLocker设备,该功能就可以放心禁用。
Block Level Backup Engine Service
执行块级备份和恢复的引擎。估计是和备份恢复方面用的服务,无任何依赖关系,默认是手动,也从来没有看他启动过。就放那吧,不用管了。
Bluetooth Support Service
Bluetooth 服务支持发现和关联远程 Bluetooth 设备。停止或禁用此服务可能导致已安装的 Bluetooth 设备无法正确操作,还会阻止发现和关联新设备。该服务的默认运行方式是手动,如果你没有使用蓝牙设备,该功能就可以放心禁用。
Certificate Propagation
为智能卡提供证书。该服务的默认运行方式是手动。如果你没有使用智能卡,那么可以放心禁用该服务。
CNG Key Isolation
CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求,该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。如果 Wired AutoConfig/WLAN AutoConfig 两个服务被打开,而且使用了 EAP (ExtensibleAuthentication Protocol),那么这个服务将被使用,建议不使用自动有线网络配置和无线网络的可以关掉。
COM Event System
支持系统事件通知服务 (SENS),此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务都将无法启动。
一个很原始的古老服务,该服务的默认运行方式为自动,这是一个重要的系统服务,设为手动也会自动运行,设为禁用好像也没什么影响,但是日志中会出现大量的错误。我们最好不要乱动。
COM System Application
管理基于组件对象模型 (COM ) 的组件的配置和跟踪。如果停止该服务,则大多数基于COM 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的服务都将无法启动。
搞开发的比较清楚,以前的COM 程序甚至IIS/NET中的应用都会用到这个服务。只要不设置为禁用就行了,基本上也是很少运行的服务。
Computer Browser
维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
该服务的默认运行方式为自动,不过如果你没有使用局域网,这项服务可以设为禁用。就算要在局域网内使用,也只设为手动,因为说不准什么时候会要用上,用的时候它会自个启动。
Credential Manager
为用户、应用程序和安全服务包提供凭据的安全存储和检索。
该服务的默认运行方式是手动,建议保持默认。
Cryptographic Services
提供四种管理服务: 目录数据库服务,用于确认 Windows 文件的签名和允许安装新程序;受保护的根服务,用于从该计算机中添加与删除受信任根证书颁发机构的证书;自动根证书更新服务,用于从 Windows Update 中检索根证书和启用 SSL 等方案;密钥服务,用于协助注册此计算机以获取证书。如果此服务已停止,这些管理服务将无法正常运行。如果此服务已禁用,任何明确依赖它的服务将无法启动。维护和管理系统的所有证书,密钥以及安全数据库。另外访问一些网站所需要的服务,比如微软的网站,WindowsUpdate,或者DRM的网站,很多时候它会提供和确认Windows文件的签名信息。强烈建议也是必须不能去动它,永远别想禁用这个服务。
DCOM Server Process Launcher
DCOMLAUNCH 服务可启动响应对象激活请求的 COM 和 DCOM 服务器。如果此服务停止或禁用,则使用 COM 或 DCOM 的程序将无法正常工作。强烈建议您运行 DCOMLAUNCH 服务。该服务的默认运行方式是自动,最好不要乱动。以前的DCOM服务,也就是远程服务,是比COM 更基本的服务,看看注册表就知道Windows系统中有多少DCOM组件,虽然禁用也没什么问题,但是临时用到的设为手动的服务会无法自动启动,而且任务栏的图标也会消失不见,所以最好不要修改这个选项。
Desktop Window Manager Session Manager
提供桌面窗口管理器启动和维护服务
Aero风格必须的,所有AeroGlass和Flip3D效果均依赖这个服务。如果喜欢这个风格就要设为自动,否则就禁用吧。
DHCP Client
为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动。该服务的默认运行方式是自动,如果是手动指定的IP,完全可以禁用。
Diagnostic Policy Service
诊断策略服务启用了 Windows 组件的问题检测、疑难解答和解决方案。如果该服务被停止,诊断将不再运行。该服务的默认运行方式是自动,Vista或IE7有时会弹出对话框问你是否需要让它帮忙找到故障的原因,只有1%的情况下它会帮忙修复Internet断线的问题,建议禁用。
Diagnostic Service Host
诊断服务主机被诊断策略服务用来承载需要在本地系统上下文中运行的诊断。如果停止该服务,则依赖于该服务的任何诊断将不再运行。
这就是帮上面Diagnostic Policy Service 做具体事情的服务,会随着上面的服务启动,可以一起禁用。
Diagnostic System Host
诊断系统主机被诊断策略服务用来承载需要在本地系统上下文中运行的诊断。如果停止该服务,则依赖于该服务的任何诊断将不再运行。
基本和Diagnostic Policy Service/Diagnostic Service Host是同类,可以一起禁用。
Disk Defragmenter
提供磁盘碎片整理功能。
该服务的默认运行方式是手动,建议保持默认。
Distributed Link Tracking Client
维护某个计算机内或某个网络中的计算机的 NTFS 文件之间的链接。该服务的默认运行方式是自动,不过这个功能一般都用不上,完全可以放心禁用。
Distributed Transaction Coordinator
协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,这些事务将会失败。如果禁用此服务,显式依赖此服务的其他服务将无法启动。很多应用以及SQL,ExchangeBiztalk等服务器软件都依赖这个服务,可以不启动它,但不要禁用它,建议手动。
DNS Client
DNS 客户端服务(dnscache)缓存域名系统(DNS)名称并注册该计算机的完整计算机名称。如果该服务被停止,将继续解析 DNS 名称。然而,将不缓存DNS 名称的查询结果,且不注册计算机名称。如果该服务被禁用,则任何明确依赖于它的服务都将无法启动。该服务的
默认运行方式是自动,如果是在域的环境中要设置为自动,但是这个服务可以泄露你浏览过哪些网站,所以一般用户出于安全考虑,禁用了吧。
Encrypting File System (EFS)
提供用于在 NTFS 文件系统卷上存储加密文件的核心文件加密技术。如果停止或禁用此服务,则应用程序将无法访问加密的文件。
该服务的默认运行方式是手动,建议保持默认。
Extensible Authentication Protocol
可扩展的身份验证协议(EAP)服务在以下情况下提供网络身份验证: 8021x 有线和无线、*** 和网络访问保护(NAP)。EAP 在身份验证过程中也提供网络访问客户端使用的应用程序编程接口(API),包括无线客户端和 *** 客户端。如果禁用此服务,该计算机将无法访问需要 EAP 身份验证的网络。如果禁用此服务,该计算机将无法访问需要EAP身份验证的网络。不用8021x认证、无线网络或***可以不启动它,不要禁用它,建议保持手动。
Function Discovery Provider Host
FDPHOST 服务承载功能发现(FD)网络发现提供程序。这些 FD 提供程序为简单服务发现协议(SSDP)和 Web 服务发现(WS-D)协议提供网络发现服务。使用 FD 时停止或禁用 FDPHOST 服务将禁用这些协议的网络发现。当该服务不可用时,使用 FD 和依靠这些发现协议的网络服务将无法找到网络服务或资源。
PnP-X和SSDP相关,如果无相关设备就禁用了吧。
Function Discovery Resource Publication
发布该计算机以及连接到该计算机的资源,以便能够在网络上发现这些资源。如果该服务被停止,将不再发布网络资源,网络上的其他计算机将无法发现这些资源。
PnP-X和SSDP相关,如果无相关设备就关了吧。
Group Policy Client
该服务负责通过组策略组件应用管理员为计算机和用户配置的设置。如果停止或禁用该服务,将无法应用设置,并且将无法通过组策略管理应用程序和组件。如果停止或禁用该服务,依赖于组策略的任何组件或应用程序都将无法正常运行。
系统重要服务,保持自动不变。
Health Key and Certificate Management
为网络访问保护代理(NAPAgent)提供 X509 证书和密钥管理服务。使用 X509 证书的强制技术在没有此服务的情况下可能无法正常工作推测是NAP的一个服务,其中提到要实现一个 HealthRegistrationAuthority机制,默认手动即可。
HomeGroup Provider
执行与主组的配置和维护相关的网络任务。如果停止或禁用此服务,您的计算机将无法检测到其他主组,且您的主组可能无法正常工作。建议您保持此服务的运行状态。
如果你不使用家庭群组来共享视频及文档,那么该服务可以禁用。
Human Intece Device Access
启用对智能界面设备(HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。如果你不想你机器或笔记本键盘上面的那些特别的附加按键起作用、不用游戏手柄之类,可以禁用这个服务。
IKE and AuthIP IPsec Keying Modules
IKEEXT 服务托管 Internet 密钥交换(IKE)和身份验证 Internet 协议(AuthIP)键控模块。这些键控模块用于 Internet 协议安全(IPSec)中的身份验证和密钥交换。停止或禁用 IKEEXT 服务将禁用与对等计算机的 IKE/AuthIP 密钥交换。通常将 IPSec 配置为使用 IKE 或 AuthIP,因此停止或禁用 IKEEXT 服务将导致 IPSec 故障并且危及系统的安全。强烈建议运行 IKEEXT 服务。主要是针对***等网络环境的进行认证。不用***或用第三方***拨号的话可以禁用。
Interactive Services Detection
启用交互式服务的用户输入的用户通知,这样当交互式服务创建的对话框出现时可以访问这些对话框。如果此服务已停止,将不再有新的交互式服务对话框通知,而且可能再也无法访问交互式服务对话框。如果此服务已禁用,则不再有新的交互式服务对话框通知,也无法访问这些对话框。我也不清楚什么算交互式服务,默认也是手动,保持默认吧。
Internet Connection Sharing (ICS)
为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。该服务的默认运行方式是禁用,如果你不打算让这台计算机充当ICS主机,那么该服务可以禁用,否则需要启用。
IP Helper
在 IPv4 网络上提供自动的 IPv6 连接。如果停止此服务,则在计算机连接到本地 IPv6 网络时,该计算机将只具有 IPv6 连接。主要是提供IPv6的支持,说白了就是让IPv4和IPv6相互兼容,现在的情况下不是特别需要,其实设置成禁用也无妨。
IPsec Policy Agent
Internet 协议安全(IPSec)支持网络级别的对等身份验证、数据原始身份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netsh ipsec" 创建的 IPSec 策略。停止此服务时,如果策略需要连接使用 IPSec,可能会遇到网络连接问题。同样,此服务停止时,Windows 防火墙的远程管理也不再可用。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netshipsec" 创建的 IPSec策略。停止此服务时,如果策略需要连接使用 IPSec,可能会遇到网络连接问题。同样,此服务停止时,Windows 防火墙的远程管理也不再可用。某些公司的网络环境要求必须打开,它提供一个TCP/IP网络上客户端和服务器之间端到端的安全连接。其他的情况建议设置成禁用。
KtmRm for Distributed Transaction Coordinator
协调分布式事务处理协调器(MSDTC)和内核事务管理器(KTM)之间的事务。如果不需要,建议保持该服务的停止状态。如果需要,MSDTC 和 KTM 将自动启动该服务。如果此服务已禁用,任何与内核资源管理器交互的 MSDTC 事务将失败,并且任何显式依赖它的服务将无法启动。协调 MSDTC 和核心事务管理器(KTM)之间的事务。Vista提供的另外一种事务服务,对开发人员来说是比较有用,对于一般的用户或者非开发人员来说,设置成手动。
Link-Layer Topology Discovery Mapper
创建网络映射,它由 PC 和设备拓扑(连接)信息以及说明每个 PC 和设备的元数据组成。如果禁用此服务,则网络映射将不能正常工作。
应该是支持LLTD(LinkLayerTopologyDiscovery) 技术,可以精确地显示支持LLTD的设备在网络结构中的位置,比如Vista的无线地图 ,保持默认手动。
Microsoft NET Framework NGEN v2050727_X86
Microsoft NET Framework NGEN
NET开发人员都知道 NGEN的用法,保持默认的手动即可,以后会有很多基于NET FX3的应用,那么这个服务会有用的。
Microsoft iSCSI Initiator Service
管理从这台计算机到远程 iSCSI 目标设备的 Internet SCSI (iSCSI)会话。如果该服务已停止,则该计算机将无法登录或访问 iSCSI 目标设备。如果该服务已禁用,则所有显式依赖于该服务的服务将不会启动。如果本机没有iSCSI设备也不需要连接和访问远程iSCSI设备,设置成禁用。
Microsoft Software Shadow Copy Provider
管理卷影复务制作的基于软件的卷影副本。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。卷影拷贝,如果不需要就可以设为禁用,一般用户基本都不会用到。
Multimedia Class Scheduler
基于系统范围内的任务优先级启用工作的相对优先级。这主要适用于多媒体应用程序。如果此服务停止,个别任务将使用其默认的优先级。主要是针对一些多媒体应用的音/视频流设置优先级,禁用可能会导致声卡功能出现问题,建议打开这个服务,设成手动一般也会自动启动。
NetTcp Port Sharing Service
提供通过 nettcp 协议共享 TCP 端口的功能。
WCF要用的,一般用户和非开发人员,还是禁用就行了。
Netlogon
为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。登陆活动目录时,和域服务通讯验证的一个服务,一般验证通过之后,域服务器会注册你的DNS记录,推送软件补丁和策略等等,登陆域会用到它。工作组环境可以设为禁用。
Network Access Protection Agent
网络访问保护(NAP)代理服务收集和管理网络上客户端计算机的健康信息。NAP 代理收集的信息用于确保客户端计算机具有所需的软件和设置。如果客户端计算机与健康策略不兼容,则可以为其提供受限的网络访问权限,直至更新其配置。根据健康策略的配置,可能自动更新客户端计算机,以便用户可以迅速重新获取完全网络访问权限,无须手动更新他们的计算机。在客户端计算机上启用网络访问保护 (NAP)功能,这是NAP架构中的客户端,默认设置手动即可。
Network Connections
管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。当你点击网络和拨号连接时这个服务就开始工作,主要是获得局域网和远程连接的对象,只要你联网这个服务就会启动。不要关闭它。
Network List Service
识别计算机已连接的网络,收集和存储这些网络的属性,并在更改这些属性时通知应用程序。
这个服务是列举现有的网络,展示目前的连接状态。关闭它会导致网络不正常,所以不要去动它。
Network Location Awareness
收集和存储网络的配置信息,并在此信息被修改时向程序发出通知。如果停止此服务,则配置信息可能不可用;如果禁用此服务,则显式依赖此服务的所有服务都将无法启动。就是NLA,能够很好的支持和标示多网卡,或者是你从家庭、个人、公司的网络中进行切换和变化时,给你提供增强的功能,大多数情况会随着 NetworkConnections自动启动。和XP的NLA不同,关闭它网络正常但是会提示没插网线,最好别去动它。
Network Store Intece Service
此服务向用户模式客户端发送网络通知(例如,添加/删除接口等)。停止此服务将导致丢失网络连接。如果禁用此服务,则显式依赖此服务的所有其他服务都将无法启动。这是支持NLA的一个服务,比如保存每个网络的 Profile,所以它的运行状态会和NLA相同,最好别去动它。
Offline Files
脱机文件服务在脱机文件缓存中执行维护活动,响应用户登录和注销事件,实现公共 API 的内部部分,并将相关的事件分配给关心脱机文件活动和缓存更改的用户。脱机文件服务,使用这个功能系统会将网络上的共享内容在本地进行缓存,可以禁用。
Peer Name Resolution Protocol
使用对等名称解析协议(PNRP)在 Internet 上启用无服务器对等名称解析。如果禁用该功能,则某些对等应用程序和协作应用程序(如远程协助)可能无法运行。如果你不尝试WCF的P2P功能或开发,那么连同下面两个服务都可以禁用。
Peer Networking Grouping
Peer Networking Identity Manager
Performance Logs Alerts
性能日志和警报根据预配置的计划参数从本地或远程计算机收集性能数据,然后将该数据写入日志或触发警报。如果停止此服务,将不收集性能信息。如果禁用此服务,则明确依赖它的所有服务将无法启动。EventLog和任务调度器等多个服务会用到它,个人认为它也是比较耗费资源的,但不建议设置成禁用,手动即可。
Plug and Play
使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。即插即用,最基本的服务之一,想关也关不了。
PnP-X IP Bus Enumerator
PnP-X 总线枚举器服务管理虚拟网络总线。该服务使用 SSDP/WS 发现协议来发现网络连接设备并使其存在于 PnP 中。如果停止或禁用此服务,则NCD 设备将不会继续保持在 PnP 中。所有基于 pnpx 的方案都将停止运行。PnP-X 总线枚举服务器-WindowsConnectNow(WCN),即微软网络和装置平台的组件之一,它是即插即用的扩展,支持某些联网的智能家电装置(比如能联网的电饭锅、冰箱)连接到你的 PC上面。目前还用不上, 禁用它!
PNRP Machine Name Publication Service
此服务使用对等名称解析协议发布计算机名称。配置是通过 Netsh 上下文“p2p pnrp peer”管理的。
这个是用来对P2P网络中发布服务器进行命名解析的,一般不需要它。默 认即可。
Portable Device Enumerator Service
强制可移动大容量存储设备的组策略。使应用程序(如 Windows Media Player 和图像导入向导)能够使用可移动大容量存储设备传输和同步内容。如不需要同步建议关闭。
Power
管理电源策略和电源策略通知传递。
该服务的默认运行方式是自动,保持默认。
Print Spooler
将文件加载到内存供稍后打印
不用多说了,有打印机(包括虚拟的)就开,没有就关。
Problem Reports and Solutions Control Panel Support
此服务为查看、发送和删除“问题报告和解决方案”控制面板的系统级问题报告提供支持。开了它基本也解决不了你计算机出的问题。禁用吧。
Program Compatibility Assistant Service
此服务为程序兼容性助手(PCA)提供支持。PCA 监视由用户安装和运行的程序,并检测已知兼容性问题。如果停止此服务,PCA 将无法正常运行。如果你使用到 Program CompatibilityAssistant或者需要将你的程序设置成兼容模式运行,比如运行在Win98 或 Windows2000的方式下,就修改成自动,强烈建议设置为自动。
Protected Storage
为敏感数据(如密码)提供保护存储,以防止未授权的服务、进程或用户访问。2000/XP流传 下来的服务,尽管用处不大,但为了安全还是保留着吧,禁用或手动均可。
0条评论