xp本地安全設置軟體限制策略

① XP怎樣設置才能限制軟體安裝

具體操作步驟：

首先打開「開始」菜單，「運行」

輸入「gpedit.msc"，這個是組策略。

我們打開」管理模板「 > 「系統」

然後這里有

「不要運行指定的Windwos應用程序"

比如我想讓QQ不能運行。添加 QQ.exe

這里當然有的人用的qq不同版本，你用什麼qq，啟動的.exe叫什麼添加進去就行了

其他游戲程序類似

這里還有

「只運行指定的Windows應用程序」

一樣的道理，雙擊打開屬性，這里添加QQ.exe

那就只能打開QQ了。只有QQ能打開了。

或者添加 學習程序，視頻播放程序，都可以

此時再雙擊qq程序，就會提示：

「本次操作由於這台計算機的限制而被取消。請於您的系統管理員聯系。」

有的時候操作系統會禁止組策略的運行，那麼我用的比較笨的方法是：

依次單擊「開始」/「運行」命令，在彈出的系統運行對話框中，輸入字元串命令「regedit」，單擊「確定」按鈕後，打開系統的注冊表編輯窗口; 在該窗口中，依次展開注冊表分支HKEY_CURRENT_ {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，在隨後彈出的窗口右側區域中，你將看到一個 「Restrict_Run」鍵值; 用滑鼠雙擊該鍵值，打開一個數值設置窗口，在其中輸入數字「0」，最後單擊「確定」按鈕;此後，當你再次打開系統運行對話框，並在其中執行 「gpedit.msc」命令時，你會發現自鎖的組策略編輯窗口，現在可以被輕松打開了。

② 怎樣在XP用「組策略」完全禁止安裝軟體

1. 執行開始—運行—gpedit.msc命令（快捷鍵為win+r）。

2. 打開組策略，依次展開計算機配置—Windows設置—安全設置—軟體限制策略。

3. 創建新的策略。

4. 選擇其他規則—新建路徑規則。

5. 選擇瀏覽，指定文件夾為目標，安全級別為不允許確定保存即可。

③ XP策略如何設置受限制用戶的安裝軟體許可權

XP系統限制某些用戶安裝軟體的許可權，可通過以下步驟進行設置：

1、單擊「開始」，在彈出菜單中點擊「運行」

④ 誰知道,在XP里,如何限制一個程序,讓這個程序沒有辦法運行..................

一、限制用戶對文件的訪問許可權

如果程序所在的磁碟分區文件系統為NTFS格式，管理員賬戶可以利用NTFS文件系統提供的文件和文件夾安全選項控制用戶對程序及文件的訪問許可權。通常情況下，一個應用程序安裝到系統後，本地計算機的所有賬戶都可以訪問並運行該應用程序。如果取消分配給指定用戶對該應用程序或文件夾的訪問許可權，該用戶也就失去了運行該應用程序的能力。

例如，要禁止受限用戶運行Outlook Express應用程序，可以進行如下的操作：

（1）、以administrator賬戶登錄系統，如果當前系統啟用了簡單文件共享選項，需要將該選項關閉。具體做法是，在Windows瀏覽器窗口點擊「工具」菜單下的「文件夾選項」，點擊「查看」選項頁，取消「使用簡單文件共享」選項的選擇，點擊「確定」。

（2）、打開Program Files文件夾，選中Outlook Express文件夾並單擊右鍵，選擇「屬性」。

（3）、點擊「安全」選項頁，可以看到Users組的用戶對該文件夾具有讀取和運行的許可權，點擊「高級」。

（4）、取消「從父項繼承那些可以應用到子對象的許可權項目，包括那些再次明確定義的項目」選項的選擇，在彈出的提示信息對話框，點擊「復制」，此時可以看到用戶所具有的許可權改為不繼承的。

（5）、點擊「確定」，返回屬性窗口，在「用戶或組名稱」列表中，選擇Users項目，點擊「刪除」，點擊「確定」，完成許可權的設置。

要取消指定用戶對文件或程序的訪問限制，需要為文件或文件夾添加指定的用戶或組並賦予相應的訪問許可權。

這種方法允許管理員針對每個用戶來限制他訪問和運行指定的應用程序的許可權。但是這需要一個非常重要的前提，那就是要求應用程序所在的分區格式為NTFS，否則，一切都無從談起。

對於FAT/FAT32格式的分區，不能應用文件及文件夾的安全選項，我們可以通過設置計算機的策略來禁止運行指定的應用程序。

二、啟用「不要運行指定的Windows應用程序」策略

在組策略中有一條名為「不要運行指定的Windows應用程序」策略，通過啟用該策略並添加相應的應用程序，就可以限制用戶運行這些應用程序。設置方法如下：

（1）、在「開始」「運行」處執行gpedit.msc命令，啟動組策略編輯器，或者運行mmc命令啟動控制台，並將「組策略」管理單元載入到控制台中；

（2）、依次展開「『本地計算機』策略」「用戶設置」「管理模板」，點擊「系統」，雙擊右側窗格中的「不要運行指定的Windows應用程序」策略，選擇「已啟用」選項，並點擊「顯示」。

（3）、點擊「添加」，輸入不運行運行的應用程序名稱，如命令提示符cmd.exe，點擊「確定」，此時，指定的應用程序名稱添加到禁止運行的程序列表中。

（4）、點擊「確定」返回組策略編輯器，點擊「確定」，完成設置。

當用戶試圖運行包含在不允許運行程序列表中的應用程序時，系統會提示警告信息。把不允許運行的應用程序復制到其他的目錄和分區中，仍然是不能運行的。要恢復指定的受限程序的運行能力，可以將「不要運行指定的Windows應用程序」策略設置為「未配置」或「已禁用」，或者將指定的應用程序從不允許運行列表中刪除（這要求刪除後列表不會成為空白的）。

這種方式只阻止用戶運行從Windows資源管理器中啟動的程序，對於由系統過程或其他過程啟動的程序並不能禁止其運行。該方式禁止應用程序的運行，其用戶對象的作用范圍是所有的用戶，不僅僅是受限用戶，Administrators組中的賬戶甚至是內建的administrator帳戶都將受到限制，因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程序時，需要先通過組策略編輯器將該應用程序從不運行運行列表中刪除，在程序運行完成後，再將該程序添加到不允許運行程序列表中。需要注意的是，不要將組策略編輯器（gpedit.msc）添加到禁止運行程序列表中，否則會造成組策略的自鎖，任何用戶都將不能啟動組策略編輯器，也就不能對設置的策略進行更改。

提示：如果沒有禁止運行「命令提示符」程序的話，用戶可以通過cmd命令，從「命令提示符」運行被禁止的程序，例如，將記事本程序(notepad.exe)添加不運行列表中，通過XP的桌面運行該程序是被限制的，但是在「命令提示符」下運行notepad命令，可以順利的啟動記事本程序。因此，要徹底的禁止某個程序的運行，首先要將cmd.exe添加到不允許運行列表中。

三、設置軟體限制策略

軟體限制策略是本地安全策略的一個組成部分，管理員通過設置該策略對文件和程序進行標識，將它們分為可信任和不可信任兩種，通過賦予相應的安全級別來實現對程序運行的控制。這個措施對於解決未知代碼和不可信任代碼的可控制運行問題非常有效。軟體設置策略使用兩個方面的設置對程序進行限制：安全級別和其他規則。

安全級別分為「不允許的」和「不受限制的」兩種。其中，「不允許的」將禁止程序的運行，不論用戶的許可權如何；「不受限的」允許登錄用戶使用他所擁有的許可權來運行程序。

其它規則，即由管理員通過制定規則對指定的一批或一個文件和程序進行標識，並賦予「不允許的」或「不受限的」安全級別。在這個部分中，管理員可以制定四種類型的規則，按照優先順序別分別是：散列規則、證書規則、路徑規則和Internet區域規則，這些規則將對文件的訪問和程序的運行提供最大限度的授權級別。

軟體限制策略的設置

1、訪問軟體限制策略

作為本地安全策略的一部分，軟體限制策略同時也包含在組策略中，這些策略的設置必須以administrator賬戶或Administrators組成員的身份登錄系統。軟體限制策略的訪問方式有兩種：

（1）、在「開始」「運行」處運行secpol.msc，啟動本地安全策略編輯器，在「安全設置」下可以看到「軟體限制策略」項目。

（2）、在「開始」「運行」處運行gpedit.msc，啟動組策略編輯器，在「計算機設置」「Windows設置」「安全設置」下可以看到「軟體限制策略」。

2、新建軟體限制策略

首次打開「軟體限制策略」時，該項目是空的。策略需要由管理員手動添加。方法是點擊「軟體限制策略」使其處於選中狀態，點擊編輯器窗口「操作」菜單下的「新建一個策略」項目，此時可以看到「軟體限制策略」下增加了「安全級別」和「其它規則」以及三條屬性，如圖2所示。一旦執行了新建策略操作後，就不能再次執行該操作，並且這個策略也不能刪除。

3、設置默認的安全級別

新建軟體限制策略後，策略的默認安全級別為「不受限的」，如果要更改默認的安全級別，需要在「安全級別」中進行設置，方法如下：

（1）、打開「安全級別」，在右側窗格中，可以看到有兩條設置，其中圖標中帶有一個小對號的設置為默認設置；

（2）、點擊不是默認值的那條設置，單擊右鍵，選擇「設置為默認」項。當設置「不允許的」為默認值時，系統會顯示一個提示信息對話框，點擊「確定」即可。

該步驟也可以雙擊非默認的設置，在彈出的屬性窗口中，點擊「設為默認值」。

4、設置策略的作用范圍和對象

通過策略的「強制」屬性可以設置策略應用的軟體文件是否包含庫文件以及作用的對象是否包含管理員賬戶。通常情況下，為了避免引起系統不必要的問題以及便於對系統的管理，策略的作用范圍應設置為不包含庫文件的所有軟體文件，作用對象設置為除本地管理員外的所有用戶。設置的方法如下：

（1）、單擊「軟體限制策略」，雙擊右側窗格中的「強制」屬性項目；

（2）、選擇「除去庫文件（如Dll文件）以外的所有軟體文件」選項和「除本地管理員以外的所有用戶」選項，單擊「確定」。

5、制定規則

只通過安全級別的設置，顯然不能很好的實現對文件和程序的控制，必須通過制定合理的規則來標識那些禁止或允許運行的文件和程序，並進而實現對這些文件和程序的靈活控制。上文中提到可制定規則的類型有四種：散列規則、證書規則、路徑規則和Internet區域規則。它們標識文件以及制定規則的方法如下：

散列規則：利用散列演算法計算出指定文件的散列，這個散列是唯一標識該文件的一系列定長位元組。制定了散列規則後，用戶訪問或運行文件時，軟體限制策略會根據文件的散列及安全級別來允許或阻止對該文件進行訪問或運行。當文件移動或重命名，不會影響文件的散列，軟體限制策略對該文件依然有效。制定方法如下：

（1）、點擊「軟體限制策略」下的「其它規則」，在「其他規則」上單擊右鍵，或在右側窗格的空白區域單擊右鍵，選擇「新散列規則」。

（2）、點擊「瀏覽」，指定要標識的文件或程序，例如cmd.exe，確認後，在文件散列中可以看到計算出來的散列，在「安全級別」中選擇「不允許的」或「不受限的」，點擊「確定」，在「其它規則」中可以看到新增了一條類型為散列的規則。

證書規則：利用與文件或程序相關聯的簽名證書進行標識。證書規則需要的證書可以是自簽名的、由證書頒發機構（CA）頒發或是由Windows2000公鑰機構發布。證書規則不應用於EXE文件和DLL文件，它主要應用於腳本和Windows安裝程序包。當某個文件由其關聯的簽名證書標識後，運行該文件時，軟體限制策略會根據該文件的安全級別來決定是否可以運行。文件的移動和更名不會對證書規則的應用產生影響。制定證書規則時要求能夠訪問到用來標識文件的證書文件，證書文件的擴展名為.CER。創建方法同散列規則。

路徑規則：利用文件或程序的路徑進行標識，該規則可以針對一個指定的文件、用通配符表示的一類文件或是某一路徑下的所有文件及子文件夾中的文件。由於標識是由路徑來完成的，當文件移動或重命名時，路徑規則會失去作用。在路徑規則中，根據路徑范圍的大小，優先順序別各有高低，范圍越大，優先順序越低。通常路徑的優先順序從高到低為：指定的文件、帶路徑的以通配符表示的一類文件、通配符表示的一類文件、路徑、上一級路徑。創建方法同散列規則。

Internet區域規則：利用應用程序下載的Internet區域進行標識。區域主要包括：Internet、本地Intranet、本地計算機、受限制的站點、受信任的站點。該規則主要應用於Windows的安裝程序包。創建方法同散列規則。

6、維護可執行代碼的文件類型

不論是那種規則，它所影響的文件類型只有「指派的文件類型」屬性中列出的那些類型，這些類型是所有規則共享的。某些情況下，管理員可能需要刪除或添加某種類型的文件，以便規則能夠對這類文件失去或產生作用，這就需要我們來維護「指派的文件類型」屬性。方法如下：

（1）、單擊「軟體限制策略」，雙擊右側窗格中的「指派的文件類型」屬性項目；

（2）、如果新增一種文件類型，在「文件擴展名」處輸入添加的擴展名，點擊「添加」；如果要刪除一種文件類型，單擊列表中的制定類型，點擊「刪除」。

7、利用規則的優先順序靈活控製程序的運行

四種規則的優先順序從高到依次為：散列規則、證書規則、路徑規則、Internet區域規則。如果有超過一條以上的規則同時作用於同一個程序，那麼優先順序最高的規則設定的安全級別將決定該程序是否能運行。如果多於一條的同類規則作用於同一個程序，那麼同類規則中最具限制力的規則將起作用。這為我們提供了一條對程序的運行進行靈活控制的途徑。單一規則的作用效果雖然全面，但是也限制了我們所需要的那些部分，復合規則的綜合作用將產生諸如「除了我們需要的/不需要的以外，其他全部不允許/不受限制」這樣的效果，這也許才是我們真正需要的安全級別。

提示：軟體限制策略的生效需要注銷並重新登錄系統。如果在軟體限制策略中為一個程序制定了一條安全級別為「不受限的」規則，而這個程序包含在「不要運行指定的Windows應用程序」策略的不允許運行程序列表中，那麼最終這個程序是不允許運行的。要取消對程序的限制，需要將相關的規則刪除：在「其他規則」中的規則列表中，在要刪除的規則上點擊右鍵，選擇「刪除」即可。

上述三種限製程序運行的措施各有特點。從限制的實現方法和效果來看，限制用戶對文件的訪問許可權可以讓管理員以Administartor賬戶身份對所有用戶的許可權進行控制，作用的范圍可以是所有類型的文件和文件夾，但是這種方法受到應用環境的限制。採取基於策略的措施，不論是啟用「不要運行指定的Windows應用程序」策略還是設置軟體限制策略，對於要限制的用戶對象作用范圍來講都是用戶組，不能針對具體的用戶進行設置，要麼是所有的用戶，要麼是除管理員組外的所有用戶。但是這些措施對系統環境的要求不高，在XP系統中都可以進行實施。另外，基於策略的設置可以對計算機進行更加靈活的管理。特別是軟體限制策略允許管理員通過多種方式對程序進行標識，對於程序的運行具有很高的可控性。

⑤ 電腦本地安全策略裡面，軟體限制策略啟動後怎樣關閉

1、打開開始菜單。win7在搜索欄中輸入「gpedit.msc」，然後回車；xp直接中運行中輸入，回車。
2、打開組策略編輯器。
3、選擇「本地計算機策略」→「計算機配置」→「windows設置」→「安全設置」→「軟體限制策略」→「其他規則」。

4、 如果沒有軟體限制策略選項，用滑鼠右鍵點擊「本地計算機策略」，在彈出的菜單中選擇「查看」→「添加刪除列」

用滑鼠右鍵點擊「其他規則」，在彈出菜單中點擊「新散列規則」。

⑥ XP下如何設置受限用戶不能下載和安裝程序

用管理員賬戶登錄，才可以修改其他角色許可權我的電腦 右鍵－>管理－>本地用戶和組－>用戶（下邊是用戶組）－>選中某個用戶－>雙擊－>隸屬於－>根據要求劃分組即可。組的具體許可權可以從「組」里邊看到。

控制面板→用戶賬戶，點「創建一個新用戶」，輸入名稱，下一步，在新出現的畫面中提供了「計算機管理員」和「受限」兩種許可權。用滑鼠點選「受限」單選按鈕，然後點擊「創建賬戶」，按提示操作完成即可。（注意：你的「計算機管理員」用戶除了「Administrator」外還需要一個，一般就供自己使用。要是只有「Administrator」，就無法創建受限用戶）
創建完後就給自己用的帳戶設置密碼，當然要保密羅！其他人就只能登陸受限用戶，除了不能安裝軟體外，其他的基本功能（包括認證上網）都能用。
當然還可以啟用「Guest」用戶，但好像不能認證上校園網。

達到目的的方法當然還有好多種,我只是個菜鳥,希望各位大蝦能提供更好的方法!多多交流!

1.開始->運行->Gpedit.Msc
2.依次展開:用戶配置->管理模板->系統->只運行許可的Windows應用程序->設置->已啟用->顯示->添加->選擇程序,確定就可以了.
另外,到計算機配置->Windows設置->安全設置->軟體限制策略->其它規則中可以新建限制運行的軟體.

⑦ XP系統如何禁止下載安裝任何軟體和程序

在組策略里禁止。
運行-gpedit.msc，計算機管理-windows設置-安全設置-軟體限制策略，點右鍵「創建新的策略」。

⑧ xp組策略中限制某軟體的運行在哪

下面是所有XP_SP2服務的詳細介紹

01.●顯示名稱：Alerter
◎微軟描述：通知所選用戶和計算機有關系統管理級警報。如果服務停止，使用

管理警報的程序將不會受到它們。如果此服務被禁用，任何直接依賴它的服務都

將不能啟動。
◎補充描述：警報器。該服務進程名為Services.exe，一般家用計算機根本不需

要傳送或接收計算機系統管理來的警示(AdministrativeAlerts)，除非你的計算

機用在區域網絡上。
◎默認：禁用
◎建議：禁用

02.●顯示名稱：Application Layer Gateway Service
◎微軟描述：為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的

支持。
◎補充描述：XP_SP2自帶的防火牆，如果你不用可以關掉。
◎默認：手動（已啟動）
◎建議：禁用

03.●顯示名稱：Application Management
◎微軟描述：提供軟體安裝服務，諸如分派，發行以及刪除。
◎補充描述：應用程序管理。從win2000開始引入的一種基於msi文件格式的全新

有效軟體管理方案--應用程序管理組件服務，不僅可以管理軟體的安裝、刪除，

還可以使用此服務修改、修復現有應用程序，監視文件復原並通過復原排除基本

故障等，軟體安裝變更的服務。
◎默認：手動
◎建議：手動

04.●顯示名稱：Automatic Updates
◎微軟描述：允許下載並安裝 Windows 更新。如果此服務被禁用，計算機將不

能使用 Windows Update 網站的自動更新功能。
◎補充描述：自動更新，手動就行，需要的時候打開，沒必要隨時開著。
◎默認：自動
◎建議：手動

05.●顯示名稱：Background Intelligent Transfer Service
◎微軟描述：在後台傳輸客戶端和伺服器之間的數據。如果禁用了 BITS，一些

功能，如 Windows Update，就無法正常運行。
◎補充描述：經由HTTP1.1在背景傳輸資料的東西，例如 Windows Update 就是

以此為工作之一。這個服務原是用來實現http1.1伺服器之間的信息傳輸，微軟

稱支持windows更新時斷點續傳。
◎默認：手動
◎建議：手動

06.●顯示名稱：ClipBook
◎微軟描述：啟用「剪貼簿查看器」儲存信息並與遠程計算機共享。如果此服務

終止，「剪貼簿查看器」 將無法與遠程計算機共享信息。如果此服務被禁用，

任何依賴它的服務將無法啟動。
◎補充描述：剪貼簿。把剪貼簿內的信息和其它台計算機分享，一般家用計算機

根本用不到。用與區域網電腦來共享「粘貼/剪貼」的內容。比爾怎麼會想出這

么奇怪的功能。
◎默認：禁用
◎建議：禁用

07.●顯示名稱：COM+ Event System
◎微軟描述：支持系統事件通知服務(SENS)，此服務為訂閱組件對象模型(COM)

組件事件提供自動分布功能。如果停止此服務，SENS 將關閉，而且不能提供登

錄和注銷通知。如果禁用此服務，顯式依賴此服務的其他服務將無法啟動。
◎補充描述：COM+ 事件系統。有些程序可能用到 COM+ 組件，像 BootVis 的

optimize system 應用，如事件檢查內顯示的 DCOM 沒有啟用。一些COM+軟體需

要，檢查你的C:\Program Files\ComPlus Applications目錄，沒東西可以把這

個服務關閉。
◎默認：手動（已啟動）
◎建議：手動

08.●顯示名稱：COM+ System Application
◎微軟描述：管理 基於COM+ 組件的配置和跟蹤。如果服務停止，大多數基於

COM+ 組件將不能正常工作。如果本服務被禁用，任何明確依賴它的服務都將不

能啟動。
◎補充描述：如果 COM+ Event System 是一台車，那麼 COM+ System

Application 就是司機，如事件檢視器內顯示的 DCOM 沒有啟用。一些 COM+軟

件需要，檢查你的C:\Program Files\ComPlus Applications目錄，沒東西可以

把這個服務關閉。
◎默認：手動
◎建議：手動

09.●顯示名稱：Computer Browser
◎微軟描述：維護網路上計算機的更新列表，並將列表提供給計算機指定瀏覽。

如果服務停止，列表不會被更新或維護。如果服務被禁用，任何直接依賴於此服

務的服務將無法啟動。
◎補充描述：計算機瀏覽器。一般家庭用計算機不需要，除非你的計算機應用在

區域網之上，不過在大型的區域網上有必要開這個拖慢速度嗎？用來瀏覽區域網

電腦的服務，但關了也不影響瀏覽！垃圾。
◎默認：自動
◎建議：手動

10.●顯示名稱：Cryptographic Services
◎微軟描述：提供三種管理服務: 編錄資料庫服務，它確定 Windows 文件的簽

字; 受保護的根服務，它從此計算機添加和刪除受信根證書機構的證書;和密鑰

(Key)服務，它幫助注冊此計算機獲取證書。如果此服務被終止，這些管理服務

將無法正常運行。如果此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種

認證，例如你使用 Automatic Updates，升級驅動程序，你就會需要這個。
◎默認：自動
◎建議：自動

11.●顯示名稱：DCOM Server Process Launcher
◎微軟描述：為 DCOM 服務提供載入功能。
◎補充描述：SP2新增的服務，DCOM（分布式組件對象模式），關閉這個服務會

造成很多手動服務無法在需要的時候自動啟動，很麻煩。
◎默認：自動
◎建議：自動

12.●顯示名稱：DHCP Client
◎微軟描述：通過注冊和更改 IP 地址以及 DNS 名稱來管理網路配置。
◎補充描述：DHCP 客戶端。沒有固定IP的的用戶還是開著吧，否則上不了網，

特別是小區光纖用戶。
◎默認：自動
◎建議：自動

13.●顯示名稱：Distributed Link Tracking Client
◎微軟描述：在計算機內 NTFS 文件之間保持鏈接或在網路域中的計算機之間保

持鏈接。
◎補充描述：分布式連結追蹤客戶端。用於區域網更新連接信息，比如在電腦A

有個文件，在B做了個連接，如果文件移動了，這個服務將會更新信息。對於絕

大多數用戶來說，形同虛設，可以關閉，特殊用戶除外。佔用4兆內存。
◎默認：自動
◎建議：手動

14.●顯示名稱：Distributed Transaction Coordinator
◎微軟描述：協調跨多個資料庫、消息隊列、文件系統等資源管理器的事務。如

果停止此服務，則不會發生這些事務。如果禁用此服務，顯式依賴此服務的其他

服務將無法啟動。
◎補充描述：分布式交換協調器。一般家庭用計算機用不太到，除非你啟用的

Message Queuing。
◎默認：手動
◎建議：手動

15.●顯示名稱：DNS Client
◎微軟描述：為此計算機解析和緩沖域名系統 (DNS) 名稱。如果此服務被停止

，計算機將不能解析 DNS 名稱並定位 Active Directory 域控制器。如果此服

務被禁用，任何明確依賴它的服務將不能啟動。
◎補充描述：DNS 客戶端。另外IPSEC需要用到。DNS解析服務。事實上，一個網

站並不是只有一台伺服器在工作，基於安全性考慮，停止。
◎默認：自動
◎建議：自動

16.●顯示名稱：Error Reporting Service
◎微軟描述：服務和應用程序在非標准環境下運行時允許錯誤報告。
◎補充描述：微軟的應用程序錯誤報告服務，對於大多數用戶來說也沒什麼用處

，說白了，這個服務就是當我們在使用微軟的軟體時如果發生了錯誤，系統會自

動將錯誤代碼作為一個備份文件，並且詢問你是否要把文件發送至微軟以尋求幫

助？由於普通用戶與微軟總部聯系的機會實在是很少，對於盜版用戶來說更沒什

么用處，建議停用。
◎默認：自動
◎建議：禁用

17.●顯示名稱：Event Log
◎微軟描述：啟用在事件查看器查看基於 Windows 的程序和組件頒發的事件日

志消息。無法終止此服務。
◎補充描述：事件查看器。允許事件訊息顯示在事件檢視器之上。
◎默認：自動
◎建議：自動

18.●顯示名稱：Fast User Switching Compatibility
◎微軟描述：為在多用戶下需要協助的應用程序提供管理。
◎補充描述：另外像是注銷畫面中的切換使用者功能，一般建議採用默認手動，

否則可能很多功能實現。如果你基於安全性考慮，並且不使用多用戶環境，可以

停止。
◎默認：手動（已啟動）
◎建議：手動

19.●顯示名稱：Help and Support
◎微軟描述：啟用在此計算機上運行幫助和支持中心。如果停止服務，幫助和支

持中心將不可用。如果禁用服務，任何直接依賴於此服務的服務將無法啟動。
◎補充描述：如果不使用就關了吧，現實中證明沒有多少人需要它，除非有特別

需求，否則建議停用。
◎默認：自動
◎建議：手動

20.●顯示名稱：HTTP SSL
◎微軟描述：此服務通過安全套接字層(SSL)實現 HTTP 服務的安全超文本傳送

協議(HTTPS)。如果此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：SP2新增的服務，默認就是手動，實際使用中也沒見它啟動過，就

不要管它了！
◎默認：手動
◎建議：手動

21.●顯示名稱：Human Interface Device Access
◎微軟描述：啟用對智能界面設備 (HID)的通用輸入訪問，它激活並保存鍵盤、

遠程式控制制和其它多媒體設備上的預先定義的熱按鈕。如果此服務被終止，由此服

務控制的熱按鈕將不再運行。如果此服務被禁用，任何依賴它的服務將無法啟動

。
◎補充描述：如果沒有什麼HID裝置，可以停用支持「弱智」電腦配件的，比如

鍵盤上調音量的按鈕等。
◎默認：禁用
◎建議：禁用

22.●顯示名稱：IMAPI CD-Burning COM Service
◎微軟描述：用 Image Mastering Applications Programming Interface

(IMAPI) 管理 CD 錄制。如果停止該服務，這台計算機將無法錄制 CD。如果該

服務被停用，任何依*它的服務都無法啟動。
◎補充描述：XP 整合的 CD-R 和 CD-RW 光碟機上拖放的燒錄功能，可惜比不上燒

錄軟體，關掉還可以加快Nero的開啟速度，如果你習慣使用第三方軟體或者根本

沒有刻錄機，那就停用。佔用1.6兆內存。
◎默認：手動
◎建議：禁用

23.●顯示名稱：Indexing Service
◎微軟描述：本地和遠程計算機上文件的索引內容和屬性；通過靈活查詢語言提

供文件快速訪問。
◎補充描述：索引服務。簡單的說可以讓你加快搜查速度，不過我想應該很少人

和遠程計算機作搜尋吧，除非特殊工作。恐怖的xp減速的東東，堅決關閉。
◎默認：手動
◎建議：手動

24.●顯示名稱：IPSEC Services
◎微軟描述：管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅

動程序。
◎補充描述：IP 安全性服務。協助保護經由網路傳送的數據。IPSec 為一重要

環節，為虛擬私人網路 (VPN) 中提供安全性，而 VPN 允許組織經由網際網路安全

地傳輸數據。在某些網域上也許需要，但是一般使用者大部分是不太需要的，可

停止。大眾用戶連邊都沾不上。
◎默認：自動
◎建議：手動

25.●顯示名稱：Logical Disk Manager
◎微軟描述：監測和監視新硬碟驅動器並向邏輯磁碟管理器管理服務發送卷的信

息以便配置。如果此服務被終止，動態磁碟狀態和配置信息會過時。如果此服務

被禁用，任何依賴它的服務將無法啟動。
◎補充描述：邏輯磁碟管理員。磁碟管理員用來動態管理磁碟，如顯示磁碟可用

空間等和使用 Microsoft Management Console(MMC)主控台的功能，該服務對於

經常使用移動硬碟、閃盤等外設的用戶必不可少，根據具體情況。改為手動後需

要時它會通知你。
◎默認：自動
◎建議：自動

26.●顯示名稱：Logical Disk Manager Administrative Service
◎微軟描述：配置硬碟驅動器和卷。此服務只為配置處理運行，然後終止。
◎補充描述：邏輯磁碟管理員系統管理服務。使用 Microsoft Management

Console(MMC)主控台的功能時才用到。磁碟管理服務。需要時它會通知你，所以

一般手動。
◎默認：手動
◎建議：手動

27.●顯示名稱：Messenger
◎微軟描述：傳輸客戶端和伺服器之間的 NET SEND 和 Alerter 服務消息。此

服務與 Windows Messenger 無關。如果服務停止，Alerter 消息不會被傳輸。

如果服務被禁用，任何直接依賴於此服務的服務將無法啟動。
◎補充描述：信使服務。允許網路之間互相傳送提示信息的功能，net send 功

能，如不想被騷擾話可關了。
◎默認：禁用
◎建議：禁用

28.●顯示名稱：MS Software Shadow Copy Provider
◎微軟描述：管理卷影復制服務拍攝的軟體卷影復制。如果該服務被停止，軟體

卷影復制將無法管理。如果該服務被停用，任何依賴它的服務將無法啟動。
◎補充描述：如上所說的，用來備份的東西，如 MS Backup 程序就需要這個服

務，但是大多數人用不到這個功能。
◎默認：手動
◎建議：手動

29.●顯示名稱：Net Logon
◎微軟描述：支持網路上計算機 pass-through 帳戶登錄身份驗證事件。
◎補充描述：一般家用計算機不太可能去用到登入網路審查這個服務。登陸

Domain Controller用的，大眾用戶快關。如果要使用網內的域伺服器登錄到域

網時，啟動。
◎默認：手動
◎建議：手動

30.●顯示名稱：NetMeeting Remote Desktop Sharing
◎微軟描述：使授權用戶能夠通過使用 NetMeeting 跨企業 intranet 遠程訪問

此計算機。如果此服務被停用，遠程桌面服務將不可用。如果此服務被禁用，任

何依賴它的服務將無法啟動。
◎補充描述：NetMeeting 遠程桌面共享。讓使用者可以將計算機的控制權分享

予網路上或網際網路上的其它使用者，用NetMeeting實現電腦共享。 如果你重視

安全性，就關。如果你需要用到遠程桌面求助或幫助別人就別動。
◎默認：手動
◎建議：手動

31.●顯示名稱：Network Connections
◎微軟描述：管理「網路和撥號連接」文件夾中對象，在其中您可以查看區域網

和遠程連接。
◎補充描述：網路連接。控制你的網路連接，網際網路、區域網要用的東東。關了

就看不見網路連接了，不過需要的時候可以隨時打開，不影響上網！
◎默認：手動（已啟動）
◎建議：手動

32.●顯示名稱：Network DDE
◎微軟描述：為在同一台計算機或不同計算機上運行的程序提供動態數據交換

(DDE) 的網路傳輸和安全。如果此服務被終止， DDE 傳輸和安全將不可用。如

果此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：網路 DDE。一般人好像用不到。
◎默認：禁用
◎建議：禁用

33.●顯示名稱：Network DDE DSDM
◎微軟描述：管理動態數據交換 (DDE) 網路共享。如果此服務終止，DDE 網路

共享將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：網路 DDE DSDM。一般人好像用不到。
◎默認：禁用
◎建議：禁用

34.●顯示名稱：Network Location Awareness (NLA)
◎微軟描述：收集並保存網路配置和位置信息，並在信息改動時通知應用程序。
◎補充描述：如果不使用ICF和ICS可以關了它。如有網路共享或ICS/ICF可能需

要(伺服器端)。對於移動辦公用戶，啟動。
◎默認：手動（已啟動）
◎建議：手動

35.●顯示名稱：Network Provisioning Service
◎微軟描述：為自動網路提供管理基於域的 XML 配置文件。
◎補充描述：
◎默認：手動
◎建議：手動

36.●顯示名稱：NT LM Security Support Provider
◎微軟描述：為使用傳輸協議而不是命名管道的遠程過程調用(RPC)程序提供安

全機制。
◎補充描述：NTLM 安全性支持提供者。如果不使用 Message Queuing 或是

Telnet Server 那就關了它，一般用戶也用不上。服務用的東東，關！！
◎默認：手動
◎建議：手動

37.●顯示名稱：Performance Logs and Alerts
◎微軟描述：收集本地或遠程計算機基於預先配置的日程參數的性能數據，然後

將此數據寫入日誌或觸發警報。如果此服務被終止，將不會收集性能信息。如果

此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：性能記錄文件及警示。記錄機器運行狀況而且定時寫入日誌或發警

告，內容可能過於專業，我反正看不懂，所以～～自己決定。個人認為沒什麼價

值的服務。
◎默認：手動
◎建議：手動

38.●顯示名稱：Plug and Play
◎微軟描述：使計算機在極少或沒有用戶輸入的情況下能識別並適應硬體的更改

。終止或禁用此服務會造成系統不穩定。
◎補充描述：即插即用。顧名思義就是 PNP 環境，一般計算機中都需要PNP環境

的支持，所以不要關閉。
◎默認：自動
◎建議：自動

39.●顯示名稱：Portable Media Serial Number Service
◎微軟描述：Retrieves the serial number of any portable media player

connected to this computer. If this service is stopped, protected

content might not be down loaded to the device.
◎補充描述：WmdmPmSN(便攜的媒體序號服務)。獲得系統中媒體播放器的序列號

，用於控制盜版音樂文件復制到便攜播放器上，如MP3、MD等。該服務進程名為

Svchost.exe。這個東西沒什麼價值，與我們盜版的宗旨相違背，別考慮，關掉

吧！
◎默認：手動
◎建議：手動

40.●顯示名稱：Print Spooler
◎微軟描述：將文件載入到內存中以便遲後列印。
◎補充描述：列印多任務緩沖處理器。可以優化列印，對於列印功能有一定的幫

助，如果根本沒有列印機，可以關了。
◎默認：自動
◎建議：手動

41.●顯示名稱：Protected Storage
◎微軟描述：提供對敏感數據(如私鑰)的保護性存儲，以便防止未授權的服務，

過程或用戶對其的非法訪問。
◎補充描述：受保護的存放裝置。用來儲存你計算機上密碼的服務，像 Outlook

、撥號程序、其它應用程序、主從架構等等。視具體使用環境而定，在不安全的

環境下建議停止。
◎默認：自動
◎建議：手動

42.●顯示名稱：QoS RSVP
◎微軟描述：為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地

通信控制安裝功能。
◎補充描述：QoS 許可控制，RSVP。用來保留 20% 帶寬的服務，如果你的網卡

不支持802.1p 或在你計算機的網路上沒有 ACS server，那就不用多說了，關了

它。
◎默認：手動
◎建議：手動

43.●顯示名稱：Remote Access Auto Connection Manager
◎微軟描述：無論什麼時候當某個程序引用一個遠程 DNS 或 NetBIOS 名或者地

址就創建一個到遠程網路的連接。
◎補充描述：如果你的機器提供網路共享服務就啟動它，以避免網
絡斷線後手動連接，否則停止。
◎默認：手動
◎建議：手動

44.●顯示名稱：Remote Access Connection Manager
◎微軟描述：創建網路連接。
◎補充描述：根據具體情況而定。
◎默認：手動
◎建議：手動

45.●顯示名稱：Remote Desktop Help Session Manager
◎微軟描述：管理並控制遠程協助。如果此服務被終止，遠程協助將不可用。終

止此服務前，請參見「屬性」對話框上的「依存」選項卡。
◎補充描述：遠程桌面協助服務，用於管理和控制遠程協助，，對於普通用戶來

說，用處不大，可以關閉。佔用4兆內存。
◎默認：手動
◎建議：手動

46.●顯示名稱：Remote Procere Call (RPC)
◎微軟描述：提供終結點映射程序 (endpoint mapper) 以及其它 RPC 服務。
◎補充描述：遠程過程調用。系統級服務，別去動它！你可以自己去看看依存服

務就明白了。
◎默認：自動
◎建議：自動

47.●顯示名稱：Remote Procere Call (RPC) Locator
◎微軟描述：管理 RPC 名稱服務資料庫。
◎補充描述：遠程過程調用定位程序。在一般計算機上很少用到，沒什麼特殊要

求，可以嘗試關了。
◎默認：手動
◎建議：手動

48.●顯示名稱：Remote Registry
◎微軟描述：使遠程用戶能修改此計算機上的注冊表設置。如果此服務被終止，

只有此計算機上的用戶才能修改注冊表。如果此服務被禁用，任何依賴它的服務

將無法啟動。
◎補充描述：遠程登錄注冊表服務。允許遠程用戶在許可權許可的情況下登錄本機

並修改注冊表設置。一般而言，這項服務是很少用到的，而且給自己的計算機增

加了不必要的危險，因此也把它設為禁止。
◎默認：自動
◎建議：禁用

49.●顯示名稱：Removable Storage
◎微軟描述：無
◎補充描述：卸除式存放裝置。除非你有 Zip 磁碟驅動器或是 USB 之類移動式

的硬體或是 Tape備份裝置，不然可以嘗試關了，現在的這方面的設備很多，建

議保留。(還有的翻譯是磁帶機備份用的，可以關閉)
◎默認：手動
◎建議：手動

50.●顯示名稱：Routing and Remote Access
◎微軟描述：在區域網以及廣域網環境中為企業提供路由服務。
◎補充描述：路由和遠程訪問提供撥號聯機到網路或是 VPN 服務，一般用戶用

不到，可以關閉。
◎默認：禁用
◎建議：禁用
51.●顯示名稱：Secondary Logon
◎微軟描述：啟用替換憑據下的啟用進程。如果此服務被終止，此類型登錄訪問

將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：Seclogon(二次登錄服務)。在多用戶使用的計算機上，某些用戶因

為是非管理員許可權，導致某些程序無法執行。為了讓沒有管理員許可權的已登錄用

戶可以使用這個程序，WindowsXP設計了這個功能來分配臨時的管理員許可權。該

服務進程名為svchost.exe。基於安全性考慮，停止。
◎默認：自動
◎建議：手動

52.●顯示名稱：Security Accounts Manager
◎微軟描述：存儲本地用戶帳戶的安全信息。
◎補充描述：安全性賬戶管理員。管理賬號和群組原則(gpedit.msc)應用，雖然

很多人不太了解它，但是作用不小。
◎默認：自動
◎建議：自動

53.●顯示名稱：Security Center
◎微軟描述：監視系統安全設置和配置。
◎補充描述：SP2的安全中心，只是個提示功能，關了吧！
◎默認：自動
◎建議：禁用

54.●顯示名稱：Server
◎微軟描述：支持此計算機通過網路的文件、列印、和命名管道共享。如果服務

停止，這些功能不可用。如果服務被禁用，任何直接依賴於此服務的服務將無法

啟動。
◎補充描述：簡單的說就是檔案和列印的共享，除非你有和其它計算機共享，不

然就關了。區域網文件/列印共享需要的。
◎默認：自動
◎建議：手動

55.●顯示名稱：Shell Hardware Detection
◎微軟描述：為自動播放硬體事件提供通知。
◎補充描述：一般使用在移動存儲或是CD裝置、DVD裝置上，這是個比較煩的東

西，可以關閉。
◎默認：自動
◎建議：禁用

56.●顯示名稱：Smart Card
◎微軟描述：管理此計算機對智能卡的取讀訪問。如果此服務被終止，此計算機

將無法取讀智能卡。如果此服務被禁用，任何依賴它的服務將無法啟動。
◎補充描述：智能卡。使得Windows XP可以支持智能卡設備，並管理PC與智能卡

之間的存取。如果自己的計算機沒有連接智能讀卡器之類的外設，那就可以關了

，佔1.4兆內存。
◎默認：手動
◎建議：手動

57.●顯示名稱：SSDP Discovery Service
◎微軟描述：啟動您家庭網路上的 UPnP 設備的發現。
◎補充描述：通用即插即用服務 (Universal Plug and Play—UPnP) 讓計算機

可以找到並使用網路上的裝置，經由網路連接通過 TCP/IP 來搜索裝置，像網路

上的掃瞄器、數字相機或是列印機，都是使用 UPnP 的功能，基於安全性沒用到

的大可關了。不過現在數碼設備很流行，需要的用戶可以保留。
◎默認：手動（已啟動）
◎建議：手動

58.●顯示名稱：System Event Notification
◎微軟描述：跟蹤系統事件，如登錄 Windows，網路以及電源事件等。將這些事

件通知給 COM+ 事件系統 「訂閱者(subscriber)」。
◎補充描述：系統事件通知。記錄用戶登錄/注銷/重起/關機信息（我知道這些

有什麼用？），不過對於伺服器尤其重要。
◎默認：自動
◎建議：自動

59.●顯示名稱：System Restore Service
◎微軟描述：執行系統還原功能。 要停止服務，請從「我的電腦」的屬性中的

系統還原選項卡關閉系統還原
◎補充描述：系統還原，因人而定，本人覺得比較浪費資源，可以關掉。
◎默認：自動
◎建議：禁用

60.●顯示名稱：Task Scheler
◎微軟描述：使用戶能在此計算機上配置和制定自動任務的日程。如果此服務被

終止，這些任務將無法在日程時間里運行。如果此服務被禁用，任何依賴它的服

務將無法啟動。
◎補充描述：計劃任務。設定自動的工作計劃，像一些定時磁碟掃瞄、病毒定時

掃瞄、更新等等，但是一般都很少用，可以關閉。
◎默認：自動
◎建議：手動

61.●顯示名稱：TCP/IP NetBIOS Helper