爱　拼　才　会　ＷＩＮ

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

注册表的这个项大家可能还不太熟悉，因为这个主要是用来调试程序用的，对一般用户
意义不大。默认是只有管理员和local system有权读写，一般user只读。

先做个实验：在这个项下新建一个子项“test.exe”，再建一个字串值“Debugger”，
数值数据设为“cmd.exe /c echo”，随便把一个EXE文件改名为“test.exe”，然后在命令
行调用“test.exe”，得到的屏幕输出不是test.exe的输出，而会是这样：

E:\>test
test

E:\>test.exe
test.exe

Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否
是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

如果存在，首先会试图读取这个键值：

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"

如果存在，就执行“debug_prog ImageName”，刚才的例子中，其实系统真正执行的是：

cmd.exe /c echo test
cmd.exe /c echo test.exe

如果“debug_prog”设为一个不在搜索路径中的程序，会得到一个很有趣的提示：“系
统找不到文件 E:\test.exe”。而事实上test.exe就在当前目录下，这里所谓找不到的其实
是那个“debug_prog”。而只要设置了test.exe这个项，既使test.exe不存在，也不会提示
“系统找不到文件”，控制台上不会返回任何输出。

系统在运行任何一个可执行程序时都会先检查这个键值。这个特性可以被用来放置后门。
这一点，在以往的Windows 安全资料中尚未提到过。如果你有一个Windows 2000安全检查列
表，请把它加进去。

这个项支持的值，在Windows 2000下我找到的有：

ApplicationGoo
Debugger
PageHeapFlags
DisableHeapLookAside
DebugProcessHeapOnly
PageHeapSizeRangeStart
PageHeapSizeRangeEnd
PageHeapRandomProbability
PageHeapDllRangeStart
PageHeapDllRangeEnd
GlobalFlag
BreakOnDllLoad

这些项的工作都只与文件名有关，与路径无关。

其中，Debugger上面讲过了。DisableHeapLookAside可以用来纠正一些应用程序运行时
的问题。从Windows NT SP4开始，Windows 系统使用了新的堆（heap）管理机制，新的动态
内存分配使得应用程序占用更少的内存（也使写Exploit更加困难:-)），但是也有些应用程
序在这种机制下无法正常运行，会挂起或出错。这种情况下，以该文件名建一个项，并把
DisableHeapLookAside 设为“1”，会强迫系统对此应用程序不使用新的堆管理机制。（基
于一般系统的堆溢出 Exploit，在应用程序改变了运行方式后是不是会失效？那么，对关键
程序使用这一手段，在某种意义上，也是一种抵御溢出攻击的方法。）

关于DisableHeapLookAside更多的信息请参考微软知识库：Q252902，Q195008，Q195009。

有趣的是，Windows 2000在安装的时候，就预设了这几个文件名的DisableHeapLookAside：

enc98.EXE
f32main.exe
prwin8.EXE
ps80.EXE
qfinder.EXE
qpw.EXE
ua80.EXE
wpwin8.EXE

大概是微软收到了有关这些应用程序运行异常的报告吧:-)。

BreakOnDllLoad 是用来调试DLL的，譬如某个ISAPI。可以在DLL刚一装入就设置断点。
可以参考Rick Strahl的《Debugging IIS5 ISAPI Applications with VC++》

ApplicationGoo我没有找到相关资料，但从微软预设的值来看，这个项里存放的是文件
的版本信息。我猜想是否用这个来匹配特定版本的文件。

剩下来的这几个值虽然我知道它们是确实存在的，却无法找到任何有关的资料，甚至在
MSDN里也只字未提，还好它们的名称基本上已经把用处说清楚了:-)，都是用来控制heap 的。
希望这几个值对正在埋头研究Windows堆溢出的朋友们能有一点点帮助。


附加信息：

在XP中，这个项下面还支持ShutdownFlags这个值。下面是微软的描述：

Leak Detection when the Process Is Exiting

Leak detection is made every time a process is cleanly exiting.
It doesn't work if the process is terminated with TerminateProcess()
or TerminateThread() / ExitThread() for the last thread in the process;
but for most applications this is not a problem.

To enable leak detection when the process is exiting, set the registry key as follows:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"ShutdownFlags"="3"



----------------------------------------------------------



防范DDOS攻击的一点小方法
作者：未知
来源：http://blog.yesky.com/

防范DDOS攻击并不一定非要用防火墙。

针对目前各大传奇私服站长受到盛大或者某些卑鄙小人的无耻行为，我特地整理了防止DDOS的攻击资料！
绝对可以防止针对传奇端口，或者WEB的大流量的DDOS承受大约40万个包的攻击量

设置保护80.7000.7100.7200等你的传奇端口的。
然后按下面整理的注册表修改或者添加下面的数值。
请注意，以下的安全设置均通过注册表进行修改，该设置的性能取决于服务器的配置，尤其是CPU的处理能力。如按照如下进行安全设置，采用双路至强2.4G的服务器配置，经过测试，可承受大约1万个包的攻击量。
接下来你就可以高枕无忧了。

一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]


'关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接
'第二个网关，通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000

'禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000

'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。
'注意系统必须安装SP2以上
"NonameReleaseOnDemand"=dword:00000001

'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，
'不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0

'禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，
'可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000

'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002

'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064

'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001

'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003

'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
'源路由包，微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002

'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e

　

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
'增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003

'最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8

　

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001

'配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
'低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
"MinimumDynamicBacklog"=dword:00000014

'最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
'增加5000个，这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20

'每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
'的系统，建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a


以下部分需要根据实际情况手动修改

'-------------------------------------------------------------------------------------------------
'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'启用网卡上的安全过滤
'"EnableSecurityFilters"=dword:00000001
'
'同时打开的TCP连接数，这里可以根据情况进行控制。
'"TcpNumConnections"=
'
'该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。
'"TcpMaxSendFree"=
'
'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}]
'禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000


--------------------------------------------------------



WIN2000下的MSCONFIG

伴随着98和Me走到2000的朋友一定还记得Msconfig.exe (系统配置实用程序)，只要在运行菜单里输入MSCONFIG就会弹出一个系统优化菜单，用它来修改System.ini、Win.ini、快速删除开机自动运行的程序等，非常好用。可是不知出于什么原因，Win2000却将它拒之于门外。这么好的东西被白白抛弃实在可惜，下面就说说怎么在Win2000下重新找回Msconfig.exe。


98篇

将Windows 98或Me安装目录下的（C:\Windows\System）Msconfig.exe拷贝到2000下的\WINNT目录（或\WINNT\SYSTEM目录、或\WINNT\SYSTEM32目录里的任何一处皆可）直接运行。这时会弹出一个出错消息框，提示找不到系统文件System.ini和Win.ini，如果安装的不是98/2000的双系统，还会提示Autoexec.bat、Config.sys也找不到。

别担心，这并非你的系统出了问题。在Win98中，System.ini和Win.ini都属于启动信息文件，会加载一些自启动程序。如键盘、鼠标、声音、屏保、壁纸等，再如System.ini中的boot项中里还有一条名为：shell=Explorer.exe的注释，它的功能是使WINDOWS98在启动后默认的操作界面是资源管理器。至于AUTOEXEC.BAT和CONFIG.SYS，更是为了兼顾DOS和WINDOWS3.X才遗留下来的产物。即使是98本身，这两个文件基本上也都是空的（这四个文件却往往成为各种病毒“钟情的对象”）。而Windows2000已经基本上取消了DOS的架构，不再需要这些文件，对系统的出错提示我们完全可以不去理会，因为我们想用的只是配置启动项的功能。但每一次都必须点击4次确认后，才能使用这个配置工具，确实又很麻烦。看到一些资料上说，只要在Win2000所在的分区上建立一个Windows目录，然后在其中用记事本程序创建4个(双系统的用户只要改前面两个)文本文件，内容随便填入什么，然后改名成相应的4个文件名，再打开Msconfig就不会再提示找不到文件而要4次确认了，可是我反复试验多次都不成功，或许是上面的方法有误，还望高手指点。

另附98系统配置实用程序默认启动项说明。

internat.exe
注意!!这里的internat可不是因特网呀！！和internet差一个字哪！！这个internat是输入法图标的工具，也就是任务栏里面的En图标。（也是MSCONFIG从98移植到2000以后启动项里唯一还可以看到的一个。）


TaskMonitor C:\WINDOWS\taskmon.exe
任务检测程序,这个监视器将记录使用软件的情况，然后将这些资料保存到 windows\applog 的applog.ind 文件中（WIN2000无该项）


ScanRegistry C:\WINDOWS\scanregw.exe /aotorun
注册表备份程序,每次开机都备份一次注册表。（WIN2000无该项）


SystemTray SysTray.Exe
驻留内存管理程序，在98下可以使电脑用一段时间后系统越来越慢的情况减轻一点。 （WIN2000无该项）


SchedulingAgent C:\WINDOWS\SYSTEM\mstask.exe
系统计划任务程序,一般没什么用. （WIN2000无该项）


LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
电源管理程序,如果禁用，“控制面版”中“电源管理/显示属性”里的设置就没有效果了。该项往往会出现两次，保留一个即可。（WIN2000无该项）


看到这您可能会说，即使把Msconfig从98移植到了2000下，每一次都要确定它的出错信息不说，功能更是被七折八扣的所剩无几，还有什么意义呢。不要急，微软最最成功之处就在于十分懂得亡羊补牢。在XP中，我们不但发现Msconfig重新回来了，而且脱胎换骨，崭换新颜。


XP篇

只是这次，微软将它藏到了XP中的windows\pchealth\helptr\binaries子目录下。把它复制到2000中（位置同上），开始、运行，没有了恼人的四次出错信息，加宽加大的对话框直接弹出，让你顿时领略到“增强版”的气息。

在新的系统配置实用程序中，四个配置文件中的System.ini和Win.ini虽然依旧被保留，但功能上并没有什么新意，完全可以在启动时将它们禁用。

AUTOEXEC.BAT和CONFIG.SYS则被boot.ini和服务取代。boot.ini是NT系统以后引入的一个多重启动引导文件。实际上在Win2000中右键点击“我的电脑”，选择“属性”/“高级”，进入 “启动和故障修复”对话框，对“系统启动”项中的内容做修改与在此处做修改是一样的。

在启动信息里，初始情况下应该只有internat.exe（就是前面提到的输入法工具）和一个名为“mobsync.exe”的同步目录管理进程两项（本篇仅以Windows2000Profa为例），简简单单无须多讲。

您有没有想过Win2000和Win98在本质上究竟有什么不同呢？难道仅仅是换了一个桌面，加了几项功能，多了一些设备的内置驱动那么简单吗，如此庞大的体积，内部究竟有哪些东西隐藏在暗处呢？实际上整个WinNT系列与Win9X系列最大的区别用两个字来概括就是“服务”。一台装有Win9X的机器配置再高也仅仅是一个终端，一台客户机；而一旦装上了Win2000，则立即上升了一个高度，升级成为服务器，一个管理者。这种巨大的差异在整个操作系统中无处不在的散发出来，即使在系统配置实用程序中也毫无例外地体现出这一点。但所有的这些，无不是以消耗系统资源为代价的，而这些占据系统宝贵资源的各种服务，对我们普通的个人用户来说真的那么必要吗，如果不是，我们就没有办法在享用WIN2000的各项人性化的新功能与稳定性的同时，减少一些不必要的资源浪费吗？

下面，就让我们看一下Win2000的各项服务的具体内容，究竟哪些是必须的，哪些是根据我们的实际情况要对它们下“逐客令”的。（以下内容仅以Win2000Pro为例，分别介绍各服务的功能，默认状态是停用还是启用，对个人用户的建议等等）

Alerter：局域网中当系统发生问题时向系统管理员发出警报。（已停用）

Application Management：据微软称这是一种基于MIS文件格式（应用程序安装信息程序包文件）的全新、有效软件管理方案——应用程序管理组件服务，它不仅管理软件的安装、删除，而且可以使用此项服务修改、修复现有应用程序，监视文件复原并通过复原排除基本故障等。但实际测试中设置为“已禁用”后似乎并不影响单机上软件的安装与卸载。（已停用）

Automatic updates windows：自动更新。（已启用，建议停用）

Background intelligent transfer service：使用空闲的网络带宽传数据。（已停用）

ClipBook：该服务允许网络中的其它用户查看你的“剪贴板”，即使你的机器真的处在局域网中，出于安全考虑也不建议开启此项，更不用说普通用户了。（已停用）

COM+ Event System：提供事件的自动发布到订阅 COM 组件。（已启用，建议停用）

Computer Browser：维护网上邻居中计算机的最新列表，并将这个列表通知给请求的程序。（已启用，建议非局域网用户停用）

DHCP Client：DHCP是一种提供动态IP地址分配、管理的TCP／IP服务协议，作为网络启动过程的一部分，DHCP客户端系统就可以向DHCP服务器请求和租用IP地址。测试中发现，禁用或停用DHCP Client 启动时间多50秒左右。（已启用）

Distributed Link Tracking Client：保持局域网连接更新的，如果你就一台机器或是根本就没有NTFS分区的话……，它要占用3－４M左右的内存呢。（已启用，建议停用）

Distributed Transaction Coordinator：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。（已停用）

DNS Client：将域名解析为IP地址，测试中发现禁用DNS Client，启动时间少5秒左右。（已启用）

Event Log：记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。不知道你从使用Win2000到现在去 “事件查看器”中查看过几次报告。（已启用，建议停用）

Fax Service：帮助您发送和接收传真。（已停用）

Indexing Service：本地和远程计算机上文件的索引内容和属性，通过灵活查询语言提供文件快速访问。只是该功能系统资源的消耗非常惊人，普通用户实在没必要用它。（已停用）

Internet Connection Sharing：该项即是耳熟能详的Internet共享连接。如果你是用的代理软件或是用路由器上网，再要么你不是局域网的主机或者根本就不在局域网，把它其设为禁用吧。（已停用）

IPSEC Policy Agent：该代理服务允许IP安全策略对两台计算机之间传输的数据包进行加密，从而防止在网上看到它的人对它进行更改和破译。奇怪的是微软在安全策略里自动启用了该项，而在真正需要用到这个功能的地方，也就是“Internet协议（TCP／IP）”属性→“高级”→“选项”页下的“IP安全机制”属性中的“IP安全设置”中，默认设置是“不使用IPSEC”。所以，开启此服务实在是有浪费资源之嫌。（已启用，建议停用）

Logical Disk Manager：逻辑磁盘管理器监视狗服务。（已启用）

Logical Disk Manager Administrative Service：磁盘管理请求的系统管理服务。（已停用）

Messenger：如果你用的ADSL拨号上网，是不是经常会有广告条不分场合地擅自闯入你的屏幕之中呢？就是这个东西做的怪，赶紧关掉它吧！！（已启用，建议停用）

Net Logon：管理某些网络安全设置的，如登陆信息等，普通用户用不到。（已停用）

NetMeeting Remote Desktop Sharing：允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。（已停用）

Network Connections：该服务管理着“网络和拨号连接”文件夹中的所有对象。如果将它禁用，在“网络和拨号连接”文件夹中将什么都看不到，更不用说新建连接和拨号上网了，不信您试试看。（已启用）

Network DDE：该项与下一项都是管理DDE（动态数据交换），一个与网络中的其它计算机共享OFFICE等软件的服务项，普通用户，关。（已停用）

Network DDE DSDM：管理网络 DDE 的共享动态数据交换。（已停用）

NT LM Security Support Provider：提供一些NT网络应用程序的安全保护。（已停用）

Performance Logs and Alerts：配置性能日志和警报。（已停用）

Plug and Play：即插即用是INTEL开发的一组规范，它赋予了计算机自动检测和配置设备并安装相应驱动程序的能力，当有设备被更改时能自动通知使用该设备的程序当前设备的状况。将该服务状态保持“自动”有利于设备的管理和维护。（已启用）

Print Spooler：该服务的作用是将多个请求打印的文档统一进行保存和管理，待打印机空闲后，再将数据送往打印机处理。没有打印设备的朋友不用我说也一定想把它设置为“禁用”了吧。但是请注意，如果您启用了传真服务（Fax Service）的话千万别禁用，因为传真服务依赖Print Spooler的运行。（已启用，建议停用）

Protected Storage：提供对敏感数据(如私钥)的保护性存储，以便防止未授权的服务，过程或用户对其的非法访问。（已启用）

QoS RSVP：为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信安装功能。（已停用）

Remote Access Auto Connection Manager：无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。（已启用）

Remote Access Connection Manager：创建网络连接。（已启用）

Remote Procedure Call (RPC)：该项和下一项都是消息传递服务。在计算机的远程管理期间允许分布式应用程序（即COM＋应用程序）呼叫网络上不同计算机上的可用服务。很多服务需要依赖它的运行，如：FaxService、Network Connections、Telephony等，默认情况下也是无法停用这两项的。（已启用）

Remote Procedure Call (RPC) Locator：管理 RPC 名称服务数据库。（已启用）

Remote Registry Service：该服务能使您编辑另一台计算机上的注册表。 （已启用，建议停用）

Removable Storage：管理可移动媒体、驱动程序和库。（已启用，建议停用）

Routing and Remote Access：在局域网以及广域网环境中为企业提供路由服务。

RunAs Service：当您以一般权限用户身份登录系统，而在使用中又需要修改只有系统管理员才能修改的系统设置项时，该服务提供了不重启系统以管理员身份登录的捷径。只需要在命令提示符下运行RunAs命令就可达到更改目的，但如果您根本就没有夺管理员权限的“野心”，停了吧。（已启用，建议停用）

Security Accounts Manager：存储本地用户帐户的安全信息，该项在服务器上必不可少。但如果你的系统只是一个客户机，免了吧。（已启用，建议停用）

Server：提供 RPC 支持、文件、打印以及命名管道共享。（已启用）

Smart Card：对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。（已停用）

Smart Card Helper：提供对连接到计算机上旧式智能卡的支持。 （已停用）

System Event Notification：跟踪系统事件，如登录 Windows，网络以及电源事件等。将这些事件通知给 COM+ 事件系统 “订阅者(subscriber)”。（已启用，建议停用）

Task Scheduler：“计划任务”。它能使程序在预定的时间自动运行，如定期进行磁盘碎片整理。 如果您从来也没想让电脑做什么计划，还是停了它，毕竟它也占用着资源。（已启用，建议停用）

TCP/IP NetBIOS Helper Service：该服务能在TCP／IP上提供NetBIOS支持。前面我们曾提到过NetBIOS是基于局域网的，因此作为访问Internet资源的一般用户可以禁用它，除非您的系统处在局域网中。 （已启用，建议停用）

Telephony：该服务能为计算机提供电话拨号的能力。如果您使用拨号方式连接到Internet或通过电话线连接其他计算机，则此项必须启用。（已启用）

Telnet：允许远程用户登录到系统并且使用命令行运行控制台程序。（已停用）

Uninterruptible Power Supply：管理连接到计算机的不间断电源(UPS)。（已停用）

Utility Manager：从一个窗口中启动和配置辅助工具。（已停用）

Windows Installer：依据 .MSI 文件中包含的命令来安装、修复以及删除软件。（已停用）

Windows Management Instrumentation：该项与下一项是Win2000中的基础管理结构，通过一组常用接口控制和监视系统，如对系统属性的查看与更改、设置用户权限等。（已启用，建议停用）

Windows Management Instrumentation Driver Extensions： （已启用，建议停用）

Windows Time：设置计算机时钟。 （已停用）

Workstation：提供网络链结和通讯。（已启用，建议停用）