适用于:
适用于:
✅ Windows 11 IoT 企业版
✅Windows 10 IoT 企业版
✅ Windows 10 IoT 企业版 LTSC 2021
Windows IoT 企业版操作系统包括许多在后台运行的系统服务,无需用户界面即可提供核心操作系统功能。 每个服务都配置为在某些情况下启动,为每个服务精心选择,以便为典型的 Windows 用户提供性能、功能和安全性的平衡。 这些开始类型包括以下内容。
- Windows 启动时自动启动
- 当用户登录时自动启动
- 当需要它提供的功能时手动启动
- 默认情况下禁用
构建基于 Windows IoT 企业版的固定功能专用设备时,设备制造商可能需要重新配置这些启动值,以增加安全状况,或者通过禁用特定设备方案不需要的服务来降低资源开销。 本文包含有关哪些服务可以安全禁用的详细指南,以及指向 更多资源的链接,这些资源 提供了多个方法的分步配置说明。
指导说明
对于本文档中列出的所有系统服务,Microsoft提供有关在 Windows IoT Enterprise 中启用和禁用系统服务的指南。
- 🟡 无指导: 不会完全评估禁用这些服务的效果。 因此,不应更改这些服务的默认配置。
- ⛔ 请勿禁用: 禁用此服务会阻止特定角色和功能正常运行,从而影响基本功能。 因此,不应禁用它。
- 🟢 可以禁用: 此服务提供对部分(但并非所有企业)有用的功能,以及不使用它的安全型企业可以安全地禁用该功能。
- ✅ 已禁用: 默认情况下禁用此服务;无需使用策略强制实施。
- 🔵 应禁用: 不应在管理良好的企业系统上启用此服务。
每用户服务
当用户登录到 Windows 时,OS 将创建每用户服务。 当用户注销时,这些服务将停止并删除。 它们在用户帐户的安全上下文中运行,而不是内置安全主体。 Windows 基于注册表中定义的模板创建这些每用户服务。 如果需要管理或控制这些服务的行为,可以调整模板。 有关检查和配置每用户服务的详细信息,请参阅 Windows 中的“每用户服务”
下表列出了当前版本的 Windows 中的每用户服务。 其他版本的 Windows 10/11 可能没有可用的相同服务。 在重新配置其中任一服务之前,请查看此信息以了解影响。 例如,如果禁用每用户服务,则可能存在无法正常工作的依赖应用。
| 服务名称 | 启动类型 (默认) |
建议 | 说明 |
|---|---|---|---|
| 代理激活运行时 (AarSvc) |
手动 | ⛔ 请勿禁用 | 用于激活会话代理应用程序的运行时。 |
| 蓝牙用户支持服务 (BluetoothUserService) |
手动 | 🟢 确定禁用 | 支持与每个用户会话相关的蓝牙功能的适当功能。 |
| 捕获服务 (CaptureService) |
手动 | 🟢 确定禁用 | 为调用 Windows.Graphics.Capture 命名空间的屏幕捕获 API 的应用程序启用可选的屏幕捕获功能。 |
| 剪贴板用户服务 (cbdhsvc) |
手动 | 🟢 确定禁用 | Windows 将此用户服务用于剪贴板方案。 例如,剪贴板历史记录或跨设备同步。 有关详细信息,请参阅 Windows 中的剪贴板。 |
| 云备份和还原服务 (CloudBackupRestoreSvc) |
 手动 |
🟡 无指导 | 监视系统以查找应用程序和设置状态的更改。 如果需要,此服务将执行云备份和还原操作。 |
| 连接的设备平台用户服务 (CDPUserSvc) |
自动 | 🟢 确定禁用 | 此服务允许用户连接、管理和控制连接的设备。 这些连接的设备包括移动、Xbox、HoloLens 或智能/IoT 设备。 有关一个特定示例,请参阅 在 Windows 依赖项中与附近设备共享内容,包括网络连接代理、远程过程调用(RPC)、TCP/IP 协议驱动程序。 |
| ConsentUX (ConsentUxUserSvc) |
手动 | 🟢 确定禁用 | 允许系统请求用户同意,以允许应用访问敏感资源和信息,例如设备的位置。 |
| 联系人数据 (PimIndexMaintenanceSvc) |
手动 | 🟢 确定禁用 | 为联系人数据编制索引以加速联系人搜索。 如果停止或禁用此服务,搜索结果中可能会缺少联系人。 依赖项包括 UnistoreSvc |
| 凭据注册管理器 (CredentialEnrollmentManagerUserSvc) |
手动 | ⛔ 请勿禁用 | 此服务支持用户凭据的安全存储和检索。 例如,网站、远程桌面连接或其他应用的令牌。 |
| 设备关联代理 (DeviceAssociationBroker) |
手动 | 🟡 无指导 | 支持对新设备方案进行应用内配对和访问检查。 依赖项包括 DevicePicker、Shell 配对 UX。 |
| DevicePicker (DevicePickerUserSvc) |
手动 | 🟢 确定禁用 | Windows 使用此用户服务来管理 Miracast、数字生活网络联盟(DLNA)和发现和启动(DIAL)体验。 |
| DevicesFlow (DevicesFlowUserSvc ) |
手动 | 🟢 确定禁用 | 允许连接用户界面和设置应用连接到 WiFi 显示器和蓝牙设备并配对。 |
| GameDVR 和广播用户服务 (BcastDVRUserService) |
手动 | 🟢 确定禁用 | Windows 使用此用户服务进行游戏录制和实时广播。 |
| 消息服务 (MessagingService) |
手动 | 🟢 确定禁用 | 此服务支持短信和相关功能。 |
| 正在播放会话管理器 (NPSMSvc) |
手动 | 🟡 无指导 | 正在播放的会话管理器 (NPSM) 服务管理设备上运行的媒体会话。 |
| 笔服务 (PenService) |
手动 | 🟡 无指导 | 在笔输入设备上按下尾部按钮时,此服务将响应这些操作。 它可以启动应用程序或在“设置”中执行其他自定义操作。 有关详细信息,请参阅有关如何在 Pen 设备上使用 Surface 触控笔或硬件开发人员文档的用户文档。 |
| 计划 9 重定向程序服务 (P9RdrSvc) |
手动 | 🟡 无指导 | 启用适用于 Linux 的 Windows 子系统支持的触发器启动 plan9 文件服务器。 有关详细信息,请参阅 贝尔实验室的计划 9。 |
| 打印工作流 (PrintWorkflowUserSvc) |
手动 | 🟡 无指导 | 提供对 打印工作流 应用程序的支持。 如果关闭此服务,某些打印功能可能无法成功工作。 |
| 同步主机 (OneSyncSvc) |
自动 | 🟢 确定禁用 | 此服务同步邮件、联系人、日历和其他各种用户数据。 当此服务未运行时,依赖于此功能的邮件和其他应用程序无法正常工作。 |
| Udk 用户服务 (UdkUserSvc) |
手动 | 🟢 确定禁用 | Windows 使用此服务在 shell 体验之间协调。 |
| 用户数据访问 (UserDataSvc) |
手动 | 🟢 确定禁用 | 使应用能够访问结构化的用户数据,包括联系人信息、日历、邮件和其他内容。 如果停止或禁用此服务,则使用此数据的应用可能无法正常工作。 |
| 用户数据存储 (UnistoreSvc) |
手动 | 🟢 确定禁用 | 处理结构化用户数据(包括联系人信息、日历、邮件和其他内容)的存储。 如果停止或禁用此服务,则使用此数据的应用可能无法正常工作。 |
| Windows 推送通知用户服务 (WpnUserService) |
手动 | ⛔ 请勿禁用 | 此服务托管 Windows 推送通知服务 (WNS) 平台,该平台支持本地通知和推送通知。 支持的通知包括磁贴、toast 和原始。 |
系统服务
下表列出了当前版本的 Windows IoT 企业版中的系统服务。 其他版本的 Windows IoT 企业版可能没有可用的相同服务。 在重新配置其中任一服务之前,请查看此信息以了解影响。
netsh ipsecwinrm.cmd
