适用于：Windows Server 2016

Windows 操作系统包含许多提供重要功能的系统服务。 不同的服务具有不同的默认启动策略：有些服务默认会自动启动，有些服务按需启动（手动），还有一些服务默认已禁用，只有在显式启用之后才能运行。 这些默认设置是为每个服务精心选择的，目的是为典型的客户找到性能、功能与安全性之间的平衡。

但是，某些企业客户可能偏向于对其 Windows 电脑和服务器采用注重于安全的配置，这种配置可将受攻击面减至绝对最小。因此，这些客户可能想要完全禁用其特定环境中不需要的所有服务。 对于这些客户，Microsoft® 将提供随附的指南，说明可以出于此目的安全禁用哪些服务。

本指南仅适用于带有桌面体验的 Windows Server 2016（除非用作最终用户的桌面替代版本）。 从 Windows Server 2019 开始，默认会配置这些指导原则。 系统上每个服务的分类如下：

• 应该禁用： 注重于安全的企业很可能想要禁用此服务并放弃其功能（请参阅下面的附加详细信息）。
• 可以禁用： 此服务提供的功能对某些（但不是所有）企业有用，如果企业不使用此服务且注重安全，可以安全禁用它。
• 不要禁用： 禁用此服务会影响基本功能，或导致特定的角色或功能无法正常运行。 因此不应禁用它。
• （无指导）： 尚未完全评估禁用这些服务的影响。 因此，不应更改这些服务的默认配置。

客户可以使用其组策略中的安全模板或使用 PowerShell 自动化将其 Windows 电脑和服务器配置为禁用所选的服务。在某些情况下，指南中包含用于直接禁用服务功能的特定组策略设置，作为禁用服务本身的替代方法。

Microsoft 建议客户在带有桌面体验的 Windows Server 2016 中禁用以下服务及其相应的计划任务：

服务：

1. Xbox Live 身份验证管理器
2. Xbox Live 游戏保存

计划的任务：

1. \Microsoft\XblGameSave\XblGameSaveTask
2. \Microsoft\XblGameSave\XblGameSaveTaskLogon

（还可以通过查看附加的 Microsoft Excel 电子表格，来访问有关本文中详述的所有服务的信息：有关在带有桌面体验的 Windows Server 2016 中禁用系统服务的指南）

禁用非默认安装的服务

Microsoft 建议不要应用策略来禁用非默认安装的服务。

• 如果安装了相应的功能，则通常需要这些服务。 安装服务或功能需要管理权限。 禁止安装功能，但不要禁止启动服务。
• 阻止 Microsoft Windows 服务不会阻止管理员（在某些情况下为非管理员）安装类似的第三方服务（可能是安全风险更高的服务）。
• 禁用非默认 Windows 服务（例如 W3SVC）的基线或基准会给某些审核员带来这样一种错觉：该技术（例如 IIS）在本质上就是不安全的，永远不可使用它。
• 如果永远不安装该功能（和服务），只会不必要地增大基线测试和验证的工作量。