модули ключей ipsec для обмена ключами в интернете можно ли отключить
990x.top
Простой компьютерный блог для души)
IKEEXT — что это за служба? (IKE and AuthIP IPsec Keying Modules)
Содержит компоненты, необходимые при работе с ключами в интернете (IKE), а также при работе протокола IP с поддержкой проверки подлинности (AuthIP). Данные компоненты нужны для проверки подлинности и обмена ключей в протоколе безопасности IP (IPsec). Соответственно если службу отключить — обмен ключами IKE и AuthIP с другими ПК будет невозможен. После отключения службы безопасность системы будет снижена.
Эта информация есть на просторах интернета, которая все равно не дает четкого ответа — можно отключить службу или нет. Однако ясно одно — она относится к работе некоторых особо системных функций, которые возможно нужны, а возможно без которых операционка будет продолжать спокойно и стабильно работать.
Важно: возможно на русском данный сервис называется Модули ключей IPsec для обмена ключами в интернете.
Также нашел информацию, что если у вас:
Тогда — можно отключить.
На просторах интернета часто замечал комментарии, что данный сервис можно выключить.
Простая инструкция деактивации IKEEXT:
Перед отключением идеально также будет создать точку восстановления, дать название ей например До выключения IKEEXT. Это совсем необязательно, секундной дело, но думаю лишним не будет.
Надеюсь данная информация оказалась полезной. Удачи и добра!
IPSec всемогущий
История вопроса
Изначально VPN планировался только для организации канала между мини-роутером родителей и домашним «подкроватным» сервером, по совместительству выступающим в роли маршрутизатора.
Спустя небольшой промежуток времени к этой компании из двух устройств добавился Keenetic.
Но единожды начав, остановиться оказалось сложно, и вскоре на схеме появились телефоны и ноутбук, которым захотелось скрыться от всевидящего рекламного ока MT_Free и прочих нешифрованных WiFi-сетей.
Потом у всеми любимого РКН наконец-то окреп банхаммер, которым он несказанно полюбил прилюдно размахивать во все стороны, и для нейтрализации его заботы о простых смертных пришлось поддержать иностранный IT-сектор приобрести VPS за рубежом.
К тому же некоей гражданке, внешне напоминающей Шапокляк, всюду бегающей со своим ридикюлем Пакетом и, вероятно, считающей что «Кто людям помогает — тот тратит время зря. Хорошими делами прославиться нельзя», захотелось тайком подглядывать в чужой трафик и брать его на карандаш. Придется тоже защищаться от такой непрошенной любви и VPN в данном случае именно то, что доктор прописал.
Подведем небольшой итог. Нужно было подобрать решение, которое в идеале способно закрыть сразу несколько поставленных задач:
Обзор существующих решений
Коротко пройдемся по тому что есть сейчас:
Дедушка Ленин всех протоколов. Умер, «разложился на плесень и на липовый мёд».
Кто-то, кроме одного провайдера, это использует?
Проект развивается. Активно пилится. Легко создать туннель между двумя пирами, имеющими статический IP. В остальных случаях на помощь всегда готовы придти костыли, велосипеды с квадратными колёсами и синяя изолента, но это не наш путь.
Приступаем к настройке
Определившись с решением приступаем к настройке. Схема сети в моем случае имеет следующий вид (убрал под спойлер)
ipsecgw.example.com — домашний сервер, являющийся центром сети. Внешний IP 1.1.1.1. Внутренняя сеть 10.0.0.0/23 и еще один адрес 10.255.255.1/30 для установки приватной BGP-сессии с VPS;
mama — Linux-роутер на базе маленького беззвучного неттопа, установленный у родителей. Интернет-провайдер выдает динамический IP-адрес. Внутренняя сеть 10.0.3.0/24;
keenetic — маршрутизатор Keenetic с установленным модулем IPSec. Интернет-провайдер выдает динамический IP-адрес. Внутренняя сеть 10.0.4.0/24;
road-warriors — переносные устройства, подключающиеся из недоверенных сетей. Адреса клиентам выдаются динамически при подключении из внутренного пула (10.1.1.0/24);
rkn.example.com — VPS вне юрисдикции уважаемого РКН. Внешний IP — 5.5.5.5, внутренний адрес 10.255.255.2/30 для установки приватной BGP-сессии.
Первый шаг. От простого к сложному: туннели с использованием pre-shared keys (PSK)
На обоих Linux-box устанавливаем необходимые пакеты:
На обоих хостах открываем порты 500/udp, 4500/udp и разрешаем прохождение протокола ESP.
Правим файл /etc/strongswan/ipsec.secrects (на стороне хоста ipsecgw.example.com) и вносим следующую строку:
На второй стороне аналогично:
В данном случае в качестве ID выступает вымышленный адрес элестронной почты. Больше информации можно подчерпнуть на официальной вики.
Секреты сохранены, движемся дальше.
На хосте ipsecgw.example.com редактируем файл /etc/strongswan/ipsec.conf:
Аналогично редактируем на удаленном пире /etc/strongswan/ipsec.conf:
Если сравнить конфиги, то можно увидеть что они почти зеркальные, перекрёстно поменяны местами только определения пиров.
Директива auto = route заставляет charon установить ловушку для трафика, подпадающего в заданные директивами left/rightsubnet (traffic selectors). Согласование параметров туннеля и обмен ключами начнутся немедленно после появления трафика, попадающего под заданные условия.
На сервере ipsecgw.example.com в настройках firewall запрещаем маскарадинг для сети 10.0.3.0/24. Разрешаем форвардинг пакетов между 10.0.0.0/23 и 10.0.3.0/24 и наоборот. На удаленном узле выполняем аналогичные настройки, запретив маскарадинг для сети 10.0.0.0/23 и настроив форвардинг.
Рестартуем strongswan на обоих серверах и пробуем выполнить ping центрального узла:
Нелишним будет так же убедиться что в файле /etc/strongswan/strongswan.d/charon.conf на всех пирах параметр make_before_break установлен в значение yes. В данном случае демон charon, обслуживающий протокол IKEv2, при выполнении процедуры смены ключей не будет удалять текущую security association, а сперва создаст новую.
Шаг второй. Появление Keenetic
Приятной неожиданностью оказался встроенный IPSec VPN в официальной прошивке Keenetic. Для его активации достаточно перейти в Настройки компонентов KeeneticOS и добавить пакет IPSec VPN.
Готовим настройки на центральном узле, для этого:
Правим /etc/strongswan/ipsec.secrects и добавляем PSK для нового пира:
Правим /etc/strongswan/ipsec.conf и добавляем в конец еще одно соединение:
Со стороны Keenetic настройка выполняется в WebUI по пути: Интернет → Подключения →
Другие подключения. Всё довольно просто.
Если планируется через тоннель гонять существенные объемы трафика, то можно попробовать включить аппаратное ускорение, которое поддерживается многими моделями. Включается командой crypto engine hardware в CLI. Для отключения и обработки процессов шифрования и хеширования при помощи инструкций CPU общего назначения — crypto engine software
После сохранения настроек рестрартуем strongswan и даём подумать полминуты Keenetic-у. После чего в терминале видим успешную установку соединения:
Шаг третий. Защищаем мобильные устройства
После чтения стопки мануалов и кучи статей решено было остановиться на связке бесплатного сертификата от Let’s Encrypt для проверки подлинности сервера и классической авторизации по логину-паролю для клиентов. Тем самым мы избавляемся от необходимости поддерживать собственную PKI-инфраструктуру, следить за сроком истечения сертификатов и проводить лишние телодвижения с мобильными устройствами, устанавливая самоподписанные сертификаты в список доверенных.
Устанавливаем недостающие пакеты:
Получаем standalone сертификат (не забываем предварительно открыть 80/tcp в настройках iptables):
После того как certbot завершил свою работу мы должны научить Strongswan видеть наш сертификат:
Перезапускаем Strongswan и при вызове sudo strongswan listcerts мы должны видеть информацию о сертификате:
После чего описываем новое соединение в ipsec.conf:
Не забываем отредактировать файл /etc/sysconfig/certbot указав, что обновлять сертификат тоже будем как standalone, внеся в него CERTBOT_ARGS=»—standalone».
Так же не забываем включить таймер certbot-renew.timer и установить хук для перезапуска Strongswan в случае выдачи нового сертификата. Для этого либо размещаем простенький bash-скрипт в /etc/letsencrypt/renewal-hooks/deploy/, либо еще раз редактируем файл /etc/sysconfig/certbot.
Перезапускаем Strongswan, включаем в iptables маскарадинг для сети 10.1.1.0/24 и переходим к настройке мобильных устройств.
Android
Устанавливем из Google Play приложение Strongswan.
Запускаем и создаем новый
Сохраняем профиль, подключаемся и, спустя секунду, можем не переживать о том, что кто-то сможет подсматривать за нами.
Windows
Windows актуальных версий приятно удивил. Вся настройка нового VPN происходит путем вызова двух командлетов PowerShell:
И еще одного, в случае если Strongswan настроен на выдачу клиентам IPv6 адреса (да, он это тоже умеет):
Часть четвертая, финальная. Прорубаем окно в Европу
Насмотревшись провайдерских заглушек «Сайт заблокирован по решению левой пятки пятого зампрокурора деревни Трудовые Мозоли Богозабытского уезда» появилась и жила себе одна маленькая неприметная VPS (с благозвучным доменным именем rkn.example.com) в тысяче километров от обезьянок, любящих размахивать банхаммером и блокировать сети размером /16 за раз. И крутилось на этой маленькой VPS прекрасное творение коллег из NIC.CZ под названием BIRD. Птичка первой версии постоянно умирала в панике от активности обезьянок с дубинками, забанивших на пике своей трудовой деятельности почти 4% интернета, уходя в глубокую задумчивость при реконфиге, поэтому была обновлена до версии 2.0.7. Если читателям будет интересно — опубликую статью по переходу с BIRD на BIRD2, в котором кардинально изменился формат конфига, но работать новая вервия стала намного быстрее и нет проблем с реконфигом при большом количестве маршрутов. А раз у нас используется протокол динамической маршрутизации, то должен быть и сетевой интерфейс, через который нужно роутить трафик. По умолчанию IPSec интерфейсов не создает, но за счет его гибкости мы можем воспользоваться классическими GRE-туннелями, которые и будем защищать в дальнейшем. В качестве бонуса — хосты ipsecgw.example.com и rkn.example.com будут аутентифицировать друга друга, используя самообновляемые сертификаты Lets Encrypt. Никаких PSK, только сертификаты, только хардкор, безопасности много не бывает.
Считаем что VPS подготовлена, Strongswan и Certbot уже установлены.
На хосте ipsecgw.example.com (его IP — 1.1.1.1) описываем новый интерфейс gif0:
Зеркально на хосте vps.example.com (его IP — 5.5.5.5):
Поднимаем интерфейсы, но поскольку в iptables нет правила, разрешающего GRE-протокол, трафик ходить не будет (что нам и надо, поскольку внутри GRE нет никакой защиты от любителей всяких законодательных «пакетов»).
Готовим VPS
Первым делом получаем еще один сертификат на доменное имя rkn.example.com. Создаем симлинки в /etc/strongswan/ipsec.d как описано в предыдущем разделе.
Правим ipsec.secrets, внося в него единственную строку:
На стороне хоста ipsecgw.example.com тоже добавляем в ipsec.conf в секцию setup параметр strictcrlpolicy = yes, включающий строгую проверку CRL. И описываем еще одно соединение:
Конфиги почти зеркальные. Внимательный читатель мог сам уже обратить внимание на пару моментов:
/rkn.example.com.pem, после чего при помощи scp перекрестно копируем их между серверами в расположения, указаные в конфиге
Не забываем настроить файрвол и автообновление сертификатов. После перезапуска Strongswan на обоих серверах, запустим ping удаленной стороны GRE-туннеля и увидим успешную установку соединения. На VPS (rkn):
И на стороне хоста ipsecgw
Туннель установлен, пинги ходят, в tcpdump видно что между хостами ходит только ESP. Казалось бы можно радоваться. Но нельзя расслабляться не проверив всё до конца. Пробуем перевыпустить сертификат на VPS и…
Шеф, всё сломалось
Начинаем разбираться и натыкаемся на одну неприятную особенность прекрасного во всём остальном Let’s Encrypt — при любом перевыпуске сертификата меняется так же ассоциированный с ним закрытый ключ. Изменился закрытый ключ — изменился и открытый. На первый взгляд ситуация для нас безвыходная: если даже открытый ключ мы можем легко извлечь во время перевыпуска сертификата при помощи хука в certbot и передать его удаленной стороне через SSH, то непонятно как заставить удаленный Strongswan перечитать его. Но помощь пришла откуда не ждали — systemd умеет следить за изменениями файловой системы и запускать ассоциированные с событием службы. Этим мы и воспользуемся.
Создадим на каждом из хостов служебного пользователя keywatcher с максимально урезанными правами, сгенерируем каждому из них SSH-ключи и обменяемся ими между хостами.
На хосте ipsecgw.example.com создадим каталог /opt/ipsec-pubkey в котором разместим 2 скрипта.
На VPS (хосте rkn.example.com) аналогично создаем каталог с тем же именем, в котором тоже создаем аналогичные скрипты, изменяя только название ключа. Код, чтобы не загромождать статью, под
sudo vi /opt/ipsec-pubkey/pubkey-copy.sh
Скрипт pubkey-copy.sh нужен для извлечения открытой части ключа и копирования его удаленному хосту во время выпуска нового сертификата. Для этого в каталоге /etc/letsencrypt/renewal-hooks/deploy на обоих серверах создаем еще один микроскрипт:
Половина проблемы решена, сертификаты перевыпускаются, публичные ключи извлекаются и копируются между серверами и пришло время systemd с его path-юнитами.
На сервере ipsecgw.example.com в каталоге /etc/systemd/system создаем файл keyupdater.path
Аналогично на VPS хосте:
И, напоследок, на каждом сервере создаем ассоциированную с данным юнитом службу, которая будет запускаться при выполнении условия (PathChanged) — изменении файла и его закрытии его после записи. Создаем файлы /etc/systemd/system/keyupdater.service и прописываем:
Не забываем перечитать конфигурации systemd при помощи sudo systemctl daemon-reload и назначить path-юнитам автозапуск через sudo systemctl enable keyupdater.path && sudo systemctl start keyupdater.path.
Как только удаленный хост запишет файл, содержащий публичный ключ, в домашний каталог пользователя keywatcher и файловый дескриптор будет закрыт, systemd автоматически запустит соответствующую службу, которая скопирует ключ в нужное расположение и перезапустит Strongswan. Туннель будет установлен, используя правильный открытый ключ второй стороны.
Можно выдохнуть и наслаждаться результатом.
Вместо заключения
Как мы только что увидели чёрт IPSec не так страшен, как его малюют. Всё, что было описано — полностью рабочая конфигурация, которая используется в настоящее время. Даже без особых знаний можно настроить VPN и надежно защитить свои данные.
Конечно за рамками статьи остались моменты настройки iptables, но и сама статья уже получилась и без того объемная и про iptables написано много.
Есть в статье и моменты, которые можно улучшить, будь-то отказ от перезапусков демона Strongswan, перечитывая его конфиги и сертификаты, но у меня не получилось этого добиться.
Впрочем и рестарты демона оказались не страшны: происходит потеря одного-двух пингов между пирами, мобильные клиенты тоже сами восстанавливают соединение.
Надеюсь коллеги в комментариях подскажут правильное решение.
Какие службы в Windows нужны, а какие можно отключить.
Здравствуйте дорогие читатели, сегодня я хотел бы поговорить:
1. О службах Windows, что это, для чего нужны и какие за что отвечают.
2. И как же повысить быстродействия компьютера?
И так что это за службы Windows?
Службы — приложения, автоматически или вручную запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя различные задачи.
Открыть список служб можно несколькими способами:
1. Удерживая кнопку windows нажимаем R, откроется окно выполнить, там введите services.msc
2. Пуск > Панель управления > Администрирование > Службы
3. Пуск > правой кнопкой мыши по моему компьютеру > Управление > Службы и приложения > Службы
Как видите в Windows их достаточно много и скачав справочник служб, Вы можете ознакомиться какие службы существуют и за что каждая из них отвечает.
Так как службы это приложения, следовательно они работают и используют часть ресурсов компьютера. Отключив не нужные можно повысить его быстродействие. Посмотрим что можно отключить.
Какие службы можно отключить в Windows 7, 8
Я не стал составлять список тех служб которые можно отключить, т.к. многие службы индивидуальны. Я просто постарался описать каждую службу и в каких ситуациях их можно отключить. Если вам нужно что-нибудь отключить бездумно, то просто воспользуйтесь программой для автоматического отключения служб.
* BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.
* DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.
* DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).
* KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.
* Parental Controls — Служба для родительского контроля. Если не используете, можно отключить.
* Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.
* Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.
* Remote Desktop Configuration — Для удаленного рабочего стола. Если не пользуетесь удаленными подключениями, отключаем.
* Superfetch — Полезная функция, работает с кэшем. Ускоряет работу Windows, так что оставляем.
* Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.
* Windows CardSpace — ненужная и небезопасная служба. По этому отключаем.
* Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.
* Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!
* WMI Performance Adapter — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)
* Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.
* Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.
* Агент защиты сетевого доступа — Ставим вручную, т.к. при необходимости служба запустится, если какая-то программа запросит необходимую информацию.
* Агент политики IPsec — Нужна при наличии сети и интернета.
* Адаптивная регулировка яркости — Оставляем если есть датчик освещения.
* Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.
* Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.
* Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)
* Браузер компьютера — В домашней сети не нужна. Вручную.
* Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.
* Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.
* Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.
* Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.
* Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…
* Дефрагментация диска — В принципе она не мешает. Можете оставить или отключить. Если отключите, то рекомендую делать раз в месяц. А для ssd дисков, вообще отключаем!
* Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.
* Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.
* Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.
* Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.
* Диспетчер удостоверения сетевых участников — Ставим лучше вручную.
* Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.
* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.
* Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.
* Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.
* Журналы и оповещения производительности — системная служба, оставляем как есть.
* Защита программного обеспечения — так же системная служба, оставляем как есть.
* Защитник Windows — Защита от шпионских и вредных программ. Установите нормальный антивирус, а эту службу отключите.
* Изоляция ключей CNG — Вручную.
* Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.
* Информация о совместимости приложений — Полезная штука, помогает запустится приложениям, которые отказываются работать на вашей ос. Ставим вручную.
* Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.
* Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.
* Координатор распределенных транзакций — Ставим вручную.
* Кэш шрифтов Windows Presentation Foundation — Ставим вручную. При необходимости её запустят приложения.
* Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.
* Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.
* Маршрутизация и удаленный доступ — Не нужна. Отключаем.
* Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.
* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.
* Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.
* Немедленные подключения Windows — регистратор настройки — Вручную.
* Обнаружение SSDP — Оставьте как есть. Необходима для новых устройств.
* Обнаружение интерактивных служб — Вручную.
* Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.
* Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.
* Основные службы доверенного платформенного модуля — Нужно только для использования чипов ТМР и/или BitLocker.
* Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.
* Перечислитель IP-шин PnP-X — Лучше поставить вручную.
* Питание — Не отключается. Оставляем.
* Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.
* Планировщик классов мультимедиа — Оставляем, для кого важен звук.
* Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.
* Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.
* Поставщик домашней группы — Для использования домашних групп. Лучше вручную.
* Проводная автонастройка — Вручную.
* Программный поставщик теневого копирования (Microsoft) — Вручную.
* Прослушиватель домашней группы — Вручную.
* Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.
* Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.
* Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.
* Распространение сертификата — Лучше вручную.
* Расширяемый протокол проверки подлинности (EAP) — Вручную.
* Сборщик событий Windows — Вручную.
* Сведения о приложении — Вручную.
* Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.
* Сервер упорядочения потоков — Отключаем если нет домашней группы.
* Сетевой вход в систему — Вручную.
* Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.
* Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.
* Системное приложение COM+ — Так же вручную.
* Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.
* Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.
* Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.
* Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.
* Служба ввода планшетного ПК — если экран не сенсорный, то не нужна.
* Служба времени Windows — нужна для синхронизации времени с интернетом.
* Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.
* Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.
* Служба интерфейса сохранения сети — Нужна для нормальной работы сети.
* Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.
* Служба медиаприставки Media Center — Если не используете никаких приставок, она не нужна.
* Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.
* Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.
* Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.
* Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.
* Служба планировщика Windows Media Center — Нужна если только смотрите передачи в Windows Media Player.
* Служба поддержки Bluetooth — Нужна если есть Bluetooth.
* Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.
* Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.
* Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.
* Служба публикации имен компьютеров PNRP — Нужна для домашних групп.
* Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.
* Служба ресивера Windows Media Center — для просмотра телерадио передач в плеере.
* Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.
* Служба списка сетей — Так же лучше оставить.
* Служба уведомления SPP — Для лицензирования. Оставьте вручную.
* Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.
* Служба удаленного управления Windows (WS-Management) — Поставьте вручную.
* Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.
* Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.
* Службы криптографии — Для установки новых программ, лучше оставьте как есть.
* Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.
* Смарт-карта — Если ими не пользуетесь, то она вам не нужна.
* Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.
* Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.
* Телефония — Оставьте вручную. Если понадобится, запустится.
* Темы — Едят много ресурсов памяти. Если не нужны, отключайте.
* Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.
* Тополог канального уровня — Тоже вручную. Если понадобится, запустится.
* Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.
* Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.
* Удостоверение приложения — Вручную.
* Узел системы диагностики — Диагностика проблем. Поставьте вручную.
* Узел службы диагностики — Так же вручную.
* Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.
* Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.
* Управление сертификатами и ключом работоспособности — Ставьте вручную, понадобится, запустится сама.
* Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.
* Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.
* Факс — Нужна если только есть факс.
* Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.
* Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.
* Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.
* Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.
* Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.
* Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.
Я постарался представить весь список служб. Отключив некоторые, вы повысите быстродействие компьютера. Можно так же по своему усмотрению решить какие нужны, а какие нет. Например если нет интернета, то тут половину смело рубить можно, если нет принтера, то тоже можно много выключить. Таким образом в зависимости от ваших потребностей, можно существенно взбодрить старый компьютер.