一、限制控制面板 1. 打開注冊表 中的主鍵[HKEY_USERS\“用戶名”\Software\Microsoft\Windows\CurrenVersion\Policies\System](“用戶名”指建立了多用戶的系統中,相應的用戶的名稱,如果未建立多用戶則為“.Default”),其下如果有下列DWORD值,則該用戶的相應的控制面板項被禁止: “NoDispAppearancePage”=1(禁用“顯示器”屬性) “NoDispBackgroundPage”=1(隱藏“顯示器”屬性中的“背景”頁) “NoDispCPL”=1(隱藏“顯示器”屬性中的“屏幕保護程序”頁) “NoDispScrSavPage”=1(隱藏“顯示器”屬性中的“外觀”頁) 2.[ HKEY_USERS\用戶名\Software\Microsoft\Windows\CurrentVersion\Policies\Network]下如有下列DWORD值,則該用戶相應的控制面板項被限制: “NoNetSetup”=1(禁用“網絡”屬性) “NoNetSetupIDPage”=1(隱藏“網絡”屬性中的“標識”頁) “NoNetSetupSecurityPage”=1(隱藏“網絡”屬性中的“訪問控制”頁) 3.[HKEY_USERS\用戶名\Software\Microsoft\Windows\CurrentVersion\Policies\System]下如有下列DWORD值,則該用戶相應的控制面板項被限制: “NoSecCPL”=1(禁用“密碼”屬性) “NoPwdPage”=1(隱藏“密碼”屬性中的“更改密碼”頁) “NoAdminPage”=1(隱藏“遠程管理”頁) “NoProfilePage”=1(隱藏“系統”屬性中的“用戶配置文件”頁) “NoDevMgrPage”=1(隱藏“系統”屬性中的“設備管理”頁) “NoConfigPage”=1(隱藏“系統”屬性中的“硬件配置文件”頁) “NoFileSysPage”=1(隱藏“系統”屬性“性能”頁中的“文件系統”按鈕) “NoVirtMemPage”=1(隱藏“系統”屬性“性能”頁中的“虛擬內存”按鈕) 二、限制開始菜單和桌面 1、開始菜單 如果在[HKEY_USERS\“用戶名”\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下有DWORD值“NoRun”=1時,則該用戶的開始菜單中的“運行”命令被禁止; 如果有DWORD值“NoSetFolders”=1時,則該用戶的開始菜單中的“設置\文件夾選項”命令被禁止; 如果有DWORD“NoSetTaskbar”=1時,則該用戶的開始菜單中的“設置\任務欄和開始菜單”命令被禁止; 如果有DWORD值“NoFind”=1時,則該用戶的開始菜單中的“查找”命令被禁止; 如果有DWORD值“NoStartMenuSubFolders”=1,則該用戶“開始”菜單中的子文件夾被隱藏; 如果有DWORD值“NoClose”=1時,則該用戶的開始菜單中的“關閉系統”命令被禁止; 如果有DWORD值“NoStartBanner ”=1,WINDOWS啟動時出現在任務欄的箭頭標示和“單擊此處開始”字樣被隱藏; 2、桌面、 進入如下路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\後,在“Explorer”鍵值下新建下列DWORD值: NoDesktop=1時, 隱藏桌面上的所有圖標; NoDrivers 隱藏驅動器(DWORD值的低26個bit從低到高分別對應A-Z驅動器,各bit位=1時為有效); NoNetHood =1時,隱藏桌面的“網上鄰居”圖標; NoViewContextMenu=1時, 隱藏在桌面空白處右擊鼠標時彈出的上下文菜單; NoTrayContextMenu=1時, 隱藏任務欄上按右鍵時彈出的菜單; NoEntireNetwork=1時, 隱藏“網上鄰居”中的“整個網絡”; NoSaveSetting =1時,退出前不保存設置; 三、網絡和用戶設置 1.如果在[HKEY_USERS\“用戶名”\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下有DWORD值“NoDrives”=1時,則該用戶“我的電腦”中的所有驅動器被隱藏; 如果有DWORD值“NoNetHooD”=1時,則該用戶的“網上鄰居”被隱藏; 如果有DWORD值“NoEntioeNetwork”=1時,則該用戶的“網上鄰居”中 “整個網絡” 被隱藏; 如果有字符串值“NoWorkgroupContents”=1時,則該用戶的“網上鄰居”中工作組目錄被隱藏; 如果有DWORD值“NoDesktop”=1時,則該用戶的桌面上所有的程序組被隱藏(即沒有桌面); 如果有DWORD值“NoSaveSettings”=1時,則該用戶退出系統時所作的設置不被保存。 2.撥號網絡和共享設置:在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\Network]下建立以下DWORD值,則相應的限制有效: “NoDialIn”=1(禁止撥入) “NoFileSharing”=1(禁用文件共享) “NoWorkgroupContents ”=1隱藏“網上鄰居”中的工作站顯示; “NoEntireNetwork”=1 隱藏“網上鄰居”中的整個網絡顯示; “NoFileSharingControl”=1 禁止文件共享; “NoPrintSharingControl ”=1禁止打印機共享; 3.只運行允許的Windows程序的列表: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun],在該子鍵下新建串值,串值從“1”開始命名,串值為能運行的應用程序路徑名。如:名稱 數據 ① “c:\windows\myprogram1” ② “d:\….\myprogram2” 該限制啟動後,只有在RestrictRun列表內的程序能夠運行,請保證Systray.exe程序包含在列表中。 四、口令設置 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]下建立以下DWORD值,則相應的設置有效: “HideSharePwds”=1(使用星號(*)隱藏共享口令) “DisablePwdCaching”=1(禁用口令緩存;注意!請慎用此項設置,此時控制面板中的“密碼”屬性中無法更改密碼,登錄時該用戶使用任何一個密碼或不用密碼就可以登錄。) “AlphanumPwds”=1(使Windows口令必須為數字和字母) “MinPwdLen”=n(設置Windows口令的最小長度,n大於等於0小於等於8) 五、禁用注冊表編輯器 [HKEY_USERS\“用戶名”\Software\Microsoft\Windows\CurrentVersion\Policies\System\]下如果有DWORD值“DisableRegstryTools”=1,,則禁止該用戶使用注冊表編輯工具。
六、禁用“MSDOS”方式、禁用單一模式的MSDOS應用程序 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\]後,新建主鍵“WinOldApp” ,在該子鍵下新建DWORD值 “Disabled”=1,則該用戶的“MSDOS”方式被禁止;“WinOldApp”下如有DWORD值“NoRealMode”=1,則該用戶單一模式的MSDOS應用程序被禁用。 七、自啟動的程序 [HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\Run]其下的字符串值表示通過注冊表自啟動的程序; [HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\RunOnce]其下的字符串值表示只自啟動一次的程序; [HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\RunServices]其下的字符串值表示通過注冊表自啟動的服務程序; [HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\RunServicesOnce]其下的字符串值表示只啟動一次的服務程序。 由此,我們可以看出上面所有的DWORD值,如果其值為“1”時表示該值有效,其值為“0”時表示該值無效;我們可以通過改變DWORD值或刪除該DWORD,來輕松地使相應的限制有效或無效。 八、限制顯示器屬性 進入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\後,在子鍵“System”下新建以下DWORD值(=1時為有效): NoDispAppearancePage 隱藏顯示屬性中的“外觀”屬性頁; NoDispBackgroundPage 隱藏顯示屬性中的“背景”屬性頁; NoDispCPL 禁止設置顯示屬性; NoDispScrSavPage 隱藏顯示屬性中的“屏幕保護”屬性頁; NoDispSettingsPage 隱藏顯示屬性中的“設置”屬性頁; 九、 鎖定“我的電腦”、“我的文檔”、“回收站”、“控制面板”等。 1、鎖定我的電腦 進入HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32後,在“默認”串值後加上“-”符號,例如原值若為 ‘shell32.dll’ 則修改為 ‘shell32.dll-’。 2、同理可鎖定我的文檔 :{450D8FBA-AD25-11D0-98A8-0800361B1103} 控制面板: {21EC2020-3AEA-1069-A2DD-08002B30309D} 回收站: {645FF040-5081-101B-9F08-00AA002F954E}