保護系統核心，鎖住危險設置

　新裝的電腦，放在宿舍中不足半月，系統就已經重裝了三次。不能怪電腦有問題，只能怨我寢室的這幫兄弟太喜歡「研究」，兄弟是好兄弟，就是太「菜」。而礙於面子問題，咱又不能指責兄弟，最後不得已，只能將Windows XP系統中的「危險」設置，偷偷的加上一把「大鎖頭」。

　　系統組件  輕鬆「上鎖」

　　    最容易讓Windows XP「受傷」的無非是一些系統自帶組件，比如註冊表編輯器、系統服務、任務管理器、格式化命令等。而在默認情況下，任何人都能通過它們對系統進行修改，使系統出現各類「不良反應」。因此要想保護好系統，首先就要讓他人無法使用這些組件。

　　一、危險組件 策略限制

　　

　　對於系統中的危險組件，使用Windows XP提供的組策略即可進行有效控制，比如要限制註冊表編輯器的運行，就可以這樣操作。

　　步驟1：以系統管理員身份登錄系統后，在「運行」對話框中執行「gpedit.msc」命令，打開組策略編輯器。接著依次展開「用戶配置」→「管理模板」→「Windows組件」→「系統」項。

　　步驟2：在右側窗口中雙擊「阻止訪問註冊表編輯工具」策略，打開其屬性窗口，切換到「設置」標籤，選擇「已啟用」（如圖1）。這樣當下次其他用戶試圖運行註冊表編輯器時，系統就會彈出「註冊編輯已被管理員停用」的警告窗口。

　　

　　

　　

　　圖1

　　對於其它組件的限制均可參照於此。比如在這裡還可以選擇「阻止訪問命令提示符」策略，來阻止他人運行cmd.exe命令，而選擇「關閉自動播放」策略，則可取消光碟、U盤插入時自動運行的操作。

　　步驟3：為防止他人通過修改組策略來開啟被限制的組件，在這裡就可雙擊「不要運行指定的Windows應用程序」策略，然後將mmc.exe程序添加到限制列表中，來阻止其他用戶運行組策略編輯器。在此，還可將其它要屏蔽的危險組件和程序一併添加到列表中，達到阻止其運行的目的。

　　步驟4：當自己要使用註冊表編輯器時，可將C:\Windows\ System32目錄下的mmc.exe文件重命名為mm.exe，之後在「運行」對話框中執行「mmc」命令，打開控制台，再點擊菜單中的「打開」→「C:\Windows\System32\gpedit.msc」命令，開啟組策略，從中取消對註冊表編輯器的限制即可。

　　通過當前窗口中的「只運行許可的Windows程序」策略，還可將大家經常需要使用，但對系統不會造成傷害的程序添加到列表中。這樣使用者只能運行有限的幾個程序，間接達到封鎖其它程序運行的效果。

　　 二、危險命令  全部失效

　　

　　除了系統組件外，系統自帶的一些命令也具備極強的殺傷力，比如Format.com這個格式化命令，便能使整個分區的數據消失。對於這些命令自然也要進行「加鎖」處理，不過方法相對簡單些，只需將其改名即可。

　　進入C:\Windows\System32文件夾，找到Format.com文件，將其重命名為format.aa，這樣其他人在命令行下執行格式化命令時，便無法成功操作了，自己使用時則可恢復程序原名（如圖2）。

　　

　　

　　

　　圖2

　　另外，Windows XP中還包含了一些很少使用，但卻極容易被黑客利用的命令，如tftp.exe、at.exe等，最好都將其進行重命名操作。不過有一些受系統保護的命令，就需要先打開C:\Windows\System32 \dllcache文件夾，在其中找到同名命令並進行重命名處理，這時系統會彈出「系統文件已被更改為無法識別版本，請插入Windows XP光碟修復」的提示。對此可不必理會，直接單擊「取消」按鈕，再到C:\ Windows\System32文件夾中，對相應命令執行重命名操作即可。

　　重命名操作的方式，只能防止用戶無法在命令提示符窗口下執行高危命令。不過一些命令在資源管理器下確仍可執行。如果要徹底杜絕危險命令的執行，可建立一個受限帳戶供其他人使用，通過帳戶許可權限制的方式規避這種風險。

　　三、系統服務   誰也別動

　　

　　系統服務是Windows XP正常運行的基礎，如果不小心調整了系統的關鍵服務，則可能會出現各種莫名的故障，所以最好將系統服務也進行「加鎖」處理。

　　步驟1：打開註冊表編輯器，依次展開「HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services」分支。

　　步驟2：右擊「Services」子鍵，選擇「許可權」命令，打開許可權設置窗口，單擊其中的「高級」按鈕，在彈出窗口中去除「從父項繼承那些可以應用到子對象的許可權項目，包括那些在此明確定義的項目」複選框，接著單擊刪除，去除所有繼承的許可權。

　　步驟3：回到許可權設置窗口，單擊「添加」，將當前用戶和system帳戶添加到「組和用戶」列表中。同上，在屬性窗口中單擊「高級」按鈕，在彈出窗口內選中system帳戶，單擊「編輯」按鈕，在彈出窗口中鉤選其允許許可權為「查詢數值、枚舉子項、通知和讀取控制」（如圖3）。最後依次單擊「確定」退出。這樣當其他用戶試圖通過「計算機管理」中的「服務和應用程序」項，對服務設置進行修改時，便會遭到系統拒絕。

　　

　　

　　

　　圖3

　　四、重要分區   巧妙「隱身」

　　

　　為了阻止其他人瀏覽到硬碟中重要的個人資料，就需要對保存資料的分區盤符進行修改，達到隱藏目的。

　　步驟1：在「運行」對話框中執行「compmgmt.msc」命令，打開計算機管理窗口，選擇「磁碟管理」項，接著在右側窗口中選擇要隱藏的分區，右擊並選擇「更改驅動器名和路徑」命令。

　　步驟2：在彈出窗口中，選中分區盤符，單擊「刪除」按鈕，將分區盤符刪除（如圖4）。這樣其他人就無法訪問該分區，但該分區中的數據仍然存在，自己需要訪問操作時，可重複操作對其進行添加盤符操作即可。

　　

　　

　　

　　圖4

　　通過編輯註冊表鍵值也可達到隱藏盤符的效果。打開註冊表編輯器，依次展開「HKEY_ CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Policies\Explorer」分支。然後在右側窗口中新建一個名為「NoDrives」的DWORD值，數值數據使用十進位。如要隱藏A盤就設置其數值為「1」，隱藏B盤為A盤的一倍即「2」，隱藏 C 盤為 B 盤的一倍即「4」，依此類推，設置需要隱藏的分區即可。在需要訪問隱藏分區時，只要在「運行」對話框中執行隱藏分區的盤符，便能打開該分區。

　　常用程序 「想禁就禁」

　　    一般情況下，系統中安裝的常用軟體並不會對系統造成傷害。但這些軟體在宿舍這類公共場所中，就顯得比較「礙事」了。為了避免落下「自私」的封號，同時又可讓宿舍的兄弟使用電腦，可將這類程序進行有選擇的「鎖定」，比如可限制QQ和MSN這兩個最容易「惹禍」的程序。

　　一、我的QQ   請勿登錄

　　

　　打開「C:\Program Files\ tencent\qq\12345678」文件夾（12345678為需要限制的QQ號碼所在文件夾），右擊選擇「屬性」命令，之後切換到「常規」標籤，鉤選上「只讀」屬性（如圖5）。這樣QQ號為12345678的用戶，在本機使用QQ時就會一直出現無法登錄的現象，大多很菜的舍友們就會以為是QQ出現了故障，這樣就巧妙的避免他人在自己電腦上使用QQ聊天了。而自己的號碼沒有進行限制，使用時當然不會有任何問題。

　　

　　

　　

　　圖5

　　二、誰的MSN也不能使用

　　

　　上述限制方法只對QQ有效，不過組策略的「軟體限制策略」則可使所有程序「失效」，比如要限制他人使用MSN，即可進行如下操作。

　　步驟1：運行組策略，依次展開「計算機配置→Windows設置→安全設置→軟體限制策略」項，接著單擊菜單欄中的「操作→創建新的策略」命令，新建一個策略。

　　步驟2：展開軟體限制策略，在「其它規則」上右擊選擇「新散列規則」，在彈出窗口中單擊「瀏覽」選擇「C:\Program Files\MSN Messenger\msnmsgr.exe」文件，這時會生成一個文件散列號碼，將安全級別設置為「不允許」，單擊「確定」退出。這樣其他用戶想要啟動MSN時，系統就會彈出一個拒絕運行窗口（如圖6）。當自己要使用時，則可重複上述操作，將msnmsgr.exe文件設置為允許運行即可。

　　

　　

　　

　　圖6

can not see the pictures. can u reload them? thanks.