Windows系统安全禁用限制.docx

1、Windows系统安全禁用限制封面作者：PanHongliang仅供个人学习Windows 2000 系统安全、禁用限制1去掉“文档”菜单选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoRecentDocsMenu”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoRecentDocsMenu”键值设为“1”，最后单击

2、“确定”按钮并重新启动系统即可。2去掉“查找”菜单 选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoFind”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoFind” 键值设为“1”，最后单击“确定”按钮并重新启动系统即可。3去掉“运行”菜单选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKE

3、Y_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoRun”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoRun” 键值设为“1”，最后单击“确定”按钮并重新启动系统即可。 4去掉“注销”菜单选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExpl

4、orer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoLogOff”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoLogOff” 键值设为“1”，最后单击“确定”按钮并重新启动系统即可。5去掉“关闭系统”菜单选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoClose”，在数据

5、类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoClose” 键值设为“1”，最后单击“确定”按钮并重新启动系统即可。6去掉“设置”菜单选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoSetFolders”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoSetFolders” 键值设为“1”

6、，最后单击“确定”按钮并重新启动系统即可。7自动清除“文档”菜单内容选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“ClearRecentDocsOnExit”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “ClearRecentDocsOnExit” 键值设为“1”，最后单击“确定”按钮并重新启动系统即可。8删除桌面上的系

7、统图标 当你想删除桌面上的“回收站”、“Internet Explorer”等系统设定的图标时，会发现它们不能用一般的方法删除。这时你可以选择“本地机器上的HKEY_LOCAL_MACHINE”子窗口，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace分支，在该分支下面有多个子键，这些子键对应桌面上的“系统”图标，在右边窗口你可以看到，如“Internet Explorer”等。要删除不需要的图标，只须删除对应的键值，再重新启动系统即可。9去掉“网上邻居”图标选择“本地机器上的H

8、KEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoNetHood”，在数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。再将 “NoNetHood” 键值设为“1”，最后单击“确定”按钮并重新启动系统即可。10隐藏指定的驱动器选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USERSoftwareMicroso

9、ftWindowsCurrentVersionPoliciesExplorer分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoDrives”的数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮，在“数据”编辑框中输入你要隐藏的驱动器号并确定，重新启动系统后相应的驱动器即被隐藏。注意：在这里使用2的N次方（N=1，2，3，）来代表一个驱动器号，如：A为 1, B为 2, C为 4, D为 8, E为 16, F为 32, G为 64还有，如果你要隐藏A、B、C三个驱动

10、器，输入7即可，因为7=124。11屏蔽桌面上的特殊项 特殊项包括“我的电脑”，“网上邻居”，“回收站”等。(1)新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftware MicrosoftWindowsCurrent VersionPoliciesExplorerNoNetHood，修改其值为1，可以屏蔽掉桌面上的“网上邻居”。(2)新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftware MicrosoftWindowsCurrent VersionPoliciesExplorerNoInternetIcon，修改其值为1，可以屏蔽掉

11、桌面上的“Internet Explorer”。(3)新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftware MicrosoftWindowsCurrent VersionPoliciesExplorerNoNetConnectDisconnect，修改其值为1，可以屏蔽掉桌面上“网上邻居”快捷菜单中的“映射网络驱动器”和“断开网络驱动器”项。(4)新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftware MicrosoftWindowsCurrent VersionPoliciesExplorerNoComputersNearMe，修

12、改其值为1，可以屏蔽掉桌面上“网上邻居”里的“邻近的计算机”项。12隐藏文件夹下的内容 如果想隐藏你的文件夹，通过将文件夹的属性设置为“隐藏”是没有用的。只需在文件夹的“查看”菜单中，选择“文件夹选项”单击“查看”选项卡，选择“显示所有的文件和文件夹”项，就可显示出所有具有隐藏属性的文件夹和文件。可以利用类标识符作为文件夹名的文件扩展名。例如我们想保护文件夹c:mydata。首先在注册表项HKEYCLASSESROOT下找到该文件类型的CLSID，将c:mydata的名称修改为“c:mydata. 00022603-0000-0000-C000-000000000046”。此时c:mydata

13、的图标就变成了MIDI文件的图标。在资源管理器中双击该图标，系统会报告该MIDI文件内容错误，无法播放(系统将文件夹当做MIDI文件处理了)，因此用户无法进入c:mydata，也就无法查看该文件夹下的内容。唯一能够查看文件夹内容的方法是：在命令解释器窗口中，使用CD命令进入到该文件夹。13屏蔽“控制面板”中的指定工程 屏蔽掉“控制面板”中的某些工程，以防止用户进行任意设置。新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerDisallowCpl,修改其值为1。然后新建

14、一个注册表项HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer DisallowCpl，在该项下新建若干个字符串(REGSZ)值项，形式为“序号控制面板项对应的文件名”。如想屏蔽控制面板中的“显示”和“系统”两项，可以在该项下新建两个值项“1”和“2”，值分别为“desk.cpl”(显示项对应的文件)和sysdm.cpl(系统项对应的文件)。重启桌面使更改生效。14指定“控制面板”中显示的工程 在“控制面板”中只显示指定的工程，对于没有指定的工程则不显示。新建一个双字节(REGDWORD)类型的值项HKEY

15、CURRENTUSERSoftware MicrosoftWindowsCurrent VersionPoliciesExploreRestrictCpl，修改其值为1，然后新建一个注册表项HKEYCURRENTUSERSoftware MicrosoftWindowsCurrent VersionPolicies ExploreRestrictCpl，在该项下新建若干个字符串(REGSZ)值项，形式为“序号控制面板项对应的文件名”。如只允许用户使用控制面板中的“显示”和“系统”两项，可以在该项下新建两个值项“1”和“2”，值分别为“desk.cpl”和sysdm.cpl。重启桌面使更改生效。

16、注意：使用“屏蔽控制面板中的指定工程”和“指定控制面板中显示的工程”都可以定制控制面板中工程的显示，但是这两个方法有可能发生冲突。如果发生冲突，则“屏蔽控制面板中的指定工程”方法优先。15禁用控制面板中的“显示”项 禁止使用“控制面板”中的显示项。虽然该项仍然会出现在“控制面板”中，但是却不能使用。新建一个双字节(REGDWORD)的值项HKEYCURRENTUSER SoftwareMicrosoftWindowsCurrent VersionPoliciesSystemNoDispCPL，修改其值为1。这时进入“控制面板”，双击“显示”项，系统会出现一个消息框提示用户不可以进行此操作。16

17、屏蔽“显示”项中的“背景”选项卡 通过屏蔽“背景”选项卡，可以避免用户更改桌面的墙纸。新建一个双字节值项HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciessystemNoDispBackgr oundPage，修改其值为1。重启桌面使更改生效。17禁止“显示”项里的“背景”选项卡 通过禁止“显示”项里的“背景”选项卡，“背景”页中的各个按钮和选择项都变成不可选状态，这样用户将无法更改当前的墙纸和背景。新建一个双字节值项HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent Versi

18、onPoliciesActiveDesktopNo ChangingWallPaper，修改其值为1。18屏蔽“显示”项中的“外观”选项卡 新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciessystemNoDispAppearancePage，修改其值为1。重启动桌面使更改生效。 7禁止在“打印机”项中删除打印机新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciesExpl

19、orerNoDeletePrinter，修改其值为1。这时进入“控制面板”，选定一个打印机，单击鼠标右键，选择快捷菜单中的“删除”，系统会弹出一个消息框，提示用户不能进行删除打印机的操作。19屏蔽“打印机”中的“添加打印机” 可以去除“打印机”项中的“添加打印机”，以防止用户任意配置新的打印机。新建一个字符串(REGSZ)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorerNoAddPrinter”，修改其值为1。20屏蔽“添加/删除”项 通过“控制面板”中的“添加/删除”项，用户可以安装和卸载Win

20、dows 2000的应用程序，还可以添加和删除Windows 2000的功能组件。新建一个字符串(REGSZ)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstallNoAddRemovePrograms，修改其值为1。这时再进入到“控制面板”中，可以看到“添加/删除”图标不见了。21.屏蔽“添加/删除”项中的“更改或删除程序”选项我们可以屏蔽掉“添加/删除”项中的“更改或删除程序”阻止用户更改或删除程序。新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicroso

21、ftWindowsCurrentVersionPoliciesUninstallNoRemovePage，修改其值为1。刷新桌面使更改生效。22.屏蔽“添加/删除”项中的“添加新程序”可以通过屏蔽掉“添加/删除”项中的“添加新程序”以阻止用户添加新程序。新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstallNoAddPage，修改其值为1。23.屏蔽“添加/删除”项中的“添加/删除Windows组件”我们可以屏蔽掉“添加/删除”项中的“添加/删除Windows组件”。

22、使用户不能通过“添加/删除”项中的“添加/删除Windows组件”安装新的Windows 2000应用程序。新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstallNoWindowsSetupPage，修改其值为1。24.屏蔽“添加/删除”工程“添加新程序”中的“从光盘或软盘添加程序”通过“添加/删除”项中的“添加新程序”，用户可以安装新的Windows 2000应用程序。我们可以去除掉“从光盘或软盘添加程序”方式。新建一个双字节(REGDWORD)值项HKEYCURR

23、ENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesUninstallNoAddFromCDor Floppy，修改其值为1。 25.禁止用户锁定计算机用户在Windows安全窗口中(同时按下Ctrl+Alt+DELETE键)可以单击“锁定计算机”键，使用户不能够使用计算机，除非键入用户密码解除锁定。通过修改注册表，可以禁止用户锁定计算机。新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableLockWork

24、station，修改其值为1。26.禁止用户使用“任务管理器”用户可以使用“任务管理器”对话框来启动和结束本地进程，查看和管理其他计算机上的进程，改变进程的优先级。通过修改注册表，可以禁止用户使用“任务管理器”。新建一个双字节(REGDWORD)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystemDisableTaskMgr，修改其值为1。27.禁止查看指定磁盘驱动器的内容 如果某个磁盘驱动器中存放了重要的数据，不希望用户查看该驱动器的内容，可以使用此方法来禁止察看该驱动器的内容。新建一个双字节(REGDW

25、ORD)值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorerNoViewOnDrive。该值项从最低位(第0位)到第25位，共26个字位，分别代表驱动器A到驱动器Z。例如我们想禁止用户使用软盘驱动器A和B，以及驱动器D，可以修改“NoViewOnDrive”的值为“0000000b”(第0、1、3位的值为1)。修改后需要重启桌面使更改生效。这时再进入到“我的电脑”，双击驱动器D，系统会弹出一个消息框，告诉用户不能进行此操作。但是应用程序仍然可以访问被禁止的驱动器。被禁止的驱动器图标并没有被删除，仍然出

26、现在“我的电脑”和“资源管理器”中。28.禁止运行命令解释器和批处理文件通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REGDWORD)执行HKEYCURRENTUSERSoftwarePolicies MicrosoftWindowsSystemDisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。29.禁止使用注册表编辑器修改注册表是复杂和危险的，所以不希望用户去修改注册表。通过修改注册表，可以禁止用户运行系统提供的两个注册表编辑器。新建一个双字节(REGDWORD)

27、值项HKEYCURRENTUSERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystemDisableRegistryTools，修改其值为1。这样，用户就不能启动注册表编辑器了。注意：使用此功能要小心，最好作个注册表备份，或者准备一个其他的注册表修改工具。因为当你禁止使用注册表编辑器后，就不能再使用该注册表编辑器将值项改回了。30.禁止用户更改口令用户在Windows安全窗口中(同时按下Ctrl+Alt+DELETE键)可以单击“更改密码”按钮来更改用户口令。通过修改注册表，可以禁止用户更改口令。新建一个双字节(REGDWORD)值项HKE

28、YCURRENTUSERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystemDisableChangePassword，修改其值为1。这样，Windows安全窗口中的“更改密码”按钮变成了不可选状态，用户无法更改口令。31.禁止通过网络访问软盘 为了防止病毒入侵整个网络，导致整个网络处于瘫痪状态，所以我们必须严格管理计算机的输入设备，以断绝病毒的源头，为此就要禁止通过网络访问软盘。设置时，首先单击开始按钮，从弹出的菜单中选择运行命令；随后，程序将弹出一个运行对话框，在该对话框中输入regedit命令，然后在打开的注册表编辑器中依次打开键值H

29、KEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，在右边的窗口中看看有没有键值AllocateFloppies，如果没有请创建DWORD值，名字取为AllocateFloppies，把它的值修改为或，其中0代表可被域内所有管理员访问，1代表仅可被当地登陆者访问。 32.禁用更改主页设置 在HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下新建一个名为HomePage的DWORD，然后赋值为: 1 (0x1) 33.禁用更

30、改辅助功能设置 在HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下新建一个名为Accessibility的DWORD，然后赋值为: 1 (0x1) 34.禁用更改临时文件的设置 在HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下新建一个名为Cache的DWORD，然后赋值为: 1 (0x1) 35.禁用更改颜色设置 在HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下新建一个名为Colors的DWORD，然后赋值为: 1 (0x1) 36.禁用更改字体设置 在HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下新建一个名为Fonts的DWORD，然后赋值为: 1 (0x1) 37.禁用更改语言设置 在HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerC