5)禁止使用注册表编辑器
注册表是复杂和危险的,所以我们往往希望用户不要尝试着去修改注册表。通过修改注册表,我们可以禁止用户运行系统提供的两个注册表编辑器,Regedit.exe和Regedt32.exe。
在注册表项HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\下新建一个双字节值项DisableRegistryTools,修改其值为1。这样,用户就不能启动注册表编辑器了。
注意:使用此功能要小心,最好作个注册表备份,或者准备一个其他的注册表修改工具。因为你在禁止了注册表编辑器后,就不能再使用该注册表编辑器将值项改回了。
(6)禁止用户更改口令(适用于Windows NT/200/XP)
用户在"Windows安全窗口"中(同时按下Ctrl+Alt+delete键),可以单击"更改密码"来更改用户口令。通过修改注册表,可以禁止用户更改口令。
在注册表项HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System下新建一个双字节值项DisableChangePassword,修改其值为1。这样,"Windows安全窗口"中的"更改密码"按钮变成了灰色不可选状态,用户无法更改口令。
(7)禁止用户锁定计算机(适用于Windows NT/2000/XP)
用户在"Windows安全窗口"中,可以单击"锁定计算机"来锁定计算机。通过修改注册表,可以禁止用户锁定计算机。
在注册表HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System中新建一个双字节值项DisableLockWorkstation,修改其值为1。这样,"Windows安全窗口"中的"锁定计算机"按钮变成了灰色不可选状态,用户无法锁定计算机。
(8)禁止用户使用任务管理器(适用于Windows NT/2000/XP)
用户可以使用"Windows任务管理器"(Taskmgr.exe)来启动和结束本地进程、查看和管理其他计算机上的进程、改变进程的优先级。通过修改注册表,可以禁止用户使用任务管理器。
在注册表项HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\下新建一个双字节值项DisableTaskMgr,修改其值为1。这样,用户就无法启动任务管理器了。
3.限制用户可以查看的资源(适用范围:Windows 9x/Me/NT/2000/XP)
(1)隐藏指定的磁盘驱动器
如果我们不希望使用者查看某个驱动器的内容,可以在"我的电脑"和资源管理器中将该驱动器的图标隐藏起来。
在注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中新建一个双字节值项NoDrives。
该值项共使用了从最低位(第0位)到第25位,共26个字位,分别代表驱动器A到驱动器Z。如果第0位为1,表示不显示驱动器A的图标,第3位为1,表示不显示驱动器D的图标,依此类推。例如我们想"我的电脑"中不显示任何驱动器的图标,可以修改"NoDrives"的值为"03ffffff"(第0位到31位全部为1)。修改后重启桌面使改动生效。
修改后,不只是"我的电脑",还包括"网上邻居"、资源管理器,任何标准的"打开"、"保存"文件的对话框,都不会出现指定驱动器的图标。虽然这些驱动器的图标不能出现,但是用户仍然可以访问这些驱动器。例如可以在资源管理器的地址栏中输入驱动器号,或者在DOS窗口中使用命令查看隐藏了的驱动器。
(2)禁止用户查看指定磁盘驱动器的内容
如果有一个驱动器中存放了重要的数据,我们不希望使用者查看该驱动器的内容,可以使用此方法来禁止查看该驱动器的内容。
在注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中新建一个双字节值项NoViewOnDrive。该值项共使用了从最低位(第0位)到第25位,共26个字位,分别代表驱动器A到驱动器Z。如果第0位为1,表示禁止使用驱动器A,第3位为1,表示禁止使用驱动器D,依此类推。例如我们想禁止用户使用软盘驱动器A和B,以及驱动器D,可以修改"NoViewOnDrive"的值为"0000000b"(第0、1、3位的值为1)。修改后需要重启桌面使改动生效。
这时再进入到"我的电脑",双击驱动器D,系统会弹出一个消息框,告诉用户不能进行此操作。不只是"我的电脑",还包括"网上邻居"、资源管理器,任何标准的"打开"、"保存"文件的对话框,都不能对已经禁止的驱动器进行操作,虽然在"我的电脑"和资源管理器中,驱动器D的图标仍然存在。
提示:该方法只是禁止用户在"我的电脑"和资源管理器中访问受限制的驱动器,应用程序仍然可以访问被禁止的驱动器。
(3)登录时不显示上次使用者的用户名(适用于Windows NT/2000/XP)
默认情况下,在用户注册登录时,在用户名栏中显示着上次使用者的用户名。通过修改注册表,我们可以禁止系统显示上次使用者的用户名,以加强安全性。
在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\中新建一个双字节值项DontDisplayLastUserName,修改其值为1。重新启动机器后,在用户注册画面中,不会显示上次使用者的用户名。
4.限制用户使用控制面板(适用范围:Windows 9x/Me/NT/2000/XP)
控制面板提供给用户一个直观的界面来更改Windows的部分参数,使Windows的界面和功能更符合自己的需要。不恰当的使用控制面板,会带来一些问题
(1)禁用整个控制面板
在注册表项项HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer\中新建一个双字节值项NoControlPanel。值为1表示禁止控制面板的使用,值为0或者值项不存在表示允许用户使用控制面板。
重启桌面使改动生效后,可以看到,"开始"菜单中"设置"中的"控制面板"项不见了,并且如图试图用别的方式访问"控制面板"中的项目,例如在桌面上单击鼠标右键来访问"显示",系统会弹出一个消息框,提示用户不能进行此操作。
(2)去除"控制面板"中的指定项目(适用于Windows 2000/XP)
有时候我们想去除掉"控制面板"中的某些项目,以防止用户使用它们来进行设置,但是又想允许用户使用"控制面板"中的另外一些项目,这也是可以做到的。 在注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\中新建一个双字节值项DisallowCpl,并修改其值为1。然后新建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl,在该项下新建若干个字符串值项,形式为"序号=控制面板项对应的文件名"。例如想去除控制面板中的"显示"和"系统"两项,可以在该项下新建两个值项"1"和"2",值分别为"desk.cpl"(显示项对应的文件)和sysdm.cpl(系统项对应的文件)。重启桌面使改动生效。这时再进入到"控制面板"中,可以看到,"显示"项和"系统"项已经不见了。
(3)指定"控制面板"中显示的项目(适用于Windows 2000/XP)
如果我们想去除掉"控制面板"中的大部分项目,只允许用户使用几个项目,则可以使用本方法。"控制面板"中只显示用户指定的项目,对于没有指定的项目则不显示。
在注册表项HKEY_CURRENT_USER\Software\ Microsoft\Windows\Current Version\Policies\Explore\中新建一个双字节值项RestrictCpl,修改其值为1,然后新建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore\RestrictCpl,在该项下新建若干个字符串(REG_SZ)值项,形式为"序号=控制面板项对应的文件名"。例如只允许用户使用控制面板中的"显示"和"系统"两项,可以在该项下新建两个值项"1"和"2",值分别为"desk.cpl"(显示项对应的文件)和sysdm.cpl(系统项对应的文件)。重启桌面使改动生效。这时再进入到"控制面板"中,可以看到,整个控制面板中只有"显示"项和"系统"项。
注意:使用去除控制面板中的指定项目和指定控制面板中显示的项目都可以定制控制面板中项目的显示,但是这两个方法有可能发生冲突。如果发生冲突,则去除控制面板中的指定项目方法优先。 (4)去除"系统"中的"设备管理"标签(适用于Windows 9x/Me)
进入到注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System中,新建一个双字节的值项NoDevMgrPage,修改其值为1。这时再进入到"控制面板"中的"系统"项,可以看到"设备管理"标签已经不见了。
(5)去除"系统"中的"硬件配置"标签(适用于Windows 9x/Me)
进入到注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个双字节的值项NoConfigPage,修改其值为1。这时再进入到"控制面板"中的"系统"项,可以看到"硬件配置"标签已经不见了。
(6)去除"系统"中的"性能"标签里的"文件系统"按钮(适用于Windows 9x/Me)
进入到注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个双字节的值项NoFileSysPage,修改其值为1。这时再进入到"控制面板"中的"性能"项,可以看到"性能"标签中的"文件系统"按钮已经不见了。
(7)去除"系统"中的"性能"标签里的"虚拟内存"按钮(适用于Windows 9x/Me)
进入到注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个双字节的值项NoVirtMemPage,修改其值为1。这时再进入到"控制面板"中的"性能"项,可以看到"性能"标签中的"虚拟内存"按钮已经不见了。
(8)禁用"显示"项
我们可以禁止使用"控制面板"中的显示项。虽然"显示"项仍然出现在"控制面板"中,但是用户不能使用。在注册表项HKEY_CURRENT_USER\ Software\Microsoft\Windows\Current Version\Policies\System\中新建一个双字节值项NoDispCPL,修改其值为1。这时进入"控制面板",双击"显示"项,系统会出现一个消息框提示用户不可以进行此操作。
文章评论(0条评论)
登录后参与讨论