新装的电脑,放在宿舍中不足半月,系统就已经重装了三次。不能怪电脑有问题,只能怨我寝室的这帮兄弟太喜欢“研究”,兄弟是好兄弟,就是太“菜”。而碍于面子问题,咱又不能指责兄弟,最后不得已,只能将Windows XP系统中的“危险”设置,偷偷的加上一把“大锁头”。
系统组件 轻松“上锁”
最容易让Windows XP“受伤”的无非是一些系统自带组件,比如注册表编辑器、系统服务、任务管理器、格式化命令等。而在默认情况下,任何人都能通过它们对系统进行修改,使系统出现各类“不良反应”。因此要想保护好系统,首先就要让他人无法使用这些组件。
一、危险组件 策略限制
对于系统中的危险组件,使用Windows XP提供的组策略即可进行有效控制,比如要限制注册表编辑器的运行,就可以这样操作。
步骤1:以系统管理员身份登录系统后,在“运行”对话框中执行“gpedit.msc”命令,打开组策略编辑器。接着依次展开“用户配置”→“管理模板”→“Windows组件”→“系统”项。
步骤2:在右侧窗口中双击“阻止访问注册表编辑工具”策略,打开其属性窗口,切换到“设置”标签,选择“已启用”(如图1)。这样当下次其他用户试图运行注册表编辑器时,系统就会弹出“注册编辑已被管理员停用”的警告窗口。
图1
对于其它组件的限制均可参照于此。比如在这里还可以选择“阻止访问命令提示符”策略,来阻止他人运行cmd.exe命令,而选择“关闭自动播放”策略,则可取消光盘、U盘插入时自动运行的操作。
步骤3:为防止他人通过修改组策略来开启被限制的组件,在这里就可双击“不要运行指定的Windows应用程序”策略,然后将mmc.exe程序添加到限制列表中,来阻止其他用户运行组策略编辑器。在此,还可将其它要屏蔽的危险组件和程序一并添加到列表中,达到阻止其运行的目的。
步骤4:当自己要使用注册表编辑器时,可将C:\Windows\ System32目录下的mmc.exe文件重命名为mm.exe,之后在“运行”对话框中执行“mmc”命令,打开控制台,再点击菜单中的“打开”→“C:\Windows\System32\gpedit.msc”命令,开启组策略,从中取消对注册表编辑器的限制即可。
通过当前窗口中的“只运行许可的Windows程序”策略,还可将大家经常需要使用,但对系统不会造成伤害的程序添加到列表中。这样使用者只能运行有限的几个程序,间接达到封锁其它程序运行的效果。
二、危险命令 全部失效
除了系统组件外,系统自带的一些命令也具备极强的杀伤力,比如Format.com这个格式化命令,便能使整个分区的数据消失。对于这些命令自然也要进行“加锁”处理,不过方法相对简单些,只需将其改名即可。
进入C:\Windows\System32文件夹,找到Format.com文件,将其重命名为format.aa,这样其他人在命令行下执行格式化命令时,便无法成功操作了,自己使用时则可恢复程序原名(如图2)。
图2
另外,Windows XP中还包含了一些很少使用,但却极容易被黑客利用的命令,如tftp.exe、at.exe等,最好都将其进行重命名操作。不过有一些受系统保护的命令,就需要先打开C:\Windows\System32 \dllcache文件夹,在其中找到同名命令并进行重命名处理,这时系统会弹出“系统文件已被更改为无法识别版本,请插入Windows XP光盘修复”的提示。对此可不必理会,直接单击“取消”按钮,再到C:\ Windows\System32文件夹中,对相应命令执行重命名操作即可。
重命名操作的方式,只能防止用户无法在命令提示符窗口下执行高危命令。不过一些命令在资源管理器下确仍可执行。如果要彻底杜绝危险命令的执行,可建立一个受限帐户供其他人使用,通过帐户权限限制的方式规避这种风险。
三、系统服务 谁也别动
系统服务是Windows XP正常运行的基础,如果不小心调整了系统的关键服务,则可能会出现各种莫名的故障,所以最好将系统服务也进行“加锁”处理。
步骤1:打开注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services”分支。
步骤2:右击“Services”子键,选择“权限”命令,打开权限设置窗口,单击其中的“高级”按钮,在弹出窗口中去除“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,接着单击删除,去除所有继承的权限。
步骤3:回到权限设置窗口,单击“添加”,将当前用户和system帐户添加到“组和用户”列表中。同上,在属性窗口中单击“高级”按钮,在弹出窗口内选中system帐户,单击“编辑”按钮,在弹出窗口中钩选其允许权限为“查询数值、枚举子项、通知和读取控制”(如图3)。最后依次单击“确定”退出。这样当其他用户试图通过“计算机管理”中的“服务和应用程序”项,对服务设置进行修改时,便会遭到系统拒绝。
图3
四、重要分区 巧妙“隐身”
为了阻止其他人浏览到硬盘中重要的个人资料,就需要对保存资料的分区盘符进行修改,达到隐藏目的。
步骤1:在“运行”对话框中执行“compmgmt.msc”命令,打开计算机管理窗口,选择“磁盘管理”项,接着在右侧窗口中选择要隐藏的分区,右击并选择“更改驱动器名和路径”命令。
步骤2:在弹出窗口中,选中分区盘符,单击“删除”按钮,将分区盘符删除(如图4)。这样其他人就无法访问该分区,但该分区中的数据仍然存在,自己需要访问操作时,可重复操作对其进行添加盘符操作即可。
图4
通过编辑注册表键值也可达到隐藏盘符的效果。打开注册表编辑器,依次展开“HKEY_ CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Policies\Explorer”分支。然后在右侧窗口中新建一个名为“NoDrives”的DWORD值,数值数据使用十进制。如要隐藏A盘就设置其数值为“1”,隐藏B盘为A盘的一倍即“2”,隐藏 C 盘为 B 盘的一倍即“4”,依此类推,设置需要隐藏的分区即可。在需要访问隐藏分区时,只要在“运行”对话框中执行隐藏分区的盘符,便能打开该分区。
常用程序 “想禁就禁”
一般情况下,系统中安装的常用软件并不会对系统造成伤害。但这些软件在宿舍这类公共场所中,就显得比较“碍事”了。为了避免落下“自私”的封号,同时又可让宿舍的兄弟使用电脑,可将这类程序进行有选择的“锁定”,比如可限制QQ和MSN这两个最容易“惹祸”的程序。
一、我的QQ 请勿登录
打开“C:\Program Files\ tencent\qq\12345678”文件夹(12345678为需要限制的QQ号码所在文件夹),右击选择“属性”命令,之后切换到“常规”标签,钩选上“只读”属性(如图5)。这样QQ号为12345678的用户,在本机使用QQ时就会一直出现无法登录的现象,大多很菜的舍友们就会以为是QQ出现了故障,这样就巧妙的避免他人在自己电脑上使用QQ聊天了。而自己的号码没有进行限制,使用时当然不会有任何问题。
图5
二、谁的MSN也不能使用
上述限制方法只对QQ有效,不过组策略的“软件限制策略”则可使所有程序“失效”,比如要限制他人使用MSN,即可进行如下操作。
步骤1:运行组策略,依次展开“计算机配置→Windows设置→安全设置→软件限制策略”项,接着单击菜单栏中的“操作→创建新的策略”命令,新建一个策略。
步骤2:展开软件限制策略,在“其它规则”上右击选择“新散列规则”,在弹出窗口中单击“浏览”选择“C:\Program Files\MSN Messenger\msnmsgr.exe”文件,这时会生成一个文件散列号码,将安全级别设置为“不允许”,单击“确定”退出。这样其他用户想要启动MSN时,系统就会弹出一个拒绝运行窗口(如图6)。当自己要使用时,则可重复上述操作,将msnmsgr.exe文件设置为允许运行即可。
图6