新裝的電腦，放在宿舍中不足半月，系統就已經重裝了三次。不能怪電腦有問題，只能怨我寢室的這幫兄弟太喜歡“研究”，兄弟是好兄弟，就是太“菜”。而礙于面子問題，咱又不能指責兄弟，最后不得已，只能將Windows XP系統中的“危險”設置，偷偷的加上一把“大鎖頭”。

　　系統組件 輕松“上鎖”

　　最容易讓Windows XP“受傷”的無非是一些系統自帶組件，比如注冊表編輯器、系統服務、任務管理器、格式化命令等。而在默認情況下，任何人都能通過它們對系統進行修改，使系統出現各類“不良反應”。因此要想保護好系統，首先就要讓他人無法使用這些組件。

　　一、危險組件 策略限制

　　對于系統中的危險組件，使用Windows XP提供的組策略即可進行有效控制，比如要限制注冊表編輯器的運行，就可以這樣操作。

　　步驟1：以系統管理員身份登錄系統后，在“運行”對話框中執行“gpedit.msc”命令，打開組策略編輯器。接著依次展開“用戶配置”→“管理模板”→“Windows組件”→“系統”項。

　　步驟2：在右側窗口中雙擊“阻止訪問注冊表編輯工具”策略，打開其屬性窗口，切換到“設置”標簽，選擇“已啟用”（如圖1）。這樣當下次其他用戶試圖運行注冊表編輯器時，系統就會彈出“注冊編輯已被管理員停用”的警告窗口。

　　對于其它組件的限制均可參照于此。比如在這里還可以選擇“阻止訪問命令提示符”策略，來阻止他人運行cmd.exe命令，而選擇“關閉自動播放”策略，則可取消光盤、U盤插入時自動運行的操作。

　　步驟3：為防止他人通過修改組策略來開啟被限制的組件，在這里就可雙擊“不要運行指定的Windows應用程序”策略，然后將mmc.exe程序添加到限制列表中，來阻止其他用戶運行組策略編輯器。在此，還可將其它要屏蔽的危險組件和程序一并添加到列表中，達到阻止其運行的目的。

　　步驟4：當自己要使用注冊表編輯器時，可將C:\Windows\ System32目錄下的mmc.exe文件重命名為mm.exe，之后在“運行”對話框中執行“mmc”命令，打開控制臺，再點擊菜單中的“打開”→“C:\Windows\System32\gpedit.msc”命令，開啟組策略，從中取消對注冊表編輯器的限制即可。

　　通過當前窗口中的“只運行許可的Windows程序”策略，還可將大家經常需要使用，但對系統不會造成傷害的程序添加到列表中。這樣使用者只能運行有限的幾個程序，間接達到封鎖其它程序運行的效果。

　　二、危險命令 全部失效

　　除了系統組件外，系統自帶的一些命令也具備極強的殺傷力，比如Format.com這個格式化命令，便能使整個分區的數據消失。對于這些命令自然也要進行“加鎖”處理，不過方法相對簡單些，只需將其改名即可。

　　進入C:\Windows\System32文件夾，找到Format.com文件，將其重命名為format.aa，這樣其他人在命令行下執行格式化命令時，便無法成功操作了，自己使用時則可恢復程序原名（如圖2）。

　　另外，Windows XP中還包含了一些很少使用，但卻極容易被黑客利用的命令，如tftp.exe、at.exe等，最好都將其進行重命名操作。不過有一些受系統保護的命令，就需要先打開C:\Windows\System32 \dllcache文件夾，在其中找到同名命令并進行重命名處理，這時系統會彈出“系統文件已被更改為無法識別版本，請插入Windows XP光盤修復”的提示。對此可不必理會，直接單擊“取消”按鈕，再到C:\ Windows\System32文件夾中，對相應命令執行重命名操作即可。

　　重命名操作的方式，只能防止用戶無法在命令提示符窗口下執行高危命令。不過一些命令在資源管理器下確仍可執行。如果要徹底杜絕危險命令的執行，可建立一個受限帳戶供其他人使用，通過帳戶權限限制的方式規避這種風險。

　　三、系統服務 誰也別動

　　系統服務是Windows XP正常運行的基礎，如果不小心調整了系統的關鍵服務，則可能會出現各種莫名的故障，所以最好將系統服務也進行“加鎖”處理。

　　步驟1：打開注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services”分支。

　　步驟2：右擊“Services”子鍵，選擇“權限”命令，打開權限設置窗口，單擊其中的“高級”按鈕，在彈出窗口中去除“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”復選框，接著單擊刪除，去除所有繼承的權限。

　　步驟3：回到權限設置窗口，單擊“添加”，將當前用戶和system帳戶添加到“組和用戶”列表中。同上，在屬性窗口中單擊“高級”按鈕，在彈出窗口內選中system帳戶，單擊“編輯”按鈕，在彈出窗口中鉤選其允許權限為“查詢數值、枚舉子項、通知和讀取控制”（如圖3）。最后依次單擊“確定”退出。這樣當其他用戶試圖通過“計算機管理”中的“服務和應用程序”項，對服務設置進行修改時，便會遭到系統拒絕。