4．限制用户使用控制面板（适用范围：Windows 9x/Me/NT/2000/XP）
控制面板提供给用户一个直观的界面来更改Windows的部分参数，使Windows的界面和功能更符合自己的需要。不恰当的使用控制面板，会带来一些问题

（1）禁用整个控制面板

在注册表项项HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExplorer中新建一个双字节值项 NoControlPanel。值为1表示禁止控制面板的使用，值为0或者值项不存在表示允许用户使用控制面板。

重启桌面使改动生效后，可以看到，“开始”菜单中“设置”中的“控制面板”项不见了，并且如图试图用别的方式访问“控制面板”中的项目，例如在桌面上单击鼠标右键来访问“显示”，系统会弹出一个消息框，提示用户不能进行此操作。

（2）去除“控制面板”中的指定项目（适用于Windows 2000/XP）

有时候我们想去除掉“控制面板”中的某些项目，以防止用户使用它们来进行设置，但是又想允许用户使用“控制面板”中的另外一些项目，这也是可以做到的。

在注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer中新建一个双字节值项DisallowCpl,并修改其值为1。然后新建一个注册表项 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer DisallowCpl，在该项下新建若干个字符串值项，形式为“序号＝控制面板项对应的文件名”。例如想去除控制面板中的“显示”和“系统”两项，可以在该项下新建两个值项“1”和“2”，值分别为“desk.cpl”（显示项对应的文件）和sysdm.cpl（系统项对应的文件）。重启桌面使改动生效。这时再进入到“控制面板”中，可以看到，“显示”项和“系统”项已经不见了。

（3）指定“控制面板”中显示的项目（适用于Windows 2000/XP）

如果我们想去除掉“控制面板”中的大部分项目，只允许用户使用几个项目，则可以使用本方法。“控制面板”中只显示用户指定的项目，对于没有指定的项目则不显示。

在注册表项HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrent VersionPoliciesExplore中新建一个双字节值项RestrictCpl，修改其值为1，然后新建一个注册表项 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore RestrictCpl，在该项下新建若干个字符串（REG_SZ）值项，形式为“序号＝控制面板项对应的文件名”。例如只允许用户使用控制面板中的 “显示”和“系统”两项，可以在该项下新建两个值项“1”和“2”，值分别为“desk.cpl”（显示项对应的文件）和sysdm.cpl（系统项对应的文件）。重启桌面使改动生效。这时再进入到“控制面板”中，可以看到，整个控制面板中只有“显示”项和“系统”项。

注意：使用去除控制面板中的指定项目和指定控制面板中显示的项目都可以定制控制面板中项目的显示，但是这两个方法有可能发生冲突。如果发生冲突，则去除控制面板中的指定项目方法优先。

（4）去除“系统”中的“设备管理”标签（适用于Windows 9x/Me）

进入到注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem中，新建一个双字节的值项NoDevMgrPage，修改其值为1。这时再进入到“控制面板”中的“系统”项，可以看到 “设备管理”标签已经不见了。

（5）去除“系统”中的“硬件配置”标签（适用于Windows 9x/Me）

进入到注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem下，新建一个双字节的值项NoConfigPage，修改其值为1。这时再进入到“控制面板”中的“系统”项，可以看到 “硬件配置”标签已经不见了。

（6）去除“系统”中的“性能”标签里的“文件系统”按钮（适用于Windows 9x/Me）

进入到注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem下，新建一个双字节的值项NoFileSysPage，修改其值为1。这时再进入到“控制面板”中的“性能”项，可以看到 “性能”标签中的“文件系统”按钮已经不见了。

（7）去除“系统”中的“性能”标签里的“虚拟内存”按钮（适用于Windows 9x/Me）

进入到注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem下，新建一个双字节的值项NoVirtMemPage，修改其值为1。这时再进入到“控制面板”中的“性能”项，可以看到 “性能”标签中的“虚拟内存”按钮已经不见了。

（8）禁用“显示”项

我们可以禁止使用“控制面板”中的显示项。虽然“显示”项仍然出现在“控制面板”中，但是用户不能使用。在注册表项HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrent VersionPoliciesSystem中新建一个双字节值项NoDispCPL，修改其值为1。这时进入“控制面板”，双击“显示”项，系统会出现一个消息框提示用户不可以进行此操作。

（9）去除“显示”项中的“背景”标签

在注册表项HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem中新建一个双字节值项NoDispBackgr oundPage，修改其值为1。

（10）禁止“显示”项里的“背景”标签（适用于Windows 2000/XP）

在注册表项HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesActiveDesktop中新建一个双字节值项NoChangingWallPaper，修改其值为1。

（11）去除“显示”项中的“屏幕保护程序”标签

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciessystem中新建一个双字节值项NoDispScrSavPage，修改其值为1。

（12）决定屏幕保护程序是否使用密码保护（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsControl PanelDesktop中新建一个双字节值项ScreenSaverIsSecure，修改其值为1。

（13）去除“显示”项中的“外观”标签

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciessystem中新建一个双字节值项NoDispAppearancePage，修改其值为1。

（14）去除“显示”项中的“设置”标签

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciessystem中新建一个双字节值项NoDispSettingsPage，修改其值为1。

（15）禁止删除打印机

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorer中新建一个双字节值项NoDeletePrinter，修改其值为1。

（16）去除“打印机”中的“添加打印机”项

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorer中新建一个双字节值项NoAddPrinter”，修改其值为1。

（17）禁止“添加打印机向导”中的“浏览网络打印机”项（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindows NTPrintersWizard中新建一个双字节值项Downlevel Browse，修改其值为1。

如果用户想添加网络打印机，只能输入网络打印机的URL。

（18）去除“添加/删除”项（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesUninstall中新建一个字符串值项NoAddRemovePrograms，修改其值为1。

（19）去除“添加/删除”项中的“更改或删除程序”项（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一个双字节值项NoRemovePage，修改其值为1。

（20）去除“添加/删除”项中的“添加新程序”项（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一个双字节值项NoAddPage，修改其值为1。

（21）去除“添加/删除”项中的“添加/删除Windows组件”项（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一个双字节值项NoWindowsSetupPage，修改其值为1。

（22）去除“添加/删除”项目中“添加新程序”中的“从光盘或软盘添加程序”（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一个双字节值项NoAddFromCDor Floppy，修改其值为1。

（23）去除“添加/删除”项目中“添加新程序”中的“从Microsoft添加程序”（适用于Windows 2000/XP）

在注册表项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一个双字节值项NoAddFromInternet，修改其值为1。

5．防范黑客攻击（适用范围：Windows 9x/Me/NT/2000/XP）
注册表中有些参数，设置合适的话可以防范一些黑客技术的攻击。DoS（拒绝服务）攻击是一种常见的黑客攻击方式，其中SYN淹没攻击是DoS中比较常见的。我们在这里给出一个防范SYN攻击的设置方法。

（1）减小等待SYN-ACK包的时间

TCP在发送SYN-ACK包后，首先等待3秒钟，如果仍然没有回应，则将时间加大一倍，从3秒增大到6秒，再重发一次SYN-ACK，然后继续等待回应。重发的次数定义在注册表中的一个双字节值项TcpMaxConnectResponseRetransmissions 里，该值项位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesTcpipParameters中。默认值为3，表示重