第三部分:设置组策略的设置(因实际情况而异,下面介绍的是对系统实际应用影响不大的几个):
1、 [计算机配置\管理模板\系统]:关闭所有驱动器的自动播放
2、 [用户配置\管理模板\Windows 组件\Windows 资源管理器]:启用从 Windows 资源管理器上下文菜单删除“管理”项目
3、 [用户配置\管理模板\任务栏和「开始」菜单]:启用从「开始」菜单中删除“我的文档”图标和子菜单项
4、 [用户配置\管理模板\任务栏和「开始」菜单]:从「开始」菜单删除“运行”菜单
5、 [用户配置\管理模板\桌面]:启用从桌面删除“我的文档”图标项
下面的这项很好,但不知道会不会影响一些应用:[计算机配置\管理模板\系统\远程协助]:禁用请求的远程协助
禁用USB设备,强的本地安全策略。
CMD.exe设成只允许管理员组(最好是在用的读写,删除所有的其他组权限。许多的入侵,都是从这里开始的)。