一、必要的准备工作
首先在BIOS中将电脑的引导顺序设为只允许从硬盘启动，并设置进入BIOS设置的密码，以禁止其他用户使用启动软盘启动计算机、删除或修改系统文件。设置好后重新启动系统，备份系统注册表，接下来就可以开始对系统动“手术”了。

二、定制安全策略
1.设置新用户
打开“控制面板”，删除用户列表中的所有用户名，再用你喜欢的名称添加一个新用户名，并设置好密码，重新启动系统后，就可以用刚添加的新用户名登录这台电脑了。

在出现系统登录对话框时，其他用户通过点击“取消”，可进入Windows的缺省桌面，获得对系统的完全控制。这不是我们希望的结果，我们还须要将Windows缺省用户控制计算机的能力进行最大程度的限制。

2.限制缺省用户的权限
重新启动系统，进入Windows的缺省桌面，安装系统策略编辑器并运行。点击程序“文件”菜单下的“打开注册表”选项，然后选中窗口中的“本地计算机”，开始系统策略编辑。

“本地计算机”的系统策略只有“网络”和“系统”两大项，如果你的电脑还未连入局域网，你要做的就是勾选“系统”下的“启用用户配置文件”，按“确定”按钮后返回程序窗口，以保证系统能按照你制定的安全策略重新布置桌面环境。

接下来选中“本地用户”(即Windows的缺省用户，以后的操作都是针对这个用户的)，在“本地用户”的属性中有“控制面板”、“desktop”、“外壳”、“网络”和“系统“五大项，我们可以按自己的需要对一些重要的项目进行设置。

①控制面板

该项中，你可以控制是否在当前用户的控制面板中出现“显示器”、“网络”、“口令”、“打印机”、“系统”5个项目，建议除了“打印机”选项外，全部予以限制。这样，当前用户就不能够通过控制面板访问显示器、网络、系统的属性了，也不能更改密码及用户设置。

②外壳

这个项目是关于文件夹设置及限制方面的内容。在“自定义文件夹”中，“开始菜单”、“桌面图标”和开始菜单中的“程序”文件夹等内容都可以不选。如果你要求很苛刻，可以在这里隐藏“开始菜单”，只允许用户访问桌面上的项目(当然，你应当预先将允许其他人访问的程序快捷方式放到Windows缺省桌面上)。

“限制”项下面的各选项须要认真设置。选中“删除‘运行’命令”、“从‘开始’菜单的‘设置’中删除文件夹”、“从‘开始’菜单的‘设置’中删除任务栏”、“删除‘查找’命令”，以保证其他用户不能通过“运行”和“查找”功能运行未经你许可的程序，并隐藏“开始”菜单中的“设置”文件夹，以保证用户不能设置任务栏和开始菜单。

注意：请不要在这个时候选中“在‘我的电脑’中隐藏驱动器”，否则在系统策略生效后，你将不能在Windows的缺省桌面中访问驱动器资源了，许多后期的设置工作将无法开展，你必须在所有的设置都完成后，再选中这一项。

③系统

在系统限制中，选中“禁用MS-DOS方式”、“禁止运行单一模式的MS-DOS应用程序”，以禁止PCTools等可以对磁盘进行直接操作的程序运行。建议现在不选择“禁用注册表编辑工具”，我们将提供另一个途径来达到这一目的。如果你有足够的耐心，那么你可以在这里定制只允许其他用户运行的Windows程序。

仔细检查一遍你对系统所做的修改，看看还有什么忘记做了。确定后点击“文件”菜单中的“保存”，以保存策略文件，系统重新启动后将读取这个策略文件，并按照策略要求，定制用户桌面。再次重新启动后，可以以缺省用户或你自己的用户登录。

使用“策略编辑器”定制系统后，Win9X系统的安全性已经大大提高。不过还有一些不安全的因素，需要我们进一步设置。

原文转自：http://www.ltesting.net