一、限制控制面板
　　1． 打开注册表 中的主键[HKEY_USERS\“用户名”\Software\Microsoft\Windows\CurrenVersion\Policies\System]（“用户名”指建立了多用户的系统中，相应的用户的名称，如果未建立多用户则为“.Default”），其下如果有下列DWord值，则该用户的相应的控制面板项被禁止：
　　“NoDispAppearancePage”=1(禁用“显示器”属性)
　　“NoDispBackgroundPage”=1（隐藏“显示器”属性中的“背景”页）
　　“NoDispCPL”=1（隐藏“显示器”属性中的“屏幕保护程序”页）
　　“NoDispScrSavPage”=1（隐藏“显示器”属性中的“外观”页）
　　2．[ HKEY_USERS\用户名\Software\Microsoft\Windows\CurrentVersion\Policies\Network]下如有下列DWORD值，则该用户相应的控制面板项被限制：
　　“NoNetSetup”=1（禁用“网络”属性）
　　“NoNetSetupIDPage”=1（隐藏“网络”属性中的“标识”页）
　　“NoNetSetupSecurityPage”=1（隐藏“网络”属性中的“访问控制”页）
　　3．[HKEY_USERS\用户名\Software\Microsoft\Windows\CurrentVersion\Policies\System]下如有下列DWORD值，则该用户相应的控制面板项被限制：
　　“NoSecCPL”=1（禁用“密码”属性）
　　“NoPwdPage”=1（隐藏“密码”属性中的“更改密码”页）
　　“NoAdminPage”=1（隐藏“远程管理”页）
　　“NoProfilePage”=1（隐藏“系统”属性中的“用户配置文件”页）
　　“NoDevMgrPage”=1（隐藏“系统”属性中的“设备管理”页）
　　“NoConfigPage”=1（隐藏“系统”属性中的“硬件配置文件”页）
　　“NoFileSysPage”=1（隐藏“系统”属性“性能”页中的“文件系统”按钮）
　　“NoVirtMemPage”=1（隐藏“系统”属性“性能”页中的“虚拟内存”按钮）
　　二、限制开始菜单和桌面
　　1、开始菜单
　　如果在[HKEY_USERS\“用户名”\Software\Microsoft\Windows\CurrentVersion\Policies\EXPlorer]下有DWORD值“NoRun”=1时，则该用户的开始菜单中的“运行”命令被禁止；
　　如果有DWORD值“NoSetFolders”=1时，则该用户的开始菜单中的“设置\文件夹选项”命令被禁止；
　　如果有DWORD“NoSetTaskbar”=1时，则该用户的开始菜单中的“设置\任务栏和开始菜单”命令被禁止；
　　如果有DWORD值“NoFind”=1时，则该用户的开始菜单中的“查找”命令被禁止； 如果有DWORD值“NoStartMenuSubFolders”=1，则该用户“开始”菜单中的子文件夹被隐藏；
　　如果有DWORD值“NoClose”=1时，则该用户的开始菜单中的“关闭系统”命令被禁止；
　　如果有DWORD值“NoStartBanner ”=1，WINDOWS启动时出现在任务栏的箭头标示和“单击此处开始”字样被隐藏；
　　2、桌面、
　　进入如下路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\后，在“Explorer”键值下新建下列DWORD值：
　　NoDesktop=1时， 隐藏桌面上的所有图标；
　　NoDrivers 隐藏驱动器（DWORD值的低26个bit从低到高分别对应A-Z驱动器，各bit位=1时为有效）；

　　NoNetHood =1时，隐藏桌面的“网上邻居”图标；
NoViewContextMenu=1时， 隐藏在桌面空白处右击鼠标时弹出的上下文菜单；
　　NoTrayContextMenu=1时， 隐藏任务栏上按右键时弹出的菜单；
　　NoEntireNetwork=1时， 隐藏“网上邻居”中的“整个网络”；
　　NoSaveSetting =1时，退出前不保存设置；
　　三、网络和用户设置
　　1．如果在[HKEY_USERS\“用户名”\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下有DWORD值“NoDrives”=1时，则该用户“我的电脑”中的所有驱动器被隐藏；
　　如果有DWORD值“NoNetHooD”=1时，则该用户的“网上邻居”被隐藏；
　　如果有DWORD值“NoEntioeNetwork”=1时，则该用户的“网上邻居”中 “整个网络” 被隐藏；
　　如果有字符串值“NoWorkgroupContents”=1时，则该用户的“网上邻居”中工作组目录被隐藏；
　　如果有DWORD值“NoDesktop”=1时，则该用户的桌面上所有的程序组被隐藏（即没有桌面）；
　　如果有DWORD值“NoSaveSettings”=1时，则该用户退出系统时所作的设置不被保存。
　　2．拨号网络和共享设置：在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　\Windows\CurrentVersion\Policies\Network]下建立以下DWORD值，则相应的限制有效：
　　“NoDialIn”=1（禁止拨入）
　　“NoFileSharing”=1（禁用文件共享）
　　“NoWorkgroupContents ”=1隐藏“网上邻居”中的工作站显示；
　　“NoEntireNetwork”=1 隐藏“网上邻居”中的整个网络显示；
　　“NoFileSharingControl”=1 禁止文件共享；
　　“NoPrintSharingControl ”=1禁止打印机共享；
　　3.只运行允许的Windows程序的列表：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]，在该子键下新建串值，串值从“1”开始命名，串值为能运行的应用程序路径名。如：名称 数据
　　① “c:\windows\myprogram1”
　　② “d:\….\myprogram2”
　　该限制启动后，只有在RestrictRun列表内的程序能够运行，请保证Systray.exe程序包含在列表中。
　　四、口令设置
　　在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]下建立以下DWORD值，则相应的设置有效：
　　“HideSharePwds”=1（使用星号（＊）隐藏共享口令）
　　“DisablePwdCaching”=1（禁用口令缓存；注意！请慎用此项设置，此时控制面板中的“密码”属性中无法更改密码，登录时该用户使用任何一个密码或不用密码就可以登录。）
　　“AlphanumPwds”=1（使Windows口令必须为数字和字母）
　　“MinPwdLen”=n（设置Windows口令的最小长度，n大于等于0小于等于8）
　　五、禁用注册表编辑器
　　[HKEY_USERS\“用户名”\Software\Microsoft\Windows\CurrentVersion\Policies\System\]下如果有DWORD值“DisableRegstryTools”=1，则禁止该用户使用注册表编辑工具。
　　六、禁用“MSDOS”方式、禁用单一模式的MSDOS应用程序
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\]后，新建主键“WinOldApp” ，在该子键下新建DWORD值 “Disabled”=1，则该用户的“MSDOS”方式被禁止；“WinOldApp”下如有DWORD值“NoRealMode”=1，则该用户单一模式的MSDOS应用程序被禁用。七、自启动的程序 　[HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\Run]其下的字符串值表示通过注册表自启动的程序；
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\RunOnce]其下的字符串值表示只自启动一次的程序； 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\RunServices]其下的字符串值表示通过注册表自启动的服务程序；
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\RunServicesOnce]其下的字符串值表示只启动一次的服务程序。
　　　　由此，我们可以看出上面所有的DWORD值，如果其值为“1”时表示该值有效，其值为“0”时表示该值无效；我们可以通过改变DWORD值或删除该DWORD，来轻松地使相应的限制有效或无效。
　　
　　八、限制显示器属性
　　进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\后，在子键“System”下新建以下DWORD值（=1时为有效）：
　　NoDispAppearancePage 隐藏显示属性中的“外观”属性页；
　　NoDispBackgroundPage 隐藏显示属性中的“背景”属性页；
　　NoDispCPL 禁止设置显示属性；
　　NoDispScrSavPage 隐藏显示属性中的“屏幕保护”属性页；
　　NoDispSettingsPage 隐藏显示属性中的“设置”属性页；
　　九、 锁定“我的电脑”、“我的文档”、“回收站”、“控制面板”等。
　　1、锁定我的电脑
　　进入HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32后，在“默认”串值后加上“-”符号，例如原值若为 ‘shell32.dll’ 则修改为 ‘shell32.dll-’。
　　2、同理可锁定我的文档 ：{450D8FBA-AD25-11D0-98A8-0800361B1103}
　　控制面板： {21EC2020-3AEA-1069-A2DD-08002B30309D}
　　回收站： {645FF040-5081-101B-9F08-00AA002F954E}

设置生存时间

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\Tcpip\ParametersDefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值128）

　　说明：指定传出IP数据包中设置的默认生存时间（TTL）值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统。

　　防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0（默认值为0x1）

　　说明：该参数控制Windows 2000是否会改变其路由表以响应网络设备（如路由器）发送给它的ICMP重定向消息，有时会被利用来干坏事.Win2000中默认值为1，表示响应ICMP重定向报文。

　　禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\Tcpip\Parameters\Interfaces\interface

　　PerformRouterDiscovery REG_DWORD 0x0（默认值为0x2）

　　说明：“ICMP路由公告”功能可造成他人计算机的网络连接异常，数据被窃听，计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积，长时间的网络异常。因此建议关闭响应ICMP路由通告报文。Win2000中默认值为2，表示当DHCP发送路由器发现选项时启用。

　　防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\Tcpip\ParametersSynAttackProtect REG_DWORD 0x2（默认值为0x0）

　　说明：SYN攻击保护包括减少SYN-ACK重新传输次数，以减少分配资源所保留的时间.路由缓存项资源分配延迟，直到建立连接为止。如果synattackprotect=2，则AFD的连接指示一直延迟到三路握手完成为止。注意，仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。

　　禁止C$、D$一类的缺省共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\lanmanserver\parametersAutoShareServer、REG_DWORD、0x0

　　禁止ADMIN$缺省共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\lanmanserver\parametersAutoShareWks、REG_DWORD、0x0

　　限制IPC$缺省共享

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
　　\Lsarestrictanonymous REG_DWORD 0x0 缺省

　　0x1 匿名用户无法列举本机用户列表

　　0x2 匿名用户无法连接本机IPC$共享

　　说明：不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

　　不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　\Tcpip\ParametersIGMPLevel REG_DWORD 0x0（默认值为0x2）

　　说明：记得Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug.Win2000虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉.改成0后用route print将看不到那个讨厌的224.0.0.0项了。

　　设置arp缓存老化时间设置

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services：
　　\Tcpip\ParametersArpCacheLife REG_DWORD 0-0xFFFFFFFF（秒数，默认值为120秒）

　　ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF（秒数，默认值为600）

　　说明：如果ArpCacheLife大于或等于ArpCacheMinReferencedLife，则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife，未引用项在ArpCacheLife秒后到期，而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时，就会引用ARP缓存中的项。

　　禁止死网关监测技术

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services：
　　\Tcpip\ParametersEnableDeadGWDetect REG_DWORD 0x0（默认值为ox1）

　　说明：如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关.有时候这并不是一项好主意，建议禁止死网关监测。

　　不支持路由功能

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services：
　　\Tcpip\ParametersIPEnableRouter REG_DWORD 0x0（默认值为0x0）

　　说明：把值设置为0x1可以使Win2000具备路由功能，由此带来不必要的问题。

　　做NAT时放大转换的对外端口最大值

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services：
　　\Tcpip\ParametersMaxUserPort REG_DWORD 5000-65534（十进制）（默认值0x1388--十进制为5000）

　　说明：当应用程序从系统请求可用的用户端口数时，该参数控制所使用的最大端口数.正常情况下，短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时，就会使用最接近的有效数值（5000或65534）.使用NAT时建议把值放大点。

　　修改MAC地址

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\

　　找到右窗口的说明为“网卡”的目录，比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}

　　展开之，在其下的0000，0001，0002...的分支中找到“DriverDesc”的键值为你网卡的说明，比如说“DriverDesc”的值为“Intel（R） 82559 Fast Ethernet LAN on Motherboard”然后在右窗口新建一字符串值，名字为“Networkaddress”，内容为你想要的MAC值，比如说是“004040404040”然后重起计算机，ipconfig /all看看。