教你一步一步锁定自己的电脑

如果您在图书馆或网吧使用电脑，您可能已经发现了，这些电脑是被“锁定”的。例如，Windows可能会禁止我们安装新的程序，禁止打开运行对话框，或者禁止使用控制面板。当然，这一点也很好理解，没有哪个管理员愿意面对怀有恶意或没有经验的用户对系统的折腾。　　 　　很多公用的电脑都会被配置使用微软的Steady State（原名为Shared Computer Toolkit）工具，该工具可为管理员提供更简单的方法对用户进行限制。这个工具不止适合办公和公用环境，而且也适合家用。例如，如果您要为小孩提供电脑，则可以使用Steady State决定小孩可以或不准进行的操作。　　 　　其实Steady State最大的优势还是成本：完全免费。只要使用Windows XP Home Edition、XP Professional（仅限32位）、XP Tablet PC Edition或任何版本的Vista（依然仅限32位），那么就可以在免费下载和使用这一仅仅6.4MB的软件。　　 　　准备活动 　　Steady State的安装和配置需要使用标准用户帐户（需要具有管理员特权）进行。在首次运行时可以看到，该软件的界面分为两部分：全局计算机设置，以及用户设置。大部分设置都要在用户设置中进行。首先，单击“添加新用户”按钮（可以添加任意数量的用户，每个用户可进行不同的限制），随后只需要选择名称、图标以及密码（密码是可选的）即可。　　 　　准备用户帐户 　　在创建了新的Steady State帐户后，可以看见四个新的选项卡：常规、Windows限制、功能限制，以及阻止程序。通过这些选项，就可以让该帐户可完成的所有操作都受到限制。　　 　　随后，如果我们还有某些需要使用的程序没有安装，并且希望Steady State用户可以访问这些程序，请立刻安装所有必要程序。安装完成后，注销当前帐户，然后登录到Steady State帐户（帐户的图片会出现在Windows登录界面上，另外还有“普通”帐户的图片）。在登录后，从桌面上删除所有不希望被使用的程序的图标。而对于允许使用的图标，则要创建对应的快捷方式。　　 　　在我们的试验帐户中，我们创建了用于启动Adobe Reader、Deepburner、Internet Explorer、Live Messenger、Media Player、Photo Gallery，以及一些Windows游戏的快捷方式，另外还有OpenOffice中的套件Calc以及Writer。　　 　　另外我们可能还需要调整Windows的外观。对于我们，比较喜欢使用默认的Windows标准界面（类似Windows经典），但我们运行的是Vista，因此将其改为Windows Aero。　　 　　设置用户限制 　　随后需要注销该帐户，并使用最早使用的帐户登录。接着，启动Steady State，然后单击新建帐户的图标（在“用户设置”下）。随后需要应用所需的限制。　　 　　 在新建好Steady State帐户后，还可以进一步设置用户设置，然后将其锁定。　 　　在“常规”选项卡下，有两个计时器可供使用：一个可在特定的空间时间后将用户注销，一个可在使用特定时间后将用户注销。设置“使用时间”选项可有效避免孩子长时间使用电脑（当然，注销后立刻就可以重新登录并继续使用）。如果有必要，还可以在屏幕上显示倒计时的时钟。　　 　　当用户注销后（主动注销，或到时间自动注销），还可以让电脑自动重启动。如果使用了磁盘保护功能（见下文），则该选项将很有必要，但如果电脑上还有其他帐户，并且启用了快速用户切换，则不要使用该选项，因为其他人可能会丢失数据。 　Steady State的大部分选项，超过80个，都位于“Windows限制”和“功能限制”选项卡下。在这些选项中，我们可以禁止右键单击，删除开始菜单中几乎所有选项（甚至关机按钮），以及对IE设置各种限制。另外还可以禁止访问某些特定的内容，例如任务栏、注册表编辑器，或命令行。对于这两个选项卡，不仅可以手工选中要使用的设置，也可以选择预设的限制级别：低、中或高。选择“高”也等同于选中每个选项。 隐藏硬盘分区是保护电脑不被攻击或滥用的好方法，但也要给用户留下保存文件的位置。　
　　 使用“阻止程序”选项卡可为允许用户运行的程序创建白名单，并为禁止运行的程序创建黑名单。
　　 　　在“Windows限制”选项卡的底部，还可以选择性地隐藏部分或全部硬盘分区。在我们的电脑上，我们隐藏了除了D盘（DVD刻录机）和E盘（给U盘预留的盘符）外的其他所有分区。这样，用户将无法访问任何硬盘分区，但用户依然可以播放或刻录光盘，并可以打开和保存文件。 　　“功能限制”选项卡下有一个选项可用于完全禁止访问互联网。如果这样做太极端，那么还可以创建一个允许访问的网站列表。但是这种限制只能适用于所访问的URL和列表中的信息完全匹配的情况。例如，就算允许“www.ysbjzs.com”，也无法自动允许“www.ys365.org”。如果需要更好的灵活性，则可以尝试家长控制功能（仅限Vista）或Windows Live Onecare Family Safety。　　 　　阻止程序 　　在“阻止程序”选项卡下，可以看到两个窗格：左侧列出了本机安装的所有程序，而右侧默认是空白的，列出了所有禁止该用户运行的程序。单击中间的对应按钮即可按照需要阻止特定程序。如果某个程序没有列出，还可以使用搜索栏或“浏览”按钮添加（需要添加目标程序的.exe文件）。在测试机中，我们拦截了除了在用户桌面上建立了快捷方式外的其他所有程序。　　 　　保护硬盘 　　随后还需要处理全局计算机设置，其中最重要的就是硬盘保护功能。默认情况下，该功能是被关闭的，但只要将其打开，电脑的系统盘（通常是C盘）就会受到完善的保护，无法进行任何永久性修改。当电脑重启动时（或者如果需要，也可以指定特定的日期和时间），分区将会直接恢复到启用硬盘保护功能之前的状态下。在启用保护后对分区进行的任何改动都将丢失，没有保存的文档也是如此，因此建议给用户一个能够使用U盘的机会。　 　　硬盘保护功能最好配合Steady State帐户的用户设置（见上文）中的“注销后重新启动计算机”选项一起使用。除非电脑经常需要重启动，否则硬盘保护功能的意义也不是很大，因为系统可能会在数天甚至数周时间内保持被修改的状态。　　 　　另外还需要注意，硬盘保护功能是全局性的。该功能会删除对系统盘的所有变动，保护有其他人，尤其是非Steady State帐户所做的修改。如果电脑只有一个人使用，并且只有自己一个人的帐户，则最好不要使用硬盘保护功能，而是只锁定Steady State用户的配置文件，这个选项可以在用户设置下看到。这样，用户的配置文件，包括保存在“文档”文件夹内的任何内容，都会在用户注销后重置，但硬盘上其他位置内保存的信息都会保持不变。这样设置还可以让我们像普通方法一样使用自己的帐户。  
　　设置最终的全局限制 　　在打开硬盘保护功能之前（如果需要该功能的话），请先注意“设置计算机限制”下提供的选项。在这里，提供了一些有关系统层面的隐私和安全设置。例如，我们可以禁止对USB存储设备进行写访问，并禁止保存Windows Live ID密码。　　 　　另外，还需要设置软件更新计划。为此，我们可以指定一个日期和时间，让Steady State检测并安装关键的Windows更新。虽然可以将该功能禁用，但最好别这样做，如果用普通的方式安装更新，在硬盘保护功能重设系统盘后，等于都做了无用功。　　 　　当然，最后我们还需要登录到Steady State帐户，已验证所有设置的结果。请检查需要使用的限制是否都已经生效，应用程序的使用是否和预想的一样。如果一切正常，请重新使用自己的普通帐户，而非Steady State帐户登录，启用硬盘保护功能，然后，享受不再需要排错的生活吧。 Steady State的代替品 　　只要有市场，就会有竞争，Steady State也是如此。电脑知识网提醒大家目前已经有多种可以实现和Steady State类似功能的软件，其中最具优势的是Deep Freeze以及Clean Slate。然而这两个产品都有一个最大的不足：需要花钱。实际上，Deep Freeze售价22.50英镑，而Clean Slate售价59美元。　　 　　而且这些产品在保护功能上也都存在一定的不足，它们都无法提供像Steady State那么丰富的锁定功能。然而Clean Slate可配合一个名为Fortres 101的工具一起使用，即可提供等同的功能，以及额外需要花费59美元。　　 　　微软也许是一个我们大家都“痛恨”的公司，但至少他们免费提供了Steady State，也还是有点可爱吧。 　 硬盘保护功能很好用，但有时候也不够灵活。例如，这个功能会影响每个帐户对系统分区保存的数据进行永久性的修改。一般这也就意味着，每个人都被迫使用其他移动存储设备打开和保存文档。但这种问题也可以避免，例如，在添加新的Steady State帐户时，可以选择该用户配置文件的保存位置。默认情况下，配置文件会保存在系统盘，但也可以保存到其他任何位置。　　 　　 如果用户的配置文件保存在系统盘外的其他位置，那么对配置文件的修改将会保留，哪怕用户注销或电脑重启动也可以保留下来。用户可以自定义桌面（只要符合所有限制的要求），并将文件保存在“文档”等位置。硬盘保护功能将放过这些配置文件，同时系统盘依然会受到妥善的保护。但是需要注意，不能隐藏用户配置文件所在的硬盘分区，同时也不能锁定用户的配置文件。否则在用户注销后，无论配置文件保存在哪里，改动都会被撤销。　 　　 非Steady State用户的配置文件可以保存在系统盘外的位置吗？当然可以，但通常只有在安装好Windows之后才可以调整，例如进行无人值守模式的安装，并提供应答文件。有关该操作的详细信息，请阅读微软提供的Steady State操作手册。另外在Windows已经安装好之后也可以移动配置文件的保存位置，但需要进行一些复杂的注册表修改操作。　　对于非Steady State帐户，一个比较简单的操作则是移动该用户的个人数据文件夹“我的文档”、“我的音乐”等文件夹的位置。如果这些文件夹位于其他分区上，那么就算打开硬盘保护功能，其中的数据也不会被重置。为此，在Windows Vista中，请使用要修改位置的帐户登录系统，打开Windows资源管理器，用鼠标右键单击目标文件夹，选择“属性”，然后打开“位置”选项卡。单击“移动”按钮，然后按照屏幕上的提示操作。在Windows XP中，操作方法类似。　 　　 如果电脑硬盘目前只有一个分区则需要注意，上述所有操作都要求硬盘至少包含两个（或者更多）分区。在Vista中，单击“开始”，用鼠标右键单击“计算机”，然后单击“管理”。在计算机管理控制台中单击“磁盘管理”，在目标分区上单击鼠标右键，选择“压缩卷”，输入希望被压缩的空间大小，然后单击“压缩”。随后释放的空间将显示为“未分配”，用鼠标右键单击，选择“新建简单卷”，然后按照屏幕上的提示操作。如果希望进一步创建更多分区，请重复上述操作。 　如果使用了XP，则无法在不借助第三方工具的前提下压缩分区。这里建议使用最著名的工具Partition Magi，但该工具并不免费，因此如果只是用一次，代价显得有些大。其实还有更好的代替品，那就是“live”版本的GParted Linux发行版。下载“gparted-livecd-0.3.4-11.iso”，使用空白刻录盘刻录ISO镜像文件，然后使用该光盘引导电脑。随后使用“Resize/Move”操作就可以实现第5步中同样的效果。 　　 虽然Steady State可以绕过硬盘保护功能安装关键Windows更新，但如果需要执行其它维护任务，则不那么容易就能绕过了。例如，如何更新反病毒软件？目前的Steady State可以自动处理，不受限制的此类软件只包括Windows Defender，以及一个过时的来自Computer Associates的产品，还有Trend Micro和McAfee的产品。一种让Steady State允许对其他软件进行更新的方法是编写自定义脚本，然而具体的做法目前并不明朗，我们的实验中从来没有生效过。　　 　　 因此目前最好的解决方法就是在需要进行某些维护时，暂时关闭硬盘保护功能。但话虽如此，Steady State依然需要删除所有缓存文件，并重启动电脑，这可能需要数分钟时间。更糟糕的是，在重新打开硬盘保护功能时，还需要重新创建缓存文件，因此还需要额外的一次重启动。如果不关闭硬盘保护功能，那么可以选择“永久保留所有更改”选项，这等于让硬盘保护功能处于“待命”状态，在完成更新后，可以重新改为“重启动时删除所有更改”选项。