写一点

本文已刊载于《电脑迷》杂志，请勿随意转载。

很多人在网吧上网时都发现，大部分网吧的电脑，只要重启动系统，那么之前对系统进行的所有修改，例如安装的程序、在桌面上保存的文件，都将全部消失，电脑会恢复到默认抓状态。同时在使用过程中，一些关键选项可能会被隐藏根本无法操作。

这是个很好的功能，有了这个功能，网吧的管理员就不用担心顾客随意修改电脑，导致系统崩溃，而给自己带来太多额外的工作。而很多人可能还想把这些功能应用到自己家里或公司的电脑中。其实网吧大部分都是通过类似硬件“还原卡”或软件“影子系统”等方式实现这一目的的，这类软硬件往往都需要付费购买。

其实微软也是为普通用户提供了一个免费小程序：Steady State，可以在32位的XP和Vista系统上实现类似的功能，该软件不仅完全免费，而且使用非常简单。因此我们完全可以为需要临时使用自己电脑的人创建一个帐户，并启用该功能，将该帐户可以看到的选项进行限制，并在重启动系统后撤销修改。但自己日常使用的帐户可以不受任何影响。

准备活动

要使用该软件，需要有两个准备工作：安装Steady State软件（下文简称为SS），以及创建临时账户。

SS软件的中文版可在下列地址下载，软件的安装非常简单，只要一路“下一步”即可。

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=d077a52d-93e9-4b02-bd95-9d770ccdb431。

随后，还需要为临时使用电脑的人创建一个帐户，帐户的创建方法和普通帐户没什么区别，不过需要注意，创建标准账户即可，不需要创建管理员帐户。

在下文中，我们会以具体应用场景为例，介绍该软件不同功能的用法。

限制程序的使用

家里来客人后，可能需要临时使用我们的电脑，这些用途也许非常简单，例如上网看新闻，或者收邮件，因此需要运行的程序也非常少，无外乎浏览器，以及一些聊天软件。因此我们完全可以对客人的帐户进行限制，只允许使用特定的几个程序，其他程序完全不允许使用。让该帐户可完成的所有操作都受到限制。

打开SS软件，窗口右侧列出了本机所有可设置帐户的列表，在其中单击“临时帐户”，随后可以看到该帐户的设置页面。首先请进入“阻止程序”选项卡，随后可以看到图1所示界面。左侧列表中显示的是当前本机运行的进程，点击选中，然后单击“阻止”按钮，即可移动到右侧列表中，禁止“临时帐户”使用。如果要限制的程序没有出现在这里，还可以通过“浏览”按钮添加。

图1，将程序添加到右侧列表，即可禁止“临时帐户”运行

这里需要注意，SS对待软件限制的策略是：如果没有明确禁止使用，则允许。这就意味着，如果只允许用户使用少数几个软件，就必须将所有不允许使用的软件都添加进来。不过这个办法也好解决，我们可以把允许使用的程序快捷方式放在桌面上，然后禁止对该帐户显示开始菜单。这样就算安装有其他程序，该帐户登录后也看不到。具体操作请继续看下去。

限制功能的使用

如果客人只是偶尔使用某些程序，那通过上述方法操作后就能起到很好的限制。但另一种比较令人头疼的问题则是，如果客人小孩，孩子的好奇心往往是非常强的，他们也许会随意修改一些系统配置，这样就算给客人使用专用帐户，也有可能导致整个系统受到影响。

此时就可以使用SS提供的Windows限制和功能限制这两个功能了。还是用自己的管理员帐户登录，并启动SS软件，打开“临时账户”的设置界面，随后需要在“Windows限制”和“功能限制”这两个选项卡下操作。

其中“Windows限制”主要限制了该用户可看到的Windows选项，该选项的内容如图2所示。在这里可以看到，有个列表中显示了大量可删除或可隐藏的内容，而这些内容都涉及到非常具体的Windows选项。因此我们可以从左侧选择不同的限制等级，然后在右侧的列表中对限制进行更具体的调整。

图2，对临时帐户可看到的Windows功能进行限制

不仅如此，在这里我们还可以隐藏具体的分区（哪怕系统盘也可以隐藏）。例如，我们有一个专用分区保存自己的个人文件，那么就完全可以在这里将该分区对“临时帐户”隐藏。隐藏是比拒绝更好的做法，因为隐藏后，别人根本看不到，也就不会有想法；而如果只是用老办法，设置权限或加密，别人还是可以看到这个分区的存在，好奇的人难免会想知道里面是什么。

小窍门：如何禁止使用U盘

在图2所示界面上，我们可以将本地硬盘分区隐藏起来，但是，如何禁止别人使用自带的U盘？因为每次连接U盘后，系统都会自动分配一个可用的盘符，因此我们可以在图2的隐藏驱动器选项里直接将所有可用盘符都禁用，这样因为分配不到盘符，自然也就无法使用U盘了，通过这种方法可以禁止对USB存储设备进行读写操作。如果只是希望禁止将本机数据写入到USB存储设备，则可以使用下文要介绍的全局设置。

“功能限制”选项卡下的内容则主要会应用于IE浏览器和微软Office软件，因为所有选项本身的说明已经很明了，因此这里不再过多介绍。

设置好上述内容后，可以使用临时账户登录，看看自己的限制是否获得了预期的效果。例如在对上文中所有内容进行最严格的限制，然后使用临时账户登录后，可以看到，整个系统已经被大幅度简化，不仅开始菜单中的所有设置内容都消失，而且可以使用的程序也少得可怜。看来我们的限制已经真正生效了。而且注意看图中打开的IE窗口，连IE中的选项也都消失了，只有一个地址栏可以输入地址。在“我的电脑”中，所有本地硬盘分区都没有了，只有可移动存储设备（其实这些也是可以隐藏的）。

图3，被限制后的系统

如果使用临时帐户登录后，发现设置的结果可以满足自己的需要，随后即可重新使用管理员帐户登录，运行SS，并单击“临时账户”，进入帐户设置界面。在“常规”选项卡上，选择“锁定配置文件，以防帐户做出永久性更改”选项，这样，该帐户的所有设置就会被锁定起来。就算用户使用
该帐户登录，并进行了某种修改，只要重启动系统，所有的修改都会被撤销到刚配置好的状态。

这种撤销将只应用于被锁定的临时帐户，其他非临时帐户，或没有被锁定的临时帐户将不受影响。

针对系统的全局设置

在上文的介绍中，我们还真是针对特定帐户进行限制，那么有没有办法针对整个系统的所有帐户进行一些限制？还是打开SS软件，随后单击界面中央的“设置计算机限制”按钮，接着会看到图4所示界面。这些选项的作用都很直观，因此这里不再详细介绍。但是要注意，这些选项将对电脑中的所有帐户生效，因此使用时一定要小心。

图4，会对所有帐户生效的限制

另外可能还有这样一种情况：公司里的电脑，为了实现标准化的配置，要求在安装好操作系统，并按照标准进行配置后，不允许对系统进行任何更改。此时就可以考虑使用SS的硬盘保护功能。该功能可以将所有帐户对系统进行的操作都撤销掉，哪怕是管理员进行的修改也不会保留。其实这个功能就和“影子系统”或“硬盘保护卡”的功能完全相似了。

该功能的原理很简单：在硬盘上创建一块区域充当缓存，对系统进行的所有修改都会保存到缓存里，然后按照设置，在恰当的时候将缓存内容全部删除，系统就会恢复成默认状态。

首先请安装所有必要的软件，并修改必要的选项。随后打开SS软件，在主界面上单击“保护硬盘”按钮，并选择“开”。随后系统会花几分钟时间创建缓存，这个缓存对所有用户都是不可见的，因此可以不用理会。

缓存创建完毕后，需要强制重启动系统。重启动完毕，再次使用管理员帐户登录，启动SS软件，并进入“保护硬盘”页面，随后可以看到图5所示的界面。

图5，在这里可以设置什么情况下撤销更改

在该界面上，可以设置在什么情况下撤销对系统的所有修改。例如，选择“重启动系统时删除所有更改”，这样每次重启动系统后，都会恢复为默认配置。但还需要注意另外一种情况，那就是Windows补丁和杀毒软件的更新。例如，为了保护安全，我们可能需要定期安装Windows补丁以及杀毒软件的更新，这些内容都是需要的，不能被撤销。为此，我们可以首先使用默认的“重启动时删除所有更改”选项重启动系统，将系统恢复为默认配置，然后选择“永久保留所有更改”，接着安装Windows更新，或更新杀毒软件。随后再次重启动系统，并打开SS的硬盘保护页面，重新选择“重新启动时删除所有更改”。这样，之前对Windows和杀毒软件的更新可以被保留下来，但随后普通用户对系统所作更改依然会被删除。

SS软件有着丰富的限制选项，通过不同选项的配合，可以实现非常强大的功能。但限于篇幅，本文无法进行更多的介绍。因此感兴趣的朋友可以浏览该软件的官方网站：http://www.microsoft.com/china/windows/products/winfamily/sharedaccess/default.mspx，这里介绍了更多有关该软件的用法，以及针对不同环境可以采取的设置。相信通过合理使用SS软件，我们的系统可以得到更好的保护。

Tags: 安全性, 管理, 隐私, Steady State, Windows

This entry was posted on 星期四, 8月 6th, 2009 at 下午 3:32 and is filed under IT. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.