（二）维护网络工作站的本地盘资源
　　1．禁止用户修改CMOSE
　　为CMOSE设置口令，禁止学生修改其中设置，这是保护工作站的第一关。
　　2．基于Windows操作系统的保护（以Win95为例）
　　Windows安全性的脆弱为管理工作站带来极大的不便。保护Windows即保护它的启动文件、重要信息、系统设置及应用程序。目前对于这方面的单机保护方式和相关软件，已有不少介绍。针对一个无软驱，多种用户使用的工作站的保护，可以通过应用注册表，采取“自保为主，软件为辅”的方法，具有很实际的效果，下面进行概括介绍。
　　根据使用者的身份，把用户分为系统管理员，一般用户与非法用户。一般用户为使用得到允许的用户名进行登录的学生或教师，非法用户为擅自使用未经登记的“用户名”，或按ESC键的登录者。管理员可以事先分别以这三种身份登入，限制相应权限，再退出，保留设置。这样做，即能保证系统安全，又能维护教学。对系统管理员自然不必作出限制，只需修改两个设置：进入控制面板的“用户配置文件”选项，选中“用户自定义首选项和桌面设置”、“在用户设置中包含桌面图标”和“在用户设置中包含'开始'菜单和程序组”三项内容，重启，输入用户名登录；由于Win95在退出时有保留工作状态，下次启动重现的功能，为了不留下安全隐患，需给予取消，方法是：运行regedit.exe进入注册表编辑器HKEY-CURRENT-USER＼SoftWare Microsoft＼Windows＼CurrentVersion＼Policies路径下，选中explorer主键，新建二进制值NsaveSetting，键值改为01000000即可。至此，管理员一项设置完成。
　　对中学生一般用户与非法用户的限制可以从以下几个主要方面考虑：
　　Ⅰ．隐藏Windows系统所在驱动器，如C盘，而开放其它盘给用户进行读写等操作。保护了C盘上的文件，也就保护了Win95。具体操作是：进入注册表HKEY-CURRENT-USER＼Software＼Microsoft＼Windows＼Current＼Version＼Polices，新建二进制NoDrives，建值为040000。以下Ⅱ到Ⅵ的操作是只是路径和键值不同，九八年四月七日的电脑报，有详细叙述。
　　Ⅱ．在Win95下禁用Msdos方式和禁止重启时选择切换到Msdos方式，防止用户从DOS进入被隐藏的驱动器。
　　Ⅲ．禁止用户进入控制面板，或禁用其中的某些项目，如：虚拟内存，文件系统，设备管理等等。防止系统的硬件配置被更改。
　　Ⅳ．禁止使用显示属性，或其中的某些项目。
　　Ⅴ.禁止学生使用“regedit.exe”。
　　Ⅵ．隐去桌面所有图标。
　　经过试验，对一般学生用户采取Ⅰ到Ⅴ项措施，有利于保护系统的安全，又不影响教学。在实际操作中，只需设置一台工作站，然后通过对等网和注册表编辑器的文件引入、文件导出功能完成全部工作站的设置。如果有需要取消所有的限制，不必重复进行操作，只要以系统管理员身份登录，恢复控制面板中的用户配置文件原有选项即可（一般用户和非法用户对控制面板的这项操作被禁止）。注册表的上述修改，虽只是局部分支变化，但如果对注册表不是很熟悉，建议在修改前，要备份当前状态的两个注册表文件。
　　3.基于DOS操作系统的文件保护
　　在原版本的DOS下，主要是保证IO.SYS，MSDOS.SYS，MSDOS.W40，COMMAND.COM，COMMAND.W40，NET.BAT及net，windows等子目录和文件不被破坏，使两个操作系统和Novell网络都能正常登录。可以通过以下途径，综合采取“加密”，“隐藏”，“限制命令”和“备份”的方法，保护这些文件／目录。
　　l）分出一硬盘分区，作为备份盘，备份要保护的重要文件／目录，再借用一些软件或用汇编编写一些小程序对该盘进行加密。为节省硬盘空间，可以只备份所有启动文件和Win95的安装文件，甚至可以简单地备份Dos的启动文件和登录Novell的[net]目录，因为只要能登上Novell网，即使所有其它文件均被破坏（包括Win95系统），在这无盘工作站上，都可以通过Novell网，直接在网上或下载重新安装。若事先没有更多分区，也可以只建一备份目录backfile，进行类似保护。
　　2）用arrib.exe外部命令对要保护的文件加隐含，只读，系统文件属性。如在C盘根目录下执行attrlb*.sys＋r＋s＋h；attrib windows＋r＋s＋h。若使用了备份目录backfile，也可将此目录设置成这些属性。将attrib在设置完所有其它文件的属性后，转移至备份盘（目录）。
　　3）修改，转移部分DOS内外部命令。学生使用某些内外部命令会给要保护的文件带来威胁，如del,deltree，copy，move，ren，fotmat，fdisk等等；在DOS环境下，建立禁止学生对本地盘进行这些相关操作，对外部命令可以转移到备份盘／目录，对内部命令，用Pctools工具，从COMMAND.COM中删除，然后用语言自行编写具有同样功能的程序，编译成外部命令使用，并存放于备份盘／目录。由于学生对Novell网上本人用户目录下文件应享有绝对的权利，所以把这些外部命令（包括自行编写的）存放一份在服务器上，并适当修改，使这些命令对F：以前的驱动器无效。由于服务器上的资源都有经过安全设置，故不会遭到破坏。此外为确保管理员是备份
目录backfile的唯一使用者，可以对backfile目录加密，或者在attrib命令转移至backfile目录后，用pctools具将DIR的/A功能取消。
　　在实际操作时，可写入批处理文件，放到网上，让所有工作站一起运行，完成设置。
　　4．上述措施要根据实际需要结合起来使用

　　实践证明，采取这一系列防护措施，是一种行之有效的方法。它充分利用系统本身的功能，步步为营，环环相扣，实现保护；同时也免去了寻找软件之苦。
　　当出现上述五个＊号故障问题时，有相应办法解决。
　　对问题1*：修改了Windows的设置及其它文件，但系统能工作。如MSDOS.SYS的内容被修改，失去了双启动的功能；Windows的画面被调换或被加上屏幕保护口令等等。只需进入Win95恢复设置即能解决。
　　对问题2*：破坏了DOS或Windows下的某些应用软件。解决办法是登录某个网络，通过共享光／软驱、利用服务器上备份文件或从网上下载，进行重新安装。
　　对问题3*：删除了Novell的登录文件，甚至可能还删除了Msdos的启动文件，如MSDOS.DOS，导致无法登入Novell网。解决办法是从备份盘／目录恢复被删文件，或登录对等网或NT网从其它工作站拷贝得到文件。
　　对问题4*：破坏了Windows的系统文件，导致无法登录Windows，但可以原版本的Msdos方式进入DOs环境。解决办法是：先考虑从备份文件中复制Win95的启动文件，若仍无法登录，再从备份的安装文件或通过Novell网重新安装Win95系统。
　　对问题5*：两个系统的系统文件均遭到严重破坏，既不能引导原DOS版本，也无法进入Windows界面，但还可以进入Win95下的Dos环境。无法利用任何一个网络。由于不能启动原版本的Dos，无法登录Novell网，也无法进行其它网络传输，解决办法只能从备份文件所在盘，重装Win95到C盘，再在Win95下登录Novell网或对等网，拷得Dos的启动文件IO.SYS，COMMAND.COM，MSDOS.SYS等，恢复工作站原版本DOS系统。

　　（三）加强思想教育，严格制度管理

　　要做好计算机系统的安全防卫工作，任何技术方案都不应当是唯一的防护措施，它必须与相应的管理措施一起使用才能凑效。首先要对学生进行计算机 ，让学生了解有意破坏公用和他人文件会给集体带来的危害，认识到这是一种不文明的行为。机房计算机出现的问题，80％到90％都是由于学生的不规范操作造成的，如果教师事先有讲授正确操作的注意事项，有预先布置上机内容，学生能认真严肃对待上机课，那么大部分问题是可以避免发生的。其次，要制定严格的机房使用制度。第一节课就必须让每一个学生明确制度内容，对学生违纪情况切不可采取“宽容”政策，否则不良风气容易扩散；对还处于贪玩、好奇，同时责任感不很强的中小学生尤其要注意培养起良好的上机习惯。

　　四、未能解决的问题
　　扩大机房系统规模，为工作站安装硬盘，组建多种结构互存的整体系统，势在必然。本文所叙述的管理与维护技术，着眼于系统本身的全面、合理规划和实现系统自保，并辅助地使用应用软件。这样的处理，灵活、方便，效果实际；在DoS下的保护需要占用一定的硬盘空间，但若把备份资料精简到最低限度（包括DOS的启动文件，一些外部命令文件，及登录Novell的四个启动文件），所需空间也不超过1M。当然，这里所使用的方法还存在缺陷，需要继续简化和完善，就本文的讨论而言，还存在一个问题有待解决：当位于硬盘0道1扇区的引导信息被破坏时，工作站无法启动任何系统。此外，如果经济条件允许，建议在工作站上增加远程启动芯片，为保护工作站添加最后一道防线。

　　操作系统从单用户发展到多用户，是微电脑历史的一次革新，而学校公用机房如何做到“既巩固学生机的工作站地位，便于管理，适应教学，又扩大站点功能，强化它的'个性'，两者齐驱并驾”，是今后的努力方向，如：公用机房实现监控式网络教学，工作站多媒体化等等。功能提高与技术维护是相辅相成的，相信在不远的将来，两者会有更加完美的结合。