使用组策略编辑器(推荐,适用于专业版/企业版 Windows)
这是最安全、最规范的方法,尤其适用于企业环境,可以精确控制策略。
(图片来源网络,侵删)
适用系统:
- Windows 10 专业版、企业版、教育版
- Windows 11 专业版、企业版、教育版
操作步骤:
-
打开组策略编辑器:
- 按下
Win + R键,打开“运行”对话框。 - 输入
gpedit.msc然后按回车。
- 按下
-
定位到相关策略:
(图片来源网络,侵删)- 在组策略编辑器中,依次展开以下路径:
用户配置->管理模板->开始菜单和任务栏
- 在组策略编辑器中,依次展开以下路径:
-
禁用或删除命令提示符和 Windows PowerShell:
- 在右侧窗口中,找到名为 “在用户单击开始按钮时显示‘运行’命令” 的策略。
- 双击它,选择“已禁用”,然后点击“应用”,这会禁用通过
Win + R输入cmd的方式。 - 找到 “删除任务管理器” 策略(虽然名字不直接相关,但可以阻止通过任务管理器新建任务来运行 CMD)。
- 双击它,选择“已启用”,然后点击“应用”。
-
更彻底的禁用方法(隐藏 CMD):
- 在左侧导航栏中,依次展开:
用户配置->管理模板->Windows 组件->文件资源管理器 - 在右侧窗口中,找到 “在文件资源管理器中隐藏‘此电脑’中的驱动器”,这个策略虽然名字不直接相关,但可以用来隐藏 CMD 的快捷方式入口点(如果它存在于特定位置)。
- 更直接的方法是:在
Windows 组件->文件资源管理器中,寻找一个名为 “隐藏命令提示符” 的策略(如果存在,不同版本 Windows 策略名称可能略有不同),如果找不到,可以使用下面的方法。
- 在左侧导航栏中,依次展开:
-
应用策略并重启:
- 完成设置后,关闭组策略编辑器。
- 重要:为了让策略立即生效,可以重启电脑,或者在命令提示符(管理员权限)中运行
gpupdate /force命令。
修改注册表(适用于所有 Windows 版本)
如果您的系统是家庭版,或者您更习惯直接修改系统核心,可以使用注册表方法。警告:修改注册表有风险,请务必小心操作,建议提前备份注册表。
(图片来源网络,侵删)
适用系统:
- 所有 Windows 版本(包括家庭版)
操作步骤:
-
打开注册表编辑器:
- 按下
Win + R键,打开“运行”对话框。 - 输入
regedit然后按回车,如果弹出用户账户控制提示,请点击“是”。
- 按下
-
定位到目标项:
- 在注册表编辑器中,依次展开以下路径:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies Policies键下没有Explorer子键,请右键点击Policies,选择新建->项(K),并将其命名为Explorer。
- 在注册表编辑器中,依次展开以下路径:
-
创建新的 DWORD (32位) 值:
- 在右侧窗口中,右键点击空白处,选择
新建->DWORD (32位) 值(D)。 - 将其命名为
HideRunAsVerb。
- 在右侧窗口中,右键点击空白处,选择
-
修改数值数据:
- 双击
HideRunAsVerb,确保其“数值数据”为1,然后点击“确定”。 - 这个设置会隐藏右键菜单中的“以管理员身份运行”选项,阻止通过右键快捷方式启动 CMD。
- 双击
-
彻底禁用 CMD(可选):
- 如果想完全阻止 CMD 运行,可以继续在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies路径下,创建一个名为System的新项(如果不存在)。 - 在
System项下,新建一个 DWORD (32位) 值,命名为DisableCMD。 - 双击
DisableCMD,将“数值数据”设置为1,然后点击“确定”。1= 禁用命令提示符和脚本宿主。2= 只禁用命令提示符,但允许脚本宿主。
- 如果想完全阻止 CMD 运行,可以继续在
-
重启电脑:
修改完成后,重启电脑使设置生效。
使用本地安全策略(仅专业版/企业版)
这个方法可以更精确地控制哪些用户或用户组可以运行 CMD。
适用系统:
- Windows 10/11 专业版、企业版、教育版
操作步骤:
-
打开本地安全策略:
- 按下
Win + R键,输入secpol.msc然后按回车。
- 按下
-
定位到“软件限制策略”:
- 在左侧,依次展开
安全设置->软件限制策略。 - 如果右侧显示“没有定义软件限制策略”,请右键点击
软件限制策略,选择创建新的策略。
- 在左侧,依次展开
-
添加路径规则:
- 在新创建的策略下,右键点击
其他规则,选择新建路径规则。 - 在“路径”一栏中,输入
C:\Windows\System32\cmd.exe。 - 在“安全级别”中,选择 “不允许”。
- 点击“确定”。
- 在新创建的策略下,右键点击
-
应用策略:
设置完成后,关闭本地安全策略编辑器,设置会立即生效,无需重启。
重命名或删除 cmd.exe 文件(不推荐,临时方案)
这是一种非常粗暴且不推荐的方法,因为它会破坏系统的正常功能,很多系统工具和第三方软件依赖于 CMD。
为什么不推荐?
- 破坏系统功能:许多系统维护工具(如
sfc /scannow)和脚本依赖 CMD。 - 权限问题:普通用户可能没有权限删除系统文件。
- 容易被恢复:任何有权限的用户都可以将其重命名回来。
操作步骤(仅作了解):
- 找到
C:\Windows\System32\cmd.exe文件。 - 右键点击它,选择“重命名”,将其改为
cmd.exe.old或其他名字。 - 系统会提示您可能无法访问,请点击“继续”。
警告: 如果您不小心禁用了某个需要 CMD 的关键功能,您可能需要从其他电脑上复制一个 cmd.exe 文件过来才能恢复。
总结与建议
| 方法 | 优点 | 缺点 | 适用系统 | 推荐度 |
|---|---|---|---|---|
| 组策略 | 安全、规范、可逆、功能全面 | 仅限专业版/企业版 | Win10/11 Pro/Ent | ★★★★★ |
| 注册表 | 适用于所有版本,功能强大 | 有风险,操作不当可能损坏系统 | 所有 Windows | ★★★☆☆ |
| 本地安全策略 | 精确控制用户权限 | 仅限专业版/企业版,设置稍复杂 | Win10/11 Pro/Ent | ★★★★☆ |
| 重命名/删除 | 简单直接 | 破坏系统,不安全,易恢复 | 所有 Windows | ☆☆☆☆☆ (不推荐) |
最终建议:
- 如果您使用的是 Windows 10/11 专业版或企业版,请优先选择 方法一(组策略) 或 方法三(本地安全策略),这是最安全、最专业的做法。
- 如果您使用的是 Windows 家庭版,请谨慎使用 方法二(注册表),并在操作前务必备份注册表。
- 请避免使用方法四,除非您完全了解其后果,并且这只是临时的应急措施。
