对于很多入侵都是从cmd开始的，所以有的时候有必要限制一下：

     对于阻止访问命令提示符的说明：阻止用户运行交互式命令提示符 Cmd.exe。此设置还确定是否可以在计算机上运行批处理文件(.cmd 和 .bat)。

如果启用此设置，并且用户试图打开命令窗口，则系统会显示一条消息，说明设置会阻止此操作。

注意: 如果计算机使用登录、注销、启动或关机批处理文件脚本，则不阻止计算机运行批处理文件，也不阻止使用远程桌面服务的用户运行批处理文件。

打开组策略依次定位到：

双击设置为“已启动”即可。

刷新组策略： gpupdate /force