1. Создаем в корне загрузочного раздела пустой файл с именем "System Volume Information".
2. В свойствах этого файла на вкладке безопасность отключаем наследование прав и добавляем имена "SYSTEM" и "Все" ("All" для англоязычной системы). Все остальные имена убираем. На именах "SYSTEM" и "Все" выставляем запрет на все.
3. Поочередно:
- выделяем все оставшиеся файлы в корне диска и отключаем наследование прав;
- выделяем все папки в корне диска и отключаем наследование прав.
4. На уровне прав безопасности диска добавляем имя "Все" ("All" для англоязычной системы) и убираем все остальные имена. Для имени "Все" убираем права на изменение и запись(именно убрать права, а не поставить запрет!)
На этом все готово - корень защищен, во внутренние папки писать можем, точку восстановления система создать не сможет.
При желании можно дополнить файлами: '$RECYCLE.BIN", "Recycled", "Recycler" и папкой "Autorun.inf". Права на эти добавочные обекты выставляются аналогично правам на файл "System Volume Information".