Ваша первая остановка должна быть согласована с OEM. Посмотрите, смогут ли они предоставить вам пользовательскую сборку ОС, в которой отсутствуют функции, которые вам не нужны. Теперь, если вы используете что-то вроде карманных компьютеров Intermec или Motorola, вам не повезет, так как они не предоставляют пользовательских сборок ОС, а также не получают BSP, поэтому делать это самостоятельно нельзя.
Вполне возможно, что вы можете написать приложение для замены Shell (должно быть сделано в C) и изменить реестр, чтобы загрузить ваше приложение вместо explorer.exe. Это дало бы гораздо большую возможность ограничивать возможности пользователя, но даже в этом случае такие вещи, как апплеты панели управления, не могут быть удалены по отдельности - они становятся всеми или ничем (или создают собственную инфраструктуру CPL).
Короче говоря, это действительно очень зависит от того, какое у вас целевое оборудование.