软件限制策略
    设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口，在其下的：计算机安全配置-windows设置-安全设置-软件限制策略中的其它设置内，用户可以看到这里以配的四条软件策略，（小提示：如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后将会出现菜单）而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。

    一、环境变量与优先级
    随后用户可以在其它规则上右击，新建新路径规则，常用通配符有：“*”和“？”，*表示任意个字符，？表示一个字符。常见文件夹环境变量有（以下以XP默认装在C盘例举）：
    %SYSTEMDRIVE% 表示 C:
    %ProgramFiles% 表示 C:\Program Files
    %SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS
    %USERPROFILE% 表示 C:\Documents and Settings\当前用户名
    %ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
    %APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data
    %TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp

    用户在这里也可以指定要禁止运行的程序名，但要注意优先级问题，微软规定为：绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件svchost.exe运行为例，由于该系统文件位于system32文件夹下，是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于windows其他位目录下，此时可以通过建立两条策略即：svchost.exe  不允许的，%windir%\system32\svchost.exe  不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系，来达到让真正的系统文件运行，而病毒文件无法运行的效果。

    二、禁止双扩展名与U盘运行文件
    由于多数用户都使用XP的默认设置，包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户，这里需建立*.jpg.exe  不允许和*.txt.exe  不允许策略。然后加入h:\*.exe  不允许，h\*.com  不允许的两条，让U盘中的可执行文件无法启动。（注：这里笔者的U盘盘符为h盘）

    三、禁止四地运行
    目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪，从而躲开管理人员的目光。这里要建立策略，防止木马从回收站、System Volume Information（系统还原文件夹）、C:\WINDOWS\system文件夹、C:\WINDOWS\system32\Drivers文件夹四地启动。如下：
    ?:\Recycled\*.*  不允许的
    %windir%\system\*.*  不允许的
    %windir%\system32\Drivers\*.*  不允许的
    ?:\System Volume Information\*.*  不允许的

    注：使用*.*格式时不会屏蔽掉可执行程序以外的的程序，如：txt、jpg等。

    四、禁止伪装进程
    随着病毒会自行将文件名改为与系统进程接近的名称时，如：explorer.exe、sp00lsv.exe等，其大小写及O与0的问题让用户无法识别，所以这里需建立如下策略让其无法启动。
    *.pif  不允许
    sp0olsv.exe  不充许
    spo0lsv.exe  不充许
    sp00lsv.exe  不充许
    svch0st.exe  不充许
    expl0rer.exe  不允许
    explorer.com  不允许

    注：有些病毒会用pif后缀，即explorer.pif.pif 和exe、com，都属于可执行文件，并且在XP系统中默认的com的优先级要高于exe可执行程序，其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时，即可以通过WinRAR或第三方浏览器进行查看。