组策略(gpedit.msc)

1、隐藏不必要的桌面图标

2、禁止对桌面的改动

3、启用或禁止活动桌面

4、给“开始”菜单减肥

5、保护好“任务栏”和“开始”菜单的设置

1. 禁止访问“控制面板”

2、隐藏或禁止“添加/删除程序”项

3、隐藏或禁止“显示”项

1、登录时不显示欢迎屏幕界面

2、禁用注册表编辑器

3、关闭系统自动播放功能

4、关闭Windows自动更新

5、删除任务管理器

1、删除“文件夹选项”

2、隐藏“管理”菜单项

1、限制IE浏览器的保存功能

2、给工具栏减肥

3、在IE工具栏添加快捷方式

4、让IE插件不再骚扰你

5、保护好你的个人隐私

6、禁止修改IE浏览器的主页

7、禁用导入和导出收藏夹

1、密码策略

2、用户权利指派

3、文件和文件夹设置审核

4、Windows 98访问Windows XP共享目录被拒绝的问题解决

5、阻止访问命令提示符

6、阻止访问注册表编辑工具

一、桌面项目设置

在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到

有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标

桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、

“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在

“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和

“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“

隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图

标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的

文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我

的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标

，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

2、禁止对桌面的改动

利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径

”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工

具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用

户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，

将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单

都将被禁止。

3、启用或禁止活动桌面

利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌

面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面

上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。

4、给“开始”菜单减肥

Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。提供了删除

“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收

藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的

音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。

以删除开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“从

‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启

用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。

5、保护好“任务栏”和“开始”菜单的设置

倘若不想随意让他人更改“任务栏”和“开始”菜单的设置，只要将右侧窗格中的“阻止

更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启

用即可。这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，

提示信息是某个设置禁止了这个操作。

二、隐藏或禁止控制面板项目

这里讲到的控制面板项目设置是指配置控制面板程序的各项设置，主要用于隐藏或禁止控

制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项

，便可看到“控制面板”节点下面的所有设置和子节点。

1. 禁止访问“控制面板”

如果您不希望其他用户访问计算机的“控制面板”，您只要运行组策略编辑器(gpedit.m

sc)，在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→

“控制面板”分支，然后将右侧窗格的“禁止访问控制面板”策略启用即可。此项设置可

以防止“控制面板”程序文件(Control.exe)的启动。其结果是，他人将无法启动“控制

面板”(或运行任何“控制面板”项目)。另外，这个设置将从“开始”菜单中删除“控

制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。

2、隐藏或禁止“添加/删除程序”项

展开“添加/删除程序”项：双击启用“删除‘添加/删除程序’程序”设置项后，控制面

板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面

：“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”；而当你进入“

添加新程序”页面时，会发现有3个选项：“从CD-ROM或软盘添加程序”、“从 Microsof

t添加程序”以及“从网络中添加程序”，如果你想这些具体页面或选项隐藏，可直接在组

策略“添加/删除程序”项中将相应隐藏功能启用。

3、隐藏或禁止“显示”项

展开“显示”项，发现这一项和上一项一样，可隐藏“显示属性”对话框中的选项卡。这

里就不细讲了，例如双击启用“隐藏‘桌面’选项卡”后，“显示窗口”中将不再出现“

桌面”项。此外，在这里用户还可启用“删除控制面板中的‘显示’”，这样在控制面板

中双击打开“显示”项时，就会弹出一个对话框提示你：系统管理员禁止使用“显示”控

制面板。

4、其他

依次展开“显示”→“桌面主题”项，双击启用“删除主题选项”、“阻止选择窗口和按

钮式样”、“禁止选择字体大小”项后，可阻止他人更改主题、窗口和按钮式样、字体。

展开“打印机”项，双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户

添加或删除打印机。最后，直接在“控制面板”一项下启用“禁止访问控制面板”，控制

面板将无法启动。

三、系统项目设置

这一项在“用户配置”→“管理模板”→“系统”中设置(图15)。组策略中对系统的设

置涉及到登录、电源管理、组策略、脚本等很多项目，下面把和我们联系紧密的部分清理

出来分类列举如下：

1、登录时不显示欢迎屏幕界面

Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕，虽然漂亮但也麻烦且延

长登录时间，通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎

屏幕”，则每次用户登录时欢迎屏幕将隐藏。

2、禁用注册表编辑器

为防止他人修改注册表，可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下

的“阻止访问注册表编辑器”项后，用户试图启动注册表编辑器时，系统将提示：注册编

辑已被管理员停用(图16)。另外，如果你的注册表编辑器被锁死，也可双击此设置，在

弹出对话框的“设置”标签中点选“未被配置”项，这样你的注册表便解锁了。如果要防

止用户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的Windows应用程序

”。

3、关闭系统自动播放功能

一旦你将光盘插入光驱中，Windows XP就会开始读取光驱，并启动相关的应用程序。这样

虽然给我们的工作带来了便利，在某些时候也带来了不少麻烦。在“系统”节点下有一项

为“关闭自动播放”设置项，双击其并在弹出对话框的“设置”标签中点选“已启用”，

在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。

注意：此设置不阻止自动播放音乐CD。

4、关闭Windows自动更新

每当用户连接到Internet，Windows XP就会搜索用户计算机上的可用更新，根据配置的具

体情况，在下载的组件准备好安装时或在下载之前，给用户以提示。如果你不喜欢比尔老

大这种自作主张的态度，可通过组策略关闭这一功能。只须双击“系统”节点下的“Wind

ows自动更新”设置项，在弹出来的对话框中点选“已禁用”并确定即可。

5、删除任务管理器

若Windows XP用户已取消“使用欢迎屏幕”项，若同时按下“Ctrl+Alt+Del”键，便会弹

出一个“Windows安全”对话框，此对话框中有“锁定计算机”、“注销”、“关机”、“

更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统

都起着关键的作用。为了阻止别人操作，可通过组策略屏蔽这些按钮。

找到“系统”下的“Ctrl+Alt+Del选项”，双击启用“删除任务管理器”、“删除‘锁定

计算机’”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“

任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。

注意：“注销”、“关机”两个菜单项的屏蔽，在“用户配置”→“管理模板”→“任务

栏和‘开始’菜单”节点下。

四、隐藏或删除Windows XP资源管理器中的项目

一直以来，资源管理器就是Windows系统中最重要的工具，如何高效、安全地管理资源也一

直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“

Windows资源管理器”项，可以看到“Windows资源管理器”节点下的所有设置。下面就来

看看怎样通过组策略实现资源管理器个性化

1、删除“文件夹选项”

“文件夹选项”是资源管理器中一个重要的菜单项，通过它可修改文件的查看方式，编辑

文件类型的打开方式。我们自己对其设定好后，为了防止他人随意更改，可将此菜单项删

除，你只须双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。

2、隐藏“管理”菜单项

在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项，通过此

菜单项，可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁

盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏，可

通过双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项

。

3、其他项目的隐藏

此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可

通过启用“‘网上邻居’中不含‘整个网络’”屏蔽掉“整个网络”项。双击启用“删除

CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到

‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有

讲到，大家可根据需要自行探讨，进行适当的配置。

五、IE浏览器项目设置

在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“Inter

net Explorer”项，在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子

节点。IE是Windows XP自带的网页浏览器，也是大多数用户采用的浏览器，但其安全性也

为人所诟病，下面就通过组策略来对其进行“改造”。

1、限制IE浏览器的保存功能

当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用

，那么如何才能实现呢？具体方法为：选择“用户设置”→“管理模板”→“Windows组件

”→“Internet Explorer”→“浏览器菜单”分支，然后将右侧窗格中的“‘文件’菜单

：禁用‘另存为…’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’

菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。

另外，倘若您不希望别人对IE浏览器的设置进行随意更改，您只要将“‘工具’菜单：禁

用‘Internet选项…’”策略启用即可。另外，根据您个人的需要，在该窗格中还可以对

其他项目进行禁用。

2、给工具栏减肥

倘若您要隐藏工具栏中的工具按扭，具体方法是：选择“用户设置”→“管理模板”→“

Windows组件”→“Internet Explorer”→“工具栏”分支，然后在右侧窗格中双击“配

置工具栏按扭”策略，弹出“配置工具栏按扭属性”窗口，在“设置”选项卡中选择“已

启用”单选按扭，将列表中将要显示按扭名称前面的复选框打上勾选标记，若要隐藏某些

按扭，则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可

3、在IE工具栏添加快捷方式

不知道大家注意到了没有，不少软件在安装完之后都会在IE工具栏上添加图标，单击其便

能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式，这里举例说

明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面

”，双击“浏览器工具栏自定义”设置项，在弹出来的对话框中单击“添加”按钮，在“

浏览器工具栏按钮信息”对话框的“工具栏标题”中输入：ICQ，在“工具栏操作”中输入

D:\Fun\ICQLite\ICQLite.exe，然后再随便选择一个“颜×××标”和“灰度图标”，当然

你也可以用ExeScope等来提取ICQ的图标)。单击“确定”后IE工具栏中便多了一个ICQ图

标！

4、让IE插件不再骚扰你

我们平常上网浏览网页时，总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网

络实名”的提示，就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet

Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现

。不过有时这一功能也是很用的，所以在禁止此功能之前请稍加考虑。

5、保护好你的个人隐私

一般通过单击IE工具栏上的“历史”按钮，便可了解以前浏览过的网页和文件。为保密起

见，你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录

”和“退出时清除最近打开的文档记录”两个设置项，这样再单击IE工具栏上的“历史”

按钮，你访问过的历史网页记录将全部消失。

6、禁止修改IE浏览器的主页

如果不希望他人对你的主页进行修改，可启用“Internet Explorer”节点下的“禁用更改

主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”，启用其中的

设置项对IE浏览器的若干菜单项进行屏蔽。最后，在“Internet控制面板”节点下，你还

可对“Internet选项”对话框中的部分选项卡进行隐藏。

倘若启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“

主页”区域的设置将变灰。

特别提示：如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Intern

et Explorer”→“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，

因为“禁用常规页”策略将删除界面上的“常规”选项卡。

7、禁用导入和导出收藏夹

禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。\用户配置\管理模板\Wi

ndows组件\Internet Explorer。

如果启用该策略，“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果

禁用该功能或不对其进行配置，则用户可以通过单击“文件”菜单上的“导入和导出”菜

单项，然后运行“导入/导出向导”，导入/导出IE中的收藏夹。

注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按

钮时，将出现说明该功能已被禁用的提示信息。

六、系统安全/共享/权限设置

自有计算机以来，安全一直就是人们关注的焦点问题，Windows XP也不例外。在组策略中

，系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。

1、密码策略

这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患，可通

过组策略设置密码(口令)的最小长度：双击启用“密码必须符合复杂性要求”设置项，

确定后双击“密码长度最小值”设置项，在弹出来的对话框中将密码长度最小值设为8或更

大，这样以后设置账户密码时就必须输入8位以上，安全性就高多了。

2、用户权利指派

展开“本地策略”→“用户权利指派”节点，在右边窗口中便能看到“用户权利指派”节

点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题，例如在局域网中使用Wi

ndows XP系统的朋友一般会发现一个奇怪的现象，那就是即使你启用guest用户并给予权限

，局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个

问题可在组策略中通过修改有关设置解决：双击“用户权利指派”节点下的“拒绝从网络

访问这台计算机”设置项，在弹出对话框中点选“guest”，然后单击“删除”，最后确定

即可。在“用户权利指派”节点下还可给用户添加许多权限，例如给guest添加远程关机权

限、给一般用户添加更改系统时间的权限。

3、文件和文件夹设置审核

Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝

试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系统)

可以保证文件和文件夹的安全。在审核发生之前，您必须使用“组策略”指定要审核的事

件类型。为文件和文件夹设置审核的步骤如下。

a.单击选择“开始”→“运行”命令，在弹出的“运行”对话框中键入“gpedit.msc”命

令，然后单击“确定”按扭即可；当然你也可以在桌面上创建一个相应的快捷方式。

b.在弹出的“组策略”窗口中，逐级展开右侧窗格中的“计算机配置”→“Windows设置”

→“安全设置”→“本地策略”分支，然后在该分支下选择“审核策略”选项。

c.在右侧窗格中用鼠标双击“审核对象访问”选项，在弹出的“本地安全策略设置”窗口

中，将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12所示

。然后单击“确定”按扭

d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的“属性”命令，然后在

弹出的窗口中选择“安全”选项卡。

e.单击“高级”按扭，然后选择“审核”选项卡。

f.根据具体情况选择您的操作：

(1)倘若对一个新组(或用户)设置审核, 请单击“添加”按扭，在“名称”框中键入新用

户名，然后单击“确定”按扭，将打开“审核项目”对话框。

(2)要查看(或更改)原有的组(或用户)审核, 选择用户名，然后单击“查看/编辑

”按扭。

(3)要删除原有的组(或用户)审核, 选择用户名，然后单击“删除”按扭即可。

g.如有必要的话，在“审核项目”对话框中的“应用到”列表中选取您希望审核的地方(

“应用到”列表仅对文件夹有效)。

h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对

象和/或容器应用这些审核项”复选框。

如果在“审核项目”对话框中的“访问”之下的复选框变暗，或在“访问控制设置”对话

框中“删除”按钮不可用，那么说明已经继承了来自父文件夹的审核。

需要注意的是：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限

的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，您必须启用“组策

略”中“审核策略”的“审核对象访问”。否则，当您设置完文件、文件夹审核时会返回

一个错误消息，并且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)可以

检查那些访问审核过的文件和文件夹的成功或失败的尝试。

4、Windows 98访问Windows XP共享目录被拒绝的问题解决

在局域网内，经常可以遇到装有Windows 2000的电脑开了共享目录，而装有Windows 98的

电脑却无法访问的问题。这个在微软的官方网页上可以找到答案，提示开启Windows 2000

的GUEST用户就行了。可是Windows XP出来以后，同样的又面临这个问题，结果有些人发现

这个方法不灵了，从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在？这

个问题本也困扰过我好几天，后来在无意中发现了问题的答案，也许这是Windows XP的一

个BUG？

在开启了系统Guest用户的情况下，运行组策略编辑器程序，在“本地计算机策略”→“计

算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→“拒

绝从网络访问这台计算机”中赫然可以看到有Guest用户！如果在这里删除Guest用户，那

么其他电脑就可以从网上邻居中查看这台电脑的共享目录了

5、阻止访问命令提示符

防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在

计算机上运行。位置：\用户配置\管理模板\系统\  如果启用这个设置，用户试图打开命

令窗口，系统会显示一个消息，解释设置阻止这种操作。

注意：如果计算机使用登录、注销、启动或关闭批文件脚本，不防止计算机运行批文件；

也不防止使用终端服务的用户运行批文件。

6、阻止访问注册表编辑工具

该策略将禁用Regedit.exe，以禁用Windows注册表编辑器。这样可以很大程度防止网页上

的恶意代码篡改IE。位置：\用户配置\管理模板\系统\ 如果这个设置被启用，并且用户试

图启动注册表编辑器，解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管

理工具，请使用“只运行许可的Windows应用程序”策略设置。

八、补充

1.禁止程序后组策略无法使用

可以通过以下方法来恢复设置：重新启动计算机，在启动菜单出现时按F8键，在Windows高

级选项菜单中选择“带命令行提示的安全模式”选项，然后在命令提示符下运行mmc.exe。

在打开的“控制台”窗口中，依次点击“文件→添加/删除管理单元→添加→组策略→添加

→完成→关闭→确定”，现在已经添加了一个组策略控制台，接下来把原来的设置改回来

，然后重新进入Windows即可。

2、从“我的电脑”中删除共享文档

当Windows用户在一个工作组中，一个“共享文档”图标会以Windows资源管理器的Web视图

出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置，你可选择不

显示这些项目。

本地计算机策略——>用户配置——>管理模板——>Windows组件——>Windows资源管理器

如果启用此设置，“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现

。如果禁用或不配置此设置，当用户是“工作组”的一部分时，“共享文档”文件夹将会

以Web视图方式显示或在“我的电脑”中出现。

组策略防狗(转帖)

图片：

'800')this.width='800';if(this.height>'600')this.height='600';" border=0>

强！组策略防狗(个人觉得很帅的贴)

组策略防狗

[winxp中的系统变量]

%USERPROFILE%  表示 C:\Documents and Settings\当前用户名

%ALLUSERSPROFILE%  表示 C:\Documents and Settings\All Users

%APPDATA%  表示 C:\Documents and Settings\当前用户名\Application Data

%ALLAPPDATA%  表示 C:\Documents and Settings\All Users\Application Data

%SYSTEMDRIVE% 表示 C:

%HOMEDRIVE%  表示C:\

%SYSTEMROOT%  表示 C:\WINDOWS

%WINDIR%  表示 C:\WINDOWS

%TEMP% 和 %TMP%  表示 C:\Documents and Settings\当前用户名\Local Settings\Temp

%ProgramFiles%  表示 C:\Program Files

%CommonProgramFiles%  表示 C:\Program Files\Common Files

考虑到可能有些初学者不太理解，今天花了一下午时间，重新精简编辑了我自己的规则，以适合普通用户直接套用，并附带了详细的编写原理、注意事项等，希望借此抛砖引玉，使各位潜水的高手也能将自己的规则分享出来讨论，也希望初学者可以DIY出适合自己的规则。

非常欢迎大家将自己的规则拿出来讨论，以使此规则不断进步和完善，成为传统安全软件有力的辅助和补充。好了，废话说了一大堆，下面进入正文：

一、软件限制策略的作用

首先说一下HIPS的3D

AD——程序保护 保护应用程序不被恶意修改、删除、注入

FD——文件保护 保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件

RD——注册表保护 保护注册表关键位置不被恶意修改、读取、删除

XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现

因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。

二、软件限制策略的优劣势

1、优势

优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的

2、劣势

劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行

三、软件限制策略 规则编写实例

我直接以一些最常见的例子来说明

1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级

2、如何阻止恶意程序运行

首先要注意，恶意程序一般会藏身在什么地方

？:\ 分区根目录

C:\WINDOWS (后面讲解一律以系统在C盘为例)

C:\WINDOWS\system32

C:\Documents and Settings\Administrator

C:\Documents and Settings\Administrator\Application Data

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Application Data

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

C:\Program Files

C:\Program Files\Common Files

注意：

C:\Documents and Settings\Administrator

C:\Documents and Settings\Administrator\Application Data

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Application Data

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

C:\Program Files

C:\Program Files\Common Files

这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了

%ALLAPPDATA%\*.* 不允许的

%ALLUSERSPROFILE%\*.* 不允许的

%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的

%APPDATA%\*.* 不允许的

%USERSPROFILE%\*.*

%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的

%ProgramFiles%\*.* 不允许的

%CommonProgramFiles%\*.* 不允许的

那么对于

C:\WINDOWS C:\WINDOWS\system32 这两个路径的规则怎么写呢？

C:\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行

则其规则可以这样写：

%SYSTEMROOT%\*.* 不允许的 (首先禁止C:\WINDOWS下运行可执行文件)

C:\WINDOWS\explorer.exe 不受限的

C:\WINDOWS\notepad.exe 不受限的

C:\WINDOWS\amcap.exe 不受限的

C:\WINDOWS\RTHDCPL.EXE 不受限的

(然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\WINDOWS下，除了explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行)

对于C:\WINDOWS\system32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些限制，并对系统关键进程进行保护

子文件夹的限制

%SYSTEMROOT%\system32\config\**\*.* 不允许的

%SYSTEMROOT%\system32\drivers\**\*.* 不允许的

%SYSTEMROOT%\system32\spool\**\*.* 不允许的

当然你可以限制更多的子文件夹

3、如何保护system32下的系统关键进程

有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办？其实很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么我们可以这样应对：

C:\WINDOWS\system32\csrss.exe 不受限的

C:\WINDOWS\system32\ctfmon.exe 不受限的

C:\WINDOWS\system32\lsass.exe 不受限的

C:\WINDOWS\system32\rundll32.exe 不受限的

C:\WINDOWS\system32\services.exe 不受限的

C:\WINDOWS\system32\smss.exe 不受限的

C:\WINDOWS\system32\spoolsv.exe 不受限的

C:\WINDOWS\system32\svchost.exe 不受限的

C:\WINDOWS\system32\winlogon.exe 不受限的

先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程

csrss.* 不允许的 (.* 表示任意后缀名，这样就涵盖了 bat com 等等可执行的后缀)

ctfm?n.* 不允许的

lass.* 不允许的

lssas.* 不允许的

rund*.* 不允许的

services.* 不允许的

smss.* 不允许的

sp???sv.* 不允许的

s??h?st.* 不允许的

s?vch?st.* 不允许的

win??g?n.* 不允许的

4、如何保护上网的安全

在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵

%SYSTEMROOT%\tasks\**\*.* 不允许的 (这个是计划任务，病毒藏身地之一)

%SYSTEMROOT%\Temp\**\*.* 不允许的

%USERPROFILE%\Cookies\*.* 不允许的

%USERPROFILE%\Local Settings\**\*.* 不允许的 (这个是IE缓存、历史记录、临时文件所在位置)

另外可以免疫一些常见的流氓软件

3721.* 不允许的

CNNIC.* 不允许的

*Bar.* 不允许的

等等，不赘述，大家可以自己添加

注意，*.* 这个格式只会阻止可执行文件，而不会阻止 .txt .jpg 等等文件

另外演示两条禁止从回收站和备份文件夹执行文件的规则

?:\Recycler\**\*.* 不允许的

?:\System Volume Information\**\*.* 不允许的

5、如何防止U盘病毒的***

这个简单，两条规则就可以彻底搞定

?:\autorun.inf 不允许的

?:\*.* 不允许的

6、预防双后缀名的典型恶意软件

许多恶意软件，他有双后缀，比如 mm.jpg.exe

由于很多人默认不显示后缀名，所以你看到的文件名是 mm.jpg

对于这类恶意，我本来想以一条规则彻底免疫

*.*.* 不允许的

可是这样做了之后，却发现我的ACDSee 3.1 无法运行

于是改成

*.???.bat 不允许的

*.???.cmd 不允许的

*.???.com 不允许的

*.???.exe 不允许的

*.???.pif 不允许的

这样5条规则，ACDSEE没有问题了。我现在还没搞清楚，我的ACDSEE并没有双后缀，为何不能运行

7、其他规则

注意 %USERPROFILE%\Local Settings\**\*.* 这条规则设置后，禁止了从临时文件夹执行文件，那么一些自解压的单文件就无法运行了，因为这类文件是首先解压到临时文件夹，然后从临时文件夹运行的。如果你的电脑中有自解压的单文件，那么，删除这条规则，增加3条：

%USERPROFILE%\Local Settings\Application Data\**\*.* 不允许的

%USERPROFILE%\Local Settings\History\**\*.* 不允许的

%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.* 不允许的

威金的预防，很简单三条

logo?.* 不允许的

logo??.* 不允许的

_desktop.ini 不允许的

小浩病毒的预防

xiaohao.exe 不允许的

禁止conimi.exe进程

c?nime.* 不允许的

禁止QQ自动更新

QQUpdateCenter.exe 不允许的

TIMPlatform.exe 不允许的

禁止遨游自动更新

maxupdate.exe 不允许的

禁止小红伞C版的广告

avnotify.exe 不允许的

………………………………

就不一一列举了

大家根据自己的实际情况来设置吧

最后附上我自己精简后的规则，比较大众化，下载解压后直接运行即可

运行前，先备份C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 这个文件

如果导入规则出现不良反应，可以用原文件替换回去

有兴趣的朋友可以深入研究，不良反应究竟是触发了哪一条规则，如何设置能达到最佳效果

附带啰嗦一句，现在很多病毒采用劫持IFEO的方法，致使杀毒软件无法启动。解决方法如下：

打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

右击——权限，取消所有用户的写入、修改权限，仅保留读取和删除权限

规则导入完成之后，利用NTFS格式的安全设定，设置Registry.pol 的权限，取消所有用户的修改、写入和删除权限，这样恶意软件便不能修改或删除这个规则了

同理，可以利用NTFS的权限设置，保护任意文件不被修改和删除，和软件限制策略相辅相成，达到HIPS的FD功能。

这个是FAT格式无法享有的优越性

另外本人写了一份防机器狗的软件策略,经最新样本测试，不能穿透。里面有导入导出工具，只要放在同一文件夹下就可以导入了 。