安全设置策略及自带防火墙介绍

核心提示： 软件限制策略设置好此点可以保证在计算机中所运行软件的安全性，首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口，安全设置策略及自带防火墙介绍(2)，在其下的：计算机安全配置-windows设置-安全设置-软件限制策略中的其它设置内，用户可以看到这里以配的四条软件策略，该配置是利

软件限制策略

设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口，在其下的：计算机安全配置-windows设置-安全设置-软件限制策略中的其它设置内，用户可以看到这里以配的四条软件策略，(小提示：如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后将会出现菜单)而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。

一、环境变量与优先级

随后用户可以在其它规则上右击，新建新路径规则，常用通配符有：“*”和“?”，*表示任意个字符，?表示一个字符。常见文件夹环境变量有(以下以XP默认装在C盘例举)：

%SYSTEMDRIVE% 表示 C:

%ProgramFiles% 表示 C:Program Files

%SYSTEMROOT% 和 %WINDIR% 表示 C:WINDOWS

%USERPROFILE% 表示 C:Documents and Settings当前用户名

%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users

%APPDATA% 表示 C:Documents and Settings当前用户名Application Data

%TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp

用户在这里也可以指定要禁止运行的程序名，但要注意优先级问题，微软规定为：绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件svchost.exe运行为例，由于该系统文件位于system32文件夹下，是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于windows其他位目录下，此时可以通过建立两条策略即：svchost.exe 不允许的，%windir%system32svchost.exe 不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系，来达到让真正的系统文件运行，而病毒文件无法运行的效果。