运行:gpedit.msc

打开:计算机配置——WINDOWS设置——安全设置——软限限 制策略——右键新建软限限 制策略——选其他规则—

—新建路径规则

第一条规则
路径:*
安全级别:不允许
描述:不用填,自已明白就行

(此条规则的含义是禁止所有程序运行)

第二条规则:
路径:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
安全级别:不受限
描述:不用填,自已明白就行

含义:排除WINDOWS目录文件,不受第一条限 制

第三条规则:
路径:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe
安全级别:不受限
描述:不用填,自已明白就行

含义:排除WINDOWS目录程序,不受第一条限 制,允许运行

第四条规则:

路径:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe
安全级别:不受限
描述:不用填,自已明白就行

含义:排除系统程序,不受第一条限 制,允许运行

第五条规则:
路径:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
安全级别:不受限
描述:不用填,自已明白就行

含义:排除ProgramFiles目录,不受第一条限 制,允许运行

第六条规则:
路径:*.lnk
安全级别:不受限

含义:快捷方式不受限(注:不被允许的程序的快捷方式也是不能运行的)

现在,再运行一下命令:gpupdate /force,用来刷新组策略或者是重启或注销一下,好了,你随便下个机器狗或碟磁机来,也运行不了了(注意,在WINDOWS目录,SYSTEM32目录,ProgramFiles是能运行的)


被充:设置了以上组策略后,如果要安装软件,请临时添加两条规则
%Temp% 不受限 (用户变量不受 限,保证软件的正常安装)
%TMP% 不受限     (临时文件存放目录不受 限,保证软件的正常安装)

安装完毕,请删除这两条规则,以免IE临时文件夹中的***或毒不受限 制




你还可以做得更绝:
* 不允许
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 不允许
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 不允许
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%*.exe 不允许

然后逐个逐个的排除所有系统程序和你需要用的合法程序

这样永远不会中毒啦(除非你非要把病毒设为不受限)



有人会问:经常重装系统这样会很累啊。
答案是一点也不麻烦,你设置成功后,会在C:\WINDOWS\system32\GroupPolicy\Machine下生成一个Registry.pol文件,这就是组策略的设置文件了,你拷到其他盘后,下次重装时,新建一个软件限 制策略,内容不用再输,把保存的Registry.pol文件复制到C:\WINDOWS\system32\GroupPolicy\Machine下就可以了。