CMD限制策略

　　 %Comspec%  基本用户

　　这里要注意的是系统对于CMD和批处理文件是分开处理的，即使对CMD设置了不允许，仍然可以运行批处理

　　对于一些系统中平时我们极少用，但存在潜在威胁的程序我们也要进行限制。比如ftp.exe、 tftp.exe、 telnet.exe、 net.exe 、net1.exe 、debug.exe 、at.exe、 arp.exe 、wscript.exe、 cscript.exe等等，都可以将其设置为受限的或者直接设成不允许的。

　　禁止伪装的系统进程

　　svchost.exe  不允许的
　　C:\Windows\System32\Svchost.exe  不受限的

　　如果你有兴趣，有精神，还可以为系统的所有进程做一个白名单，这样安全性可能会更高。

　　其它规则大家可以自由发挥。

　　策略的备份

　　最后提一下策略的备份。不能这么辛苦做完下次重做系统再来一次吧，呵呵，备份很简单，我们可以通过导出注册表来备份（不提倡，也就不介绍了）。
　　也可以通过直接备份文件来备份，打开 C:\WINDOWS\system32\GroupPolicy\Machine ，在这个目录下有一个 Registry.pol 文件，对，就是它了。备份它，重做系统后直接COPY过来就可以了，当然你也可以将你的策略分享给更多人使用。这里有一点要注意的，就是这个Machine文件夹如果没有，千万不能手动建立，否则无效，可以使用我们前面介绍过的创建策略的方法，创建以后就会生成这个文件夹，也可以你在备份的时候直接备份这个文件夹。千万要记得不能手动建立。如果你不想使用这些策略了，很简单，将 Registry.pol 文件改名或者删除即可

实战：U盘病毒解决方法

　　我这里介绍的都是一些通过系统自身来实现的方法，不使用第三方软件。喜欢用第三方软件的朋友们就不要讨论了。

　　前面已经介绍过第一种方法了：使用 软件限制策略，创建一条规则 “\*.*    不允许的” ，这样即使你中了U盘病毒它也没办法运行。

　　第二种方法，其实也算是第一种方法的延伸吧。前面我们分析过系统对 autorun.inf 文件的处理流程，从中我们可以看出有一步，
explorer.exe 读取 autorun.inf 的内容后会将其写入注册表中，由此，我们可以通过对注册表相关键值的权限进行限制，从而使其无法修改注册表，进而达到防止U盘病毒运行的目的。相关注册表键：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

　　具体做法是将这些键降低权限，或者直接将所有用户对其的访问权限取消都可以。

　　第三种方法就是利用Windows的一个漏洞，建立Bug文件夹，来防止Autorun类病毒。具体方法是：

　　首先在U盘下建立一个名为Autorun.inf的文件夹，然后在这个文件夹下建立一个带“.”的BUG文件夹，这样的话 autorun.inf 文件夹就无法删除了，比如我们在D盘下建立：

　　首先在D盘下建立 Autorun.inf 文件夹 然后运行CMD，输入
md d:\autorun.inf\test..\

　　这样就可以在autorun.inf文件夹里建一个名为“test.”的文件夹，在资源管理器中无法访问，无法改名，无法删除。