防火墻與殺毒軟件一直是用戶計算機中不可缺少的一部分，很多網民的網絡安全全靠此兩點在支撐，而如何用好殺毒軟件、防火墻及策略的安全設置才是關鍵問題。雖然普通的殺毒軟件只需按默認設置再加入當前的用戶安全理念即可開始工作，但是設置一個功能良好的安全策略卻不是那么簡單，尤其是計算機中自帶的軟件防火墻，如果不配備有力的策略支持，那么阻敵率只能占到7成左右。

使用現狀

很顯然在當今計算機木馬病毒流行的時代，網絡安全尤為重要。高手對此卻不屑一顧，依然在不安裝殺軟與防火墻的網絡中“裸奔”，雖然高手們沒有安裝殺軟與第三方防火墻，但其卻用系統中自帶的防火墻功能，構建策略將來敵抵御在警戒線之外。很多門外漢一直以為windows防火墻并不可靠，其實那是因為不了解該防火墻策略是如何配制的，所以才無法讓其發揮出因有的特性，以至于四方奔走到處求醫問藥來保護系統安全。

防火墻整體設置

對于普通網民與服務器管理人員來說，配置系統自帶的防火墻安全策略與殺毒軟件同等重要。打開控制面板，在防火墻的普通設置中，用戶可根據例外列表中的數據，對當前通往外界的程序是否于是放行，作出勾選，并可以在其中進行相應的編輯與添加程序和端口。在高級選項中用戶可以指定windows防火墻日志的配置， 是否記錄數據包的丟棄與成功連接并指定日志文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。

而由于icmp消息用于診斷、報告錯誤情況和配置的作用，用戶可以在其設置項中自行設置，以達啟用和禁用windows防火墻允許在高級選項卡上選擇的所有連接傳入的icmp消息的類型，而在默認情況下，該列表中不允許任何icmp消息。設置好了以上項目后，即可啟用該自帶防火墻進行日常工作，并在其后建立下列軟件策略。

軟件限制策略

設置好此點可以保證在計算機中所運行軟件的安全性。首先在開始運行菜單中輸入gpedit.msc調出組策略配置窗口，在其下的：計算機安全配置-windows設置-安全設置-軟件限制策略中的其它設置內，用戶可以看到這里以配的四條軟件策略，(小提示：如果以前未設置過安全策略，那么在軟件限制策略上右鍵新建策略后將會出現菜單)而這4條規則是正是為了保證Windows運行所必須的程序不會被禁用而配置的。

一、環境變量與優先級

隨后用戶可以在其它規則上右擊，新建新路徑規則，常用通配符有：“*”和“?”，*表示任意個字符，?表示一個字符。常見文件夾環境變量有(以下以XP默認裝在C盤例舉)：

%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C:\Program Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS
%USERPROFILE% 表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\當前用戶名\Application Data
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp

用戶在這里也可以指定要禁止運行的程序名，但要注意優先級問題，微軟規定為：絕對路徑>使用通配符的路徑>文件名。以禁止病毒模仿系統文件svchost.exe運行為例，由于該系統文件位于system32文件夾下，是系統文件所以病毒不可能替換它。偽裝后的病毒文件將位于windows其他位目錄下，此時可以通過建立兩條策略即：svchost.exe 不允許的，%windir%\system32\svchost.exe 不受限的，來禁止運行。該配置是利用優先級中第二條使用絕對路徑的規則優先級高于第一條基于文件名的路徑關系，來達到讓真正的系統文件運行，而病毒文件無法運行的效果。

二、禁止雙擴展名與U盤運行文件

由于多數用戶都使用XP的默認設置，包含系統隱藏已知擴展名的。為了不被病毒多擴展名迷惑用戶，這里需建立*.jpg.exe 不允許和*.txt.exe 不允許策略。然后加入h:\*.exe 不允許，h\*.com 不允許的兩條，讓U盤中的可執行文件無法啟動。(注：這里筆者的U盤盤符為h盤)

三、禁止四地運行

目前潛入用戶計算機中的病毒木馬很多都會自行隱蔽行蹤，從而躲開管理人員的目光。這里要建立策略，防止木馬從回收站、System Volume Information(系統還原文件夾)、C:\WINDOWS\system文件夾、C:\WINDOWS\system32\Drivers文件夾四地啟動。如下：

?:\Recycled\*.* 不允許的
%windir%\system\*.* 不允許的
%windir%\system32\Drivers\*.* 不允許的
?:\System Volume Information\*.* 不允許的

注：使用*.*格式時不會屏蔽掉可執行程序以外的的程序，如：txt、jpg等。

四、禁止偽裝進程

隨著病毒會自行將文件名改為與系統進程接近的名稱時，如：explorer.exe、sp00lsv.exe等，其大小寫及O與0的問題讓用戶無法識別，所以這里需建立如下策略讓其無法啟動。

*.pif 不允許
sp0olsv.exe 不充許
spo