要设置组策略，先来了解一下系统环境变量和通配符

　　环境变量

%USERPROFILE% 表示 C:\Documents and Settings\当前用户名 　　%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users 　　%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data 　　%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data 　　%SYSTEMDRIVE% 表示 C: 　　%HOMEDRIVE% 表示C:\ 　　%SYSTEMROOT% 表示 C:\WINDOWS 　　%WINDIR% 表示 C:\WINDOWS 　　%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp 　　%ProgramFiles% 表示 C:\Program Files 　　%CommonProgramFiles% 表示 C:\Program Files\Common Files

　　通配符

? 表示任意单个字符 　　* 表示任意多个字符 　　**或*? 表示零个或多个含有反斜杠的字符,即包含子文件夹

　　接下来开始设置“软件限制策略”

　　设置完成后，将C:\Windows\\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来，这个文件就是你所设置的规则。重做系统后，将备份的这个文件覆盖到源路径中，就可以恢复规则，也可以将这个文件做成一个自解压EXE格式的文件

      自解压脚本为：

Path=%windir%\system32\GroupPolicy\Machine\ 　　SavePath 　　Setup=gpupdate /force 　　Silent=1 　　Overwrite=1

　　至此，软件限制策略的全套方案写完。希望这篇关于WINXP的组策略的教程对大家有所帮助！基本上这个软件限制策略，可以实现HIPS的AD、FD这样的2D功能。至于RD注册表保护，则可以通过对注册表项权限的修改实现。可以说，XP本身就具备HIPS的3D功能，而最大的好处是这是XP内置的，与系统无缝紧密结合，不占用内存不会出现不兼容的现象，且拦截能力更是毋庸置疑的超过所有的HIPS，这是真正处于系统最底层的安全防护！