防火墙和杀毒软件一直是用户电脑中不可缺少的一部分，很多网民的网络安全全靠此两点在支撑，而怎样用好杀毒软件、防火墙及策略的安全配置才是关键问题。虽然普通的杀毒软件只需按默认配置再加入当前的用户安全理念即可开始工作，但是配置一个功能良好的安全策略却不是那么简单，尤其是电脑中自带的软件防火墙，假如不配备有力的策略支持，那么阻敌率只能占到7成左右。

　　使用现状

　　很显然在当今电脑木马病毒流行的时代，网络安全尤为重要。高手对此却不屑一顾，依然在不安装杀软和防火墙的网络中“裸奔”，虽然高手们没有安装杀软和第三方防火墙，但其却用系统中自带的防火墙功能，构建策略将来敌抵御在警戒线之外。很多门外汉一直以为windows防火墙并不可靠，其实那是因为不了解该防火墙策略是怎样配制的，所以才无法让其发挥出因有的特性，以至于四方奔走到处求医问药来保护系统安全。

　　防火墙整体配置

　　对于普通网民和服务器管理人员来说，配置系统自带的防火墙安全策略和杀毒软件同等重要。打开控制面板，在防火墙的普通配置中，用户可根据例外列表中的数据，对当前通往外界的程式是否于是放行，作出勾选，并能够在其中进行相应的编辑和添加程式和端口。在高级选项中用户能够指定windows防火墙日志的配置， 是否记录数据包的丢弃和成功连接并指定日志文档的名称和位置(默认配置为systemrootpfirewall.log)及其最大容量。

　　而由于icmp消息用于诊断、报告错误情况和配置的作用，用户能够在其配置项中自行配置，以达启用和禁用windows防火墙允许在高级选项卡上选择的任何连接传入的icmp消息的类型，而在默认情况下，该列表中不允许任何icmp消息。配置好了以上项目后，即可启用该自带防火墙进行日常工作，并在其后建立下列软件策略。

　　软件限制策略

　　配置好此点能够确保在电脑中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口，在其下的：电脑安全配置-windows配置-安全配置-软件限制策略中的其他配置内，用户能够看到这里以配的四条软件策略，(小提示：假如以前未配置过安全策略，那么在软件限制策略上右键新建策略后将会出现菜单)而这4条规则是正是为了确保Windows运行所必须的程式不会被禁用而配置的。

　　一、环境变量和优先级

　　随后用户能够在其他规则上右击，新建新路径规则，常用通配符有：“*”和“?”，*表示任意个字符，?表示一个字符。常见文档夹环境变量有(以下以XP默认装在C盘例举)：

　　%SYSTEMDRIVE% 表示 C:
　　%ProgramFiles% 表示 C:＼Program Files
　　%SYSTEMROOT% 和 %WINDIR% 表示 C:＼WINDOWS
　　%USERPROFILE% 表示 C:＼Documents and Settings＼当前用户名
　　%ALLUSERSPROFILE% 表示 C:＼Documents and Settings＼All Users
　　%APPDATA% 表示 C:＼Documents and Settings＼当前用户名＼Application Data
　　%TEMP% 和 %TMP% 表示 C:＼Documents and Settings＼当前用户名＼Local Settings＼Temp

　　用户在这里也能够指定要禁止运行的程式名，但要注意优先级问题，微软规定为：绝对路径>使用通配符的路径>文档名。以禁止病毒模仿系统文档svchost.exe运行为例，由于该系统文档位于system32文档夹下，是系统文档所以病毒不可能替换他。伪装后的病毒文档将位于windows其他位目录下，此时能够通过建立两条策略即：svchost.exe 不允许的，%windir%＼system32＼svchost.exe 不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文档名的路径关系，来达到让真正的系统文档运行，而病毒文档无法运行的效果。