二、禁止双扩展名和U盘运行文档

　　由于多数用户都使用XP的默认配置，包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户，这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入h:＼*.exe 不允许，h＼*.com 不允许的两条，让U盘中的可执行文档无法启动。(注：这里笔者的U盘盘符为h盘)

　　三、禁止四地运行

　　现在潜入用户电脑中的病毒木马很多都会自行隐蔽行踪，从而躲开管理人员的目光。这里要建立策略，防止木马从回收站、System Volume Information(系统还原文档夹)、C:＼WINDOWS＼system文档夹、C:＼WINDOWS＼system32＼Drivers文档夹四地启动。如下：

　　?:＼Recycled＼*.* 不允许的
　　%windir%＼system＼*.* 不允许的
　　%windir%＼system32＼Drivers＼*.* 不允许的
　　?:＼System Volume Information＼*.* 不允许的

　　注：使用*.*格式时不会屏蔽掉可执行程式以外的的程式，如：txt、jpg等。

　　四、禁止伪装进程

　　随着病毒会自行将文档名改为和系统进程接近的名称时，如：explorer.exe、sp00lsv.exe等，其大小写及O和0的问题让用户无法识别，所以这里需建立如下策略让其无法启动。

　　*.pif 不允许
　　sp0olsv.exe 不充许
　　spo0lsv.exe 不充许
　　sp00lsv.exe 不充许
　　svch0st.exe 不充许
　　expl0rer.exe 不允许
　　explorer.com 不允许

　　注：有些病毒会用pif后缀，即explorer.pif.pif 和exe、com，都属于可执行文档，并且在XP系统中默认的com的优先级要高于exe可执行程式，其后缀具备极强的隐蔽性。假如用户在开启显视文档扩展名的情况下无法看到程式后缀时，即能够通过WinRAR或第三方浏览器进行查看。

　　端口组策略

　　当软件策略完成后，用户即可进入到最后一关，电脑端口策略的配置。众所皆知，配置好端口策略很大程式中能够对入侵攻击及木马病毒常用端口起到阻止作用，配置过程也很简单，只分四步走如下：

　　第一步、依次打开：控制面板-管理工具-本地安全策略-IP安全策略，在向导中下一步，填写安全策略名-安全通信请求，并将激活默认相应规则的钩去掉，点完成创建新的IP安全策略。

　　第二步、右击该IP安全策略，在属性对话框中，将使用添加向导左边的钩去掉，然后单击添加加入新规则，并在弹出的新规则属性对话框点击添加，在随后弹出的IP筛选器列表窗口中，把使用添加向导左边的钩去掉，然后添加新的筛选器。

　　第三步、进入筛选器属性对话框，在源地址中选择任何IP地址，目标地址选我的IP地址，点协议选项，在选择协议类型下拉表中选TCP，然后在到此端口下文本框中输入“XXXX”(XXXX为要关闭的端口号，如3389、139等)，确定退出即可。(注：周详的关闭端口配置方案请用户根据端口列表大全及自身需求量身而定，端口列表能够各大搜索引擎中自行查找)

　　第四步、随后在新规则属性对话框中，选新IP筛选器列表，激活后点筛选器操作选项，将使用添加向导左边钩去掉，添加阻止操作，在新筛选器操作属性的安全措施选项里选阻止，确定即可回到新IP安全策略属性”对话框，在新的IP筛选器列表左边打钩，确定。在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。