%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C:Program Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:WINDOWS
%USERPROFILE% 表示 C:Documents and Settings当前用户名
%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users
%APPDATA% 表示 C:Documents and Settings当前用户名Application Data
%TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp

　　用户在这里也可以指定要禁止运行的程序名，但要注意优先级问题，微软规定为：绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件svchost.exe运行为例，由于该系统文件位于system32文件夹下，是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于windows其他位目录下，此时可以通过建立两条策略即：svchost.exe 不允许的，%windir%system32svchost.exe 不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系，来达到让真正的系统文件运行，而病毒文件无法运行的效果。

　　二、禁止双扩展名与U盘运行文件

　　由于多数用户都使用XP的默认设置，包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户，这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入h:*.exe 不允许，h*.com 不允许的两条，让U盘中的可执行文件无法启动。(注：这里笔者的U盘盘符为h盘)

　　三、禁止四地运行

　　目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪，从而躲开管理人员的目光。这里要建立策略，防止木马从回收站、System Volume Information(系统还原文件夹)、C:WINDOWSsystem文件夹、C:WINDOWSsystem32Drivers文件夹四地启动。如下：

　　?:Recycled*.* 不允许的
%windir%system*.* 不允许的
%windir%system32Drivers*.* 不允许的
?:System Volume Information*.* 不允许的

　　注：使用*.*格式时不会屏蔽掉可执行程序以外的的程序，如：txt、jpg等。

　　四、禁止伪装进程

　　随着病毒会自行将文件名改为与系统进程接近的名称时，如：explorer.exe、sp00lsv.exe等，其大小写及O与0的问题让用户无法识别，所以这里需建立如下策略让其无法启动。

　　*.pif 不允许
sp0olsv.exe 不充许
spo0lsv.exe 不充许
sp00lsv.exe 不充许
svch0st.exe 不充许
expl0rer.exe 不允许
explorer.com 不允许

　　注：有些病毒会用pif后缀，即explorer.pif.pif 和exe、com，都属于可执行文件，并且在XP系统中默认的com的优先级要高于exe可执行程序，其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时，即可以通过WinRAR或第三方浏览器进行查看。