保护系统关键文件夹

大家平时在上网冲浪，收发邮件，下载资料，一不小心不免就会中木马（现在的木马很猖），再加上杀毒软件招架不住（病毒库有时间差），以致系统会出现严重失常，盗取信息，影响正常的工作。
最近我就是碰到Trojan.Win32.Agent.uar这种木马，以致系统下很多进程文件受了感染。但也发觉到木马喜欢“骚扰”系统下的c:\windows\system32,再加上其中存放了很多关键进程文件，一受感受，系统马上就会出了问题。
当然，木马注入的文件夹还有其它，如：
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
那如何去保护这些文件夹的安全呢，便成为一个首要任务了。
解决这个问题不难，我们可以通过系统的组策略设置去加以防护。在组策略中的软件限制策略中可以通过建立相关的规则，赋于相关的安全级别，就可以保护这个文件夹的安全了。
如：（对应上边的文件路径）
%ALLAPPDATA%\*.* 不允许的
%ALLUSERSPROFILE%\*.* 不允许的
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%APPDATA%\*.* 不允许的
%USERSPROFILE%\*.*
%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%ProgramFiles%\*.* 不允许的
%CommonProgramFiles%\*.* 不允许的，
而对于c:\windows\system32，里面有常用的进程，可以把用到的进程添加，安全级别为不受限，而最后其它就设为不允许了。
常用到的进程有：
C:\WINDOWS\system32\csrss.exe    不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe    不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe   不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe    不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的

还有就是其中有些重要的子文件夹，也可以加以限制：
%SYSTEMROOT%\system32\config\**\*.*    不允许的
%SYSTEMROOT%\system32\drivers\**\*.* 不允许的
%SYSTEMROOT%\system32\spool\**\*.*    不允许的

这样，结合自己的实际需要进行相关的设置，系统的相关文件夹就在保护之中了。可以大大减小病毒，木马的影响。