点击“开始”--“运行”，然后输入“gpedit.msc”就可以运行“组策略编辑器”了。我们找到“用户配置”项，把它展开，再找到它下面的“系统”分支，我们就可以再右边的内容列表中看到很多具体的选项了，我们可以在这里面找到“不要运行指定的windows应用程序”这一项(如图1)，双击它，就会弹出一个属性窗口(如图2)，在默认情况下，它的属性是“未配置”的，我们就要点选“已启用”项，然后“显示” 按钮就会显示从灰色的不可用状态变为可用，点击“显示”按钮，就可以进入编辑不允许的应用程序列表的窗口了(如图3)，点击“添加”按钮，输入要禁止运行的应用程序的文件名，然后“确定”就可以添加进去了。由于添加进“不允许的应用程序的列表”中的程序，虽然不能直接运行，但它可以通过命令行方式运行，我们就要把“cmd.exe”添加到不允许的列表中，这样命令行也就运行不到了。　其实由于很多软件的文件名都是不可预知的，为了更方便管理，我们其实用“不要运行指定的windows应用程序”项上面的“只运行许可的windows应用程序”项，我们会显得更方便，操作方法和上面的一样，把允许运行的应用程序名添加进列表中，不在列表中的应用程序无法运行，原理也是一样的。

　　本文介绍的方法不用安装第三方软件，所以不会拖累系统的运行速度，但由于它是通过对文件名的辨别来达到屏蔽的目的的，如果别人改了文件名，屏蔽的效果就达不到了，不过也不用太担心，这种方法对付一般的客户已经完全足够的了，毕竟骨灰级的客户是少数。对于骨灰级的客户，我们只好用第三方的屏蔽软件来达到我们屏蔽的目的，在以后的文章里，笔者将介绍相关的软件