ALLUSERSPROFILE = C:\Documents and Settings\All Users

    APPDATA = C:\Documents and Settings\Administrator\Application Data

    CommonProgramFiles = C:\Program Files\Common Files

    ComSpec = C:\WINDOWS\system32\cmd.exe

    HOMEDRIVE = C:

    HOMEPATH = \Documents and Settings\Administrator

    ProgramFiles = C:\Program Files

    SystemDrive = C:

    SystemRoot = C:\WINDOWS

    TEMP = C:\Documents and Settings\当前用户名\Local Settings\Temp

    TMP = C:\Windows\Temp

    USERPROFILE = C:\Documents and Settings\Administrator

    WINDIR = C:\WINDOWS

    同样，路径规则也支持使用通配符，对DOS熟悉的筒子应该知道这个东西，就是“?”和“*”。

    ? ：包括1个或0个字符* ：包括任意个字符（包括0个），但不包括斜杠

    对于通配符，其实网上很多教程上的做法是有误的。

    例如有一条：%USERPROFILE%\Local Settings\**\*.*   不允许的这条规则本意是 阻止所有被指派的文件从 Local Settings 目录（包括其子目录）启动，但是经过验证发现，“**”和“*”是完全等效的，并且“*”不包括“\”。那么这条规则的实际意思就是“阻止所有被指派的文件从 Local Settings 的一级目录运行”，不包括 Local Settings 目录本身，也不包括二级及其下的所有子目录。我们来看看 Local Settings 目录下的一级目录有哪些呢？默认情况下是：Temp、Temporary Internet Files、Application Data、History，那么这条规则里就包括有 禁止TEMP目录下的所有被指派的文件运行 的意思，其根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到TEMP目录。

    影响最大（简直可以列入本年度十大最错误的做法中了）的一条：?:\autorun.inf   “不允许的”

    相信对 软件限制策略 有研究的筒子都见过这条规则吧，这条规则的本意是阻止所有盘根目录下的 autorun.inf 文件运行，以阻止U盘病毒的运行。它也确实达到了它的目的， autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗？答案是否定的，病毒还是会被正常运行。

    为什么呢？我们来了解一下系统是怎么处理 autorun.inf 文件的。

    首先，svchost.exe 读取 autorun.inf，然后 explorer.exe 读取 autorun.inf，再然后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表，那么这个 autorun.inf 文件的使命就完成了，U盘里的病毒就等着你去双击U盘了。

    那么我们的软件限制策略中，将 autorun.inf 设为“不允许的”这一做法在这个过程中起到什么作用？

    很遗憾地告诉你：没有任何作用。

    真要说它起到的作用，仅仅是阻止你打开 autorun.inf 这个文件而已。所以，对于 autorun.inf 的所有策略，都是无效的。

    真要想防止U盘病毒的运行，策略的设置只有一种方法：?:\*.*    不允许    &n9 7 3 1 2 3 4 5 4 8 :