1、首先打开组策略，开始菜单--运行--输入gpedit.msc--回车---计算机配置---windows设置--安全设置--软件限制策略。
或者你可以打开本地安全策略，里面也有软件限制策略的选项，打开方法为:开始菜单---管理工具--本地安全策略--软件限制策略，两者打开的效果是一样的！
这里就给大家介绍下运用软件限制策略限制软件运行的步骤：

1、如果之前没有新建过软件安全策略的话要新建一个软件限制策略如下图

2、新建好后安全级别中默认只有不允许和不受限的两项的，如果要显示其他的选项请按照以下方法修改：
打开注册表编辑器，展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD，命名为Levels，其值可以为
0x10000                  //增加受限的
0x20000                  //增加基本用户
0x30000                  //增加受限的，基本用户
0x31000                  //增加受限的，基本用户，不信任的
设成0x31000（即4131000）即可

3、要想限制用户不能打开什么文件的话，在这里新建路径规则，然后在弹出的对话框中写入路径或者路径的规则，安全级别要根据自己需要来决定！这里要介绍下软件限制策略中路径匹配的相关知识了：
关于通配符：
Windows里面默认
* ：任意个字符（包括0个），但不包括斜杠
? ：1个字符
几个例子
*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录
关于优先级:
1.绝对路径 > 通配符相对路径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe 
2.文件型规则 > 目录型规则     
如若a.exe在Windows目录中，那么  a.exe > C:\Windows
注：如何区分文件规则和目录规则？不严格地说，其区分标志为字符“.”。
例如, *.* 就比 C:\WINDOWS 的优先级要高，如果我们要排除WINDOWS根目录下的程序，就需要这样做 C:\WINDOWS\*.*
而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。可见，文件型、目录型都是相对而言的
3.环境变量 = 相应的实际路径 = 注册表键值路径
如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
4.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。
如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 基本用户”=
“C:\Windows\explorer.exe 基本用户
注：
1. 通配符 * 并不包括斜杠 \。例如*\WINDOWS 匹配 C:\Windows，但不匹配 C:\Sandbox\WINDOWS
2. * 和 ** 是完全等效的，例如 **\**\abc = *\*\abc
3. C:\abc\*  可以直接写为 C:\abc\ 或者 C:\abc，最后的* 是可以省去的，因为软件限制策略中已经存储了执行文件类型作为 * 的内容了。（指派的文件类型）
4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。软件限制策略---指派的文件类型中添加
5. * 和 *.* 是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.* 的优先级比 * 的高
6. ?:\* 与 ?:\*.* 是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而 ?:\*.* 仅包括所有分区下的带“.”的文件或目录，一般情况
下，指的就是各盘根目录下的文件。那非一般情况是什么呢？请参考第7点
7. ?:\*.* 中的“.” 可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如 F:\ab.c，一样符合 ?:\*.*，所以规则对F:\ab.c下的所有文件及子目录都生效。

注：本站部分信息可能源于互联网分享，如有侵权，请告知，我们将及时删除！