关闭修改IP地址功能
禁止修改IP地址 注册表和级策略法
禁止修改IP地址
最近,单位一些终端用户打开机器后常常提示“IP地址冲突”,后来发现是一些员工随意设置自己的IP地址所致。确保公司局域网正常运作是网管员的工作职责,所以笔者开始设置禁止修改IP地址。
众所周知,给一台计算机设置IP地址是通过“TCP/IP属性”(Windows 98系统)或“Internet协议(TCP/IP)属性”(Windows 2000/XP/2003 Server)对话框来完成的。因此,只要屏蔽该对话框,就无法修改IP地址,也就不能盗用IP地址了。
Windows 98平台禁用修改IP地址
方法一:修改注册表法
注册表在Windows操作系统中起着很关键的作用,利用注册表的键值,可以屏蔽“TCP/IP属性”对话框。
1.单击“开始→“运行”,在“运行”对话框的“打开”下拉文本框中输入命令“Regedit”(仅双引号内文字)后,单击“确定”按钮。
2.在“注册表编辑器”窗口中,依次展开左侧子窗口中的“我的电脑HKEY_USERS. DEFAULTSoftwareMicrosoft WindowsCurrentVersionPolicies”分支,单击其下的“Network”子分支。
3.在右侧子窗口的空白处单击鼠标右键,选择“新建→DWORD值”菜单(或者直接单击菜单栏中的“编辑→新建→DWORD值”),新建一个DWORD键值。
4.将新建的DWORD键值命名为“NoNetSetup”,并赋值为“1”(如图1),关闭“注册表编辑器”窗口。
从此以后,无论是用鼠标右键单击“网上邻居”图标→单击右键快捷菜单中的“属性”菜单,还是双击“控制面板”窗口中的“网络”图标,都将得到提示信息“系统管理员已经关闭‘网络’控制面板”(如图2),用户就无法修改计算机的IP地址了。
当然,删除“NoNetSetup”键值(或者将其赋值为“0”)后,又可打开“网络连接”窗口,可以通过“本地连接属性”对话框修改IP地址了。
方法二:系统策略法
从Windows 95操作系统开始,Windows系统就提供了一种更加灵活、高效的管理工具——系统策略编辑器。利用“系统策略编辑器”工具,不但可以屏蔽“网络”控制面板,还能隐藏“桌面”上的“网上邻居”图标。
1.单击“开始→程序→附件→系统工具→系统策略管理器”菜单。或者,单击“开始→运行”菜单,在“运行”对话框的“打开”下拉文本框中输入命令“poledit”(仅双引号内文字),单击“确定”按钮。
2.在“系统策略编辑器”窗口中,单击“文件→打开注册表”菜单,将显示出“本地用户”和“本地计算机”两个图标。
3.双击“本地用户”图标,在弹出的对话框中,依次展开“本地用户→控制面板→网络”分支,先勾选“
限制‘网络’控制面板”选项,再勾选其下的“禁用‘网络’控制面板”子选项(如图3)。这样就能屏蔽“网络”控制面板。
依次展开“本地用户→外壳→限制”分支,勾选“隐藏‘网上邻居’”选项(如图4)。这样就能隐藏“桌面”上的“网上邻居”图标。
4.单击“确定”返回到“系统策略编辑器”窗口中。单击“系统策略编辑器”窗口工具栏中的“保存”按钮,关闭“系统策略编辑器”对话框。然后重新启动计算机即可。
从此以后,计算机“桌面”上的“网上邻居”图标就不见了。而且双击“控制面板”窗口中的“网络”图标时,同样会得到提示信息“系统管理员已经关闭‘网络’控制面板”。
注意:
1.“系统策略编辑器”工具不是Windows 95/98系统的默认安装组件,该工具需要用户手工添加。
先将Windows 95/98安装光盘放入光盘驱动器中,双击“控制面板”窗口中的“添加/删除程序”图标,在弹出的对话框中单击“Windows安装程序”选项卡中的“从磁盘安装”按钮。在“要复制的厂商文件来自”下拉文本框中输入“poledit.inf”文件在Windows 95/98安装光盘上的路径(如图5)后,单击“确定”按钮。
如果不知道,也可以单击“浏览”按钮,在安装光盘上手工查找“poledit.inf”文件的路径。
在弹出的“从磁盘安装”对话框中,选中“组件”列表框中的“系统策略管理器”和“组策略”组件,单击“安装”按钮后开始安装组件。安装完成后,系统会在“开始→程序→附件→系统工具”菜单中创建一个“系统策略管理器”图标。
此外,在Windows 95/98安装光盘的“poledit”子目录中,还提供了两个策略样本文件:“maximum.pol”和“standard.pol”。“maximum.pol”文件包含的是系统处于最高安全级别时网络和桌面的设置值,“standard.pol”文件包含的是系统处于中等安全级别时网络和桌面的设置值。用户可先将这两个文件拷贝到“%SystemRoot%CONFIG”子目录(%SystemRoot%是指Windows 95/98的系统安装目录),然后再直接调用。
2.如果“本地用户属性”对话框中只勾选“隐藏‘网上邻居’”选项,就只会隐藏“桌面”上的“网上邻居”图标。用户仍可双击“控制面板”窗口中的“网络”图标打开“TCP/IP属性”对话框,修改计算机的IP地址。
Windows 2000/XP/2003 Server平台禁用修改IP地址
方法一:修改组策略法
在Windows 2000/XP/2003 Server操作系统中“系统策略管理器”工具是默认的安装组件,用户只需运行命令“gpedit.msc”就可打开该工具,但名称更改为“组策略”(Windows 2000/XP系统)或“组策略编辑器”(Windows 2003 Server系统)。
1.单击“开始→运行”,在“打开”下拉文本框中输入命令“gpedit.msc”(仅双引号内文字)后,单击“确定”按钮。
2.在“组策略”或“组策略编辑器”窗口中,依次展开左侧子窗口中的“本地计算机策略→用户配置→管理模板→网络→网络连接”项目。
3.双击右侧子窗口中的“禁止访问LAN连接组件的属性”选项,再单击“禁止访问LAN连接组件属性”对话框中的“已启用”单选按钮(如图6),单击“确定”按钮。
4.最后,关闭“组策略”或“组策略编辑器”窗口即可。
以后,当普通用户打开“本地连接属性”对话框,选中“此连接使用下列项目”列表框中的“Internet协议(TCP/IP)”项目时,会发现其下的“属性”按钮已经变为灰色了(如图7),不能打开“Internet协议(TCP/IP)属性”对话框了,也就无法更改IP地址了。
但是,此方法对以管理员身份登录系统的用户而言可能会无效,此时就还需启用“为管理员启用网络连接设置”选项,才能禁用“属性”按钮。
方法二:停止服务法
服务是Windows 2000/XP/2003操作系统中新增的功能,与“本地连接属性”对话框直接关联的服务是“Network Connections”。因此只要停止该服务的运行,就不能打开“本地连接属性”对话框,也就无法修改IP地址了。
1.单击“开始→运行”菜单,在“打开”下拉文本框中输入命令“services.msc”(仅双引号内文字)后,单击“确定”按钮。或者,单击“开始→控制面板”,在“控制面板”窗口中双击“管理工具”图标,再双击“服务”图标。
2.在“服务”窗口右侧子窗口中,双击名为“Network Connections”的服务,单击“服务状态”处的“停止”按钮停止该服务的运行,再将“启动类型”处的值设为“已禁用”选项(如图8),最后单击“确定”按钮即可。
从此以后,虽然在“网络连接”窗口中仍可看见“本地连接”图标,但单击右键快捷菜单中的“属性”后,会提示“出现意外错误”(如图9),无法打开“本地连接属性”对话框,这样就无法修改IP地址了。
注意:
这种方法存在两个弊端:
1.当用户单击“查看→刷新”后,会得到错误信息对话框(如图10)。稍微“懂行”的用户按提示信息就能轻而易举地破解。
2.由于“Network Connections”服务与网络连接有关,所以该服务被禁用后会影响到所有访问网络的操作,而且依赖此服务的“Windows防火墙”功能和“Internet连接共享”功能也将停止工作。
因此,除非计算机不接入任何网络中,否则不要使用这种方法。
方法三:注销动态链接库文件法
在Windows 2000/XP/2003
Server操作系统中,有三个动态链接库文件(Netcfgx.dll、Netshell.dll和Netman.dll)与网络功能有关。只要将这三个文件注销,就能屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。
1.单击“开始→运行”菜单,在“打开”下拉文本框中输入命令“regsvr32 Netcfgx.dll /u”(仅双引号内文字)后,单击“确定”。如果执行成功,将显示提示信息(如图11)。
注意:命令中的regsvr32与Netcfgx.dll之间,Netcfgx.dll与/u之间,均需用空格间隔开。
2.将Netcfgx.dll换成Netshell. dll和Netman.dll重复执行即可。
以后,无论是单击“网上邻居”右键菜单中的“属性”,还是双击“控制面板”窗口中的“网络连接”图标(实际上图标也更改了),都无法打开“网络连接”窗口,这样就无法通过“本地连接属性”对话框来修改IP地址了。
如果要恢复修改IP地址的功能,只要将上述命令中的“/u”参数删除,然后重新执行一遍就行了。
建议
1.对于Windows 98系统的计算机,采用“修改注册表法”,并可结合“DisableRegistry Tools”键值的使用来禁止用户修改注册表。
2.对于Windows 2000/XP/2003系统的计算机,采用“注销动态链接库文件法”。