可能一些网管会遇到这样的情形:IP地址被客户恶意修改、网络协议被恶意删除和其他一些网络设置被恶意修改。其实要预防这种恶意现象也很容易,我们可以通过修改注册表和组策略这两种方法来很好地预防它。
1、为管理员启用网络连接设置
在 Windows 2000 Professional 中,所有这些设置都具有禁止管理员使用某些功能的能力。默认情况下,Windows XP Professional 中的“网络连接”组设置不具有禁止管理员使用功能的能力。如果启用此设置,已存在于 Windows 2000 Professional 中的 Windows XP 设置会具有阻止管理员使用某些功能的能力。
这些设置为:
“重命名所有用户可以使用的 LAN 连接或远程访问连接的能力”
“禁止访问 LAN 连接组件的属性”
“禁止访问远程访问连接组件的属性”
“访问 TCP/IP 高级配置的能力”
“禁止访问高级菜单上的高级设置项”
“禁止添加和删除用来进行 LAN 连接或远程访问连接的组件”
“禁止访问 LAN 连接的属性”
“禁止启用/禁用 LAN 连接组件”
“更改所有用户远程访问连接的属性的能力”
“禁止更改专用远程访问连接的属性”
“禁止删除远程访问连接”
“删除所有用户远程访问连接的能力”
“禁止连接和断开连接远程访问连接”
“启用/禁用 LAN 连接的能力”
“禁止访问新建连接向导”
“禁止重命名专用远程访问连接”
“禁止访问高级菜单上的远程访问首选项菜单项”
“禁止查看活动连接的状态”
启用此设置时,同时存在于 Windows 2000 Professional 和 Windows XP Professional 中的设置对管理员的行为相同。如果禁用或不配置此设置,已存在于 Windows 2000 中的 Windows XP 设置将不适用于管理员。我们先用注册表的方法来实现适用于管理员的网络连接设置。
用新建一个文本文件先命名为“为管理员启用网络连接设置.txt”,在里面输入以下语句:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections]
"NC_EnableAdminProhibits"=dword:00000001
然后保存(注意:Windows Registry Editor Version 5.00下方是一行空行,是必须的),把文本文件的扩展名txt改成reg,双击这个reg文件,系统弹出提示,点击“是”按钮就导入注册表成功了,重启电脑后,为管理员启用网络连接设置的功能也就实现了。
组策略方法:点击“开始”――“运行”,然后输入“gpedit.msc”确定,运行组策略编辑器,在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”,然后在右边的边框中找到并双击“为管理员启用Windows2000网络连接设置”在弹出的窗口中把它设置为“已启用”,然后点击“确定”,重启电脑后,为管理员启用网络连接设置的功能也就实现了。
2、禁止安装和卸载网络协议
如果电脑被安装过多的网络协议会给机器或网络造成负担,必会影响网络访问的稳定性,而如果把必须的协议删了,也就无法正常上网了,为此,我们要禁止客户安装和卸载网络协议。按上面的方法新建一个命名为“禁止安装和卸载网络协议.reg”的注册表文件,输入内容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections]
"NC_AddRemoveComponents"=dword:00000000
组策略方法:按上面方法找到并双击“禁止添加或删除用于 LAN 连接或远程访问连接的组件”这一项,把它设置为“已启用”即可。
3、禁止TCP/IP协议高级选项
TCP/IP协议的“高级”选项按钮可以允许用户修改DNS 和 WINS 服务器信息等,为了保险起见,我们也同样要禁用它。按上面的方法新建一个命名为“禁止TCP/IP协议高级选项.reg”的注册表文件,输入内容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections]
"NC_AllowAdvancedTCPIPConfig"=dword:00000000
组策略方法:按上面方法找到并双击“禁用TCP/IP高级配置”这一项,把它设置为“已启用”即可。
4、禁止启用/停用网卡
新建注册表文件“禁止停用网卡.reg”,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections]
"NC_LanConnect"=dword:00000000
组策略方法:按上面方法把“启用/禁用 LAN 连接的能力”设置为“已禁用”后确定即可。
5、禁止访问网络协议属性
有时用户会恶意自行去修改电脑的IP地址,这就有可能会导致IP地址出现冲突,为了避免这种现象,我们可以把访问网络协议属性的功能禁用掉,这样用户即使想改也改不了。
新建注册表文件“禁止访问网络协议属性.reg”,输入内容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections]
"NC_LanChangeProperties"=dword:00000000
保存后导入注册表。
组策略方法:按上面的办法把“禁止访问LAN连接组件的属性”选项的属性设置为“已启用”,并单击“确定”按钮即可,以后进入网络连接属性界面,选中其中的协议项目时,就会看到对应的“属性”按钮依然是灰色不可用的了,这样一来普通用户就无法打开TCP/IP参数设置窗口,随便修改IP地址了。
注:以上设置如果需要取消,可以直接通过删除 HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections 键值来解决,无需注销重新登录。
==========================================================================================
WINDOWS 98
公司的网络每隔几日,就有部门打电话来“报案”,称他们的计算机出现“IP地址冲突”的提示,而且无法访问互联网。看来又有人私自修改了自己计算机的IP地址从而造成IP地址冲突。要经过好一番查找,才能抓到“元凶”,非常麻烦。要是能够把网内用户的计算机的IP地址统统锁住就好了。
在此笔者告诉大家一个好办法:在自己的计算机上点击“开始→运行”,输入regedit命令运行注册表编辑器,然后在注册表菜单中选择“导出注册表文件”,在弹出的对话框中输入要保存的文件名,例如“lockip”,导出范围选择“选择的分支”,输入:“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork”,接着点击保存,然后选定lockip文件,用右键点选“编辑”命令将它打开,可以看到所选分支下面有一行键名和键值“″NoNetS-etup″=dword:00000000”,把键值00000000改为00000001。如果没有这一行,就在所选分支下一行加入“″NoNetS-etup″=dword:00000001”就行了。
然后在局域网内用户的计算机上,双击lockip文件把该文件中的内容加入注册表。如果谁再想改IP,那么对不起,计算机“网上邻居”属性已经被禁用。
想恢复也简单,只要把lockip文件编辑一下,把00000001改成00000000再运行一下就行了。
