如何限制修改 IP 地址

如何限制修改 IP 地址；如何禁止显示的本地连接属性 现在很多单位都配置了局域网， 为了便于进行网络管理， 同时为了提高的登录网络的速 度，网管人员一般都为局域网中的每台电脑都指定了 IP 地址。但是在 windows 环境下其他 用户很容易修改 IP 地址配置，这样就很容易造成 IP 地址冲突等故障，不利于网络的正常管 理。因此，最好能为 IP 地址加上一把“锁” ，这样别人就不能轻易更改 IP 地址了。 在 windows2000/XP 中存在 Netcfgx.dll， Netshell.dll 和 Netman.dll 三个动态库文件， 它们 实际上是系统控件，在 windows2000/XP 的安装过程中会自动注册这些控件。这三个控件和 windows2000/XP 的网络功能紧密相关。当修改 IP 地址时，就需要用到这三个控件。因此， 只要将上述三个控件卸载， 就可以屏蔽网络连接窗口， 这样无论是双击桌面上的网上邻居图 标，还是在控制面板中双击“网络连接”项，都无法正常进入网络连接窗口，也就无法在本 地连接属性窗口中修改 IP 地址了。 在“开始/运行”中输入“Cmd.exe” ，确认后打开 CMD 窗口，在其中分别执行“Regsvr32 /u Netcfgx.dll”“Regsvr32 /u Netshell.dll”“Regsvr32 /uNetman.dll”命令，就可以将上述控 、 、 件从系统中卸载。当然，如果以后需要修改 IP 地址的话，可以上述控件逐一注册即可。注 册的方法很简单，只要将上述命令中的“/u”参数去掉，就可以执行注册操作了。例如执行 命令“Regsvr32Netcfgx.dll”就完成了控件 Netcfgx.dll 的注册。 另一个版本：禁止修改 IP：regsvr32 netcfgx.dll /u /sregsvr32 netshell.dll /u /sregsvr32 netman.dll /u /s 恢复修改权限： regsvr32 netcfgx.dll /sregsvr32 netshell.dll /sregsvr32 netman.dll /s2.只要将每台电脑的 IP 地址和网卡的 MAC 地址进行绑定即可，操作方法如下： 例如 捆绑 IP 地址“192.168.10.59”与 MAC 地址为“00-50-ff-6c-08-75” ，单击“开始→运行”并 在打开的“运行”窗口中敲入“cmd”打开命令行窗口，然后输入以下命令： 捆绑： arp -s 192.168.10.59 00-50-ff-6c-08-75 解除捆绑：arp -d 192.168.10.59 另外，如果是在 windows 2000 的域环境中，可以使用组策略限制用户修改 IP 地址，并启用 DHCP 动态分配 IP 地址。 3.妙招避免 IP 非法修改 局域网中各工作站的 TCP/IP 参数，被随意修改后，很 容易造成 IP 地址冲突的现象， 这会给局域网管理工作， 带来不小的麻烦。 那作为网管人员， 有没有办法保护好自己的网络， 不让别人随意作主――非法修改 IP 地址呢？其实， 很简单， 你只要参照下面的步骤，就能轻松避免 IP 地址被非法修改的麻烦！ 注册表设置法 首先，需要将桌面上的“网上邻居”图标隐藏起来，让其他人无法通过“网上邻居”属 性窗口， 进入到 TCP/IP 参数设置界面。 依次展开注册表编辑窗口中的 “HKEY_CURRENT_USER” 、 “Software”“Microsoft”“windows”“CurrentVersion”“PolicIEs”“Explorer”子键，然 、 、 、 、 、 后在“Explorer”子键下面，创建一名为“NoNetHood”双字节值，并将它设置为“1” ，就 可以了。 其次， 再将控制面板窗口中的 “网络” 图标， 隐藏起来， 那么其他人根本就打不开 TCP/IP 参数设置界面了。 只要你打开 “windows\Sys_tem(去掉"_")\netcpl.cpl” 文件， 然后在[don"tload] 处，输入一行形如“netcpl.cpl=no”的代码，重新保存后， “网络”图标就从控制面板窗口中 消失了。 到了这里，所有可以修改 IP 的途径都被“切断”了，这样其他人即使想修改 IP 地址， 也无处下手了。当然，这种方法只能蒙蒙菜鸟网民，对于“大虾”级的网民来说，几乎就是 聋子的耳朵――摆设。 因为网民一旦找到 “netcpl.cpl”文件，还是有办法恢复 “网络”或 “网 上邻居” 图标的， 为此， 你还需要进行下面的工作， 才能真正意义上 “切断” 的修改通道： IP 依次展开注册表中的“HKEY_CURRENT_USER” “Software” “Microsoft” “windows” 、 、 、 、 “CurrentVersion”“PolicIEs”“Network”子键，然后在“Network”子键下面，创建一个 、 、 名为“NoNetSetup”的双字节值，并将它设置为“1” ；之后，你再想打开“网上邻居”或“网 络”属性窗口时，将会得到无权访问的提示。\

网吧局域网中PC都有还原卡做保护，可以说数据是非常安全的，但一个工作站的TCP/IP参数，如果被恶意修改后，在大型网吧中很容易造成IP地址冲突的现象，试想在几百台PC的大型网吧中如果有IP冲突想找到它非常困难，这会给局域网管理工作，带来不小的麻烦。考试大提示那作为网管人员，有没有办法保护好自己的网络，不让别人随意做主--非法修改IP地址呢？你只要参照下面的步骤，就能轻松避免IP地址被非法修改的麻烦！
　　一、修改注册表设置
　　首先，需要将桌面上的“网上邻居”图标隐藏起来，让其他人无法通过“网上邻居”属性窗口，进入到TCP/IP参数设置界面。展开注册表编辑窗口中的“HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer”子键，然后在“Explorer”子键下面，创建名为“NoNetHood”双字节值，并将它设置为“1”，就可以了。当然同时也要禁止修改注册表，否则别人会改回来。
　　其次，再将控制面板窗口中的“网络”图标，隐藏起来，那么其他人根本就打不开TCP/IP参数设置界面了。只要你打开“Windows\System\netcpl.cpl”文件，然后在[don't load]处，输入一行形如“netcpl.cpl=no”的代码，重新保存后，“网络”图标就从控制面板窗口中消失了。
　　现在，所有可以修改IP的途径都被“切断”了，这样其他人即使想修改IP地址，也无处下手了。当然，这种方法只能对付菜鸟网民，对于真正的“大虾”“黑客”级的网民来说，几乎就是聋子的耳朵-摆设。因为网民一旦找到“netcpl.cpl”文件，还是有办法恢复“网络”或“网上邻居”图标的，为此，还需要进行下面的工作，才能真正意义上“切断”IP的修改通道：依次展开注册表中的“HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Network”子键，然后在“Network”子键下面，创建一个名为“NoNetSetup”的双字节值，并将它设置为“1”；之后，你再想打开“网上邻居”或“网络”属性窗口时，将会得到无权访问的提示。
　　二、转移相关文件
　　上面的方法，并不适合所有操作系统，那如何在其他操作系统中禁止非法修改IP地址呢？其实，只要禁止打开“网络和拨号连接”窗口，就能阻止其他人进入到TCP/IP参数设置界面，下面就是具体的操作步骤：
　　打开WinNT系统安装目录中的System文件夹，将其中的“ncpa.cpl”文件，重新命名为其他名称（注意哟，自己必须记得更名后的名称，不然以后就无法恢复了），并将它保存到其他文件夹中，这样，你就无法打开桌面上的“网上邻居”属性窗口了。
　　小提示：“napa.cpl”文件对应着系统控制面板中的“网络和拨号连接”功能，将该文件换名并移到其他位置保存时，你就应该不能打开“网络和拨号连接”窗口了。可事实是，通过控制面板中的“网络和拨号连接”图标，还是可以打开该窗口的，这是为什么呢？原来，Windows 2000操作系统正常登录时，“ncpa.cpl”文件会自动被调用，即使你已经将它移动到其他位置，系统还会将它自动恢复的。所以，你只有在纯DOS环境下，将该文件移动到其他位置，才会彻底关闭“网络和拨号连接”窗口。
　　分区类型有NTFS和FAT，本来如果都是用的NTFS的话，对一些DLL文件进行权限设置也可以满足，我这里选择的是raschap.dll，当然，类似的DLL也有一些，在CMD窗口执行下面的命令：cacls %systemroot%\system32\raschap.dll /e /d everyone
　　然后重新启动机器，你会发现你已经建立好的拨号连接都看不到了，而且在你新建连接的时候会出错，报告权限不足。如果需要用的时候，把该dll的权限改回来即可（需要重新启动机器）cacls %systemroot%\system32\raschap.dll /e /g everyone:r
　　当然，还有一种比较简单的方法，可以快速禁止打开“网络和拨号连接”窗口：打开系统的运行对话框，执行“gpedit.msc”命令，在弹出的组策略编辑窗口中，依次展开“用户 配置”、“管理模板”、“任务栏和开始菜单”，在对应“任务栏和开始菜单”的右边子窗口中，双击“从开始菜单删除‘网络和拨号连接’”选项，在弹出的界面中，选中“启用”选项，再单击“确定”按钮，就OK了！
　　是不是就能确保其他用户，无法修改系统网络参数了呢？别忘了DOS，用户还能在DOS环境下，利用Netsh命令，修改网络参数，因此你很有必要将“WinNT\System”文件夹中的“netsh.exe”命令，隐藏起来，让非法用户无法找到它。隐藏“netsh.exe”命令最有效的方法，就是将它换名保存，并移动到其他位置，让非法用户无法在DOS环境下，访问到它！
　　三、地址绑定
　　除了通过切断修改IP的“通道”，来禁止其他人非法修改IP地址外，你也可以直接对指定IP地址，进行限制，让其他人即使修改了地址，也无法进行网络连接，这一招对付ARP攻击同样有效。在限制IP地址时，可以用地址绑定法来实现：
　　首先将系统切换到DOS命令行状态下，执行“i p c o n f i g/all”命令，在弹出的窗口中，将网卡的MAC地址、IP地址记录下来；
　　下面在代理服务器端，将指定IP地址与对应的MAC地址，绑定在一起，以后即使有人在你的计算机中，修改了IP地址，他也无法通过代理服务器，进行网络连接。例如，在绑定IP地址时，可以在DOS命令行中，执行“arp -s 10.168.160.1000-30-6E-36-5A-EF”命令，就能将静态IP地址“10.168.160.10”和网卡的MAC地址“00-30-6E-36-5A-EF”绑定在一起了。在局域网中，使用代理服务器上网的工作站，都能通过上述方法，来限制修改静态IP地址。要是日后需要为IP地址“松绑”的话，只要执行“arp-d 10.168.160.10 00-30-6E-36-5AEF”命令就可以了。
　　要是你的局域网，使用的是三层交换机来连接各个工作站的话，那么你只需要在每一个交换端口处，对IP地址进行一下限定，让其他人即使修改了IP地址，也无法通过交换机上网，相信在近一年来对付ARP的大小战役中，各位网吧的网管朋友们对IP+MAC绑定已经很熟悉了。