XP下禁止修改网卡属性.doc

天珣内网安全风险管理与审计系统XP下禁止修改网卡属性北京启明星辰信息安全技术有限公司二零一二年四月九日8目录1.前言12.网卡属性相关的注册表键值13.禁止修改网卡属性44.天珣注册表保护策略配置61.前言在Windows XP普遍使用的今天，对于windows操作系统的一些基本操作比如修改IP地址、启用/禁用网卡、修改网卡属性等已经被绝大多数人掌握，在用户群体电脑技术普遍提高的同时却也给网管人员特别是公司的内网管理带来了极大的不便与安全隐患。现在大部分公司都有自己专用的内网系统，而且都是不允许与外网有接触，但是内网与外网仅仅只是IP地址不同而已，只要修改IP地址就可以上内网或者外网，这样，用户自己随意修改IP地址就可以随意的访问内网或外网，有将公司内网信息或资料暴露在外网的风险，因此为了防止此类事件发生，需要杜绝这种随意修改IP地址或者网卡属性等的行为。天珣内网安全风险管理与审计系统V6.6.9.3及以上版本都支持对网卡属性的控制（允许/禁止修改网卡属性），但是V6.6.9.3以下版本没有单独的配置选项，但是也可以通过注册表保护来实现禁止修改网卡属性等功能。注：由于XP系统跟Windows 7系统区别较大，因此在禁止修改网卡属性功能上的实现也有所不同，以下配置仅针对XP系统。2.网卡属性相关的注册表键值在XP系统下默认是没有与网卡属性相关的注册表项的，需要自己手工添加，与网卡属性相关的注册表项主要如下：禁用本地连接网卡属性（这个是总的控制开关，只有这个生效，网卡属性的其他配置才会起作用，否则其他配置无效即只要该键值数据为1，下面其他与网卡属性相关的配置才会发生作用，否则将没有任何效果）Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_EnableAdminProhibits=dword:00000001禁止TCP协议高级选项Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_AllowAdvancedTCPIPConfig=dword:00000000禁止安装和卸载网络协议Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_AddRemoveComponents=dword:00000000禁止查看网络状态Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_Statistics=dword:00000000禁止访问网络议属性Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_LanChangeProperties=dword:00000000禁止启用和停止网络协议Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_ChangeBindState=dword:00000000禁止使用网络属性Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_LanProperties=dword:00000000禁止停用网卡Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_LanConnect=dword:00000000禁止重命名网卡Windows Registry Editor Version 5.00HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_RenameConnection=dword:000000003.禁止修改网卡属性由于禁止修改网卡属性只需要禁止属性选项卡的打开就可以，因此在以上网卡属性中只需要选择禁止使用网络属性即可，如果要防止用户手动禁用网卡，也可以加上禁止停用网卡，因此为了实现禁用网络属性和禁止停用网卡的功能，需要在注册表中添加如下注册表键值：HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork ConnectionsNC_EnableAdminProhibits=dword:00000001（这个是总控制开关，只有该键值数据为1，Network Connections下的其他与网卡属性相关的键值数据代表的功能才会生效）NC_LanProperties=dword:00000000（禁止使用网络属性）NC_LanConnect=dword:00000000（禁止停用网卡）当在注册表中添加了以上注册表键值之后，就可看到如下效果：双击桌面右下角的网络连接图标“”：打开“网络连接”页面，右键点击本地连接：这样就不能修改IP地址或者其他网卡属性了，当然还可以通过网卡属性中的其他选项禁止查看网络状态，禁止重命名网卡等，只需要在HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsNetwork Connections项下添加相对应的注册表键值即可（见2.网卡属性相关的注册表键值），需要保证NC_EnableAdminProhibits的数据为“00000001”。4.天珣注册表保护策略配置在天珣系统中有注册表保护功能，只要将禁止修改网卡属性相关的注册表项和键值配置成天珣策略即可，配置步骤如下：打开“安全基线”“终端安全加固”“注册表保护”：点击“添加”按钮，填写策略名称之后点击“注册表项目”右边的“查看及编辑”添加需要保护的注册表项：点击“添加注册表项”添加注册表项或键值：将需要保护的注册表项或键值填好之后保存（如需保护其他的注册表项或键值，只需要在这里添加即可）：再返回注册表保护策略配置页面应用到对应的IP组：然后保存该策略，更新客户端策略之后，只要