局域網中各工作站的TCP/IP參數，被隨意修改后，很容易造成IP地址沖突的現象，這會給局域網管理工作，帶來不小的麻煩。

　　那作為網管人員，有沒有辦法保護好自己的網絡，不讓別人隨意作主——非法修改IP地址呢？其實，很簡單，你只要參照下面的步驟，就能輕松避免IP地址被非法修改的麻煩！
　　
　　注冊表設置法
　　首先，需要將桌面上的“網上鄰居”圖標隱藏起來，讓其他人無法通過“網上鄰居”屬性窗口，進入到TCP/IP參數設置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵，然后在“Explorer”子鍵下面，創建一名為“NoNetHood”雙字節值，并將它設置為“1”，就可以了。
　　
　　其次，再將控制面板窗口中的“網絡”圖標，隱藏起來，那么其他人根本就打不開TCP/IP參數設置界面了。只要你打開“Windows\System\netcpl.cpl”文件，然后在[don't load]處，輸入一行形如“netcpl.cpl=no”的代碼，重新保存后，“網絡”圖標就從控制面板窗口中消失了。
　　
　　到了這里，所有可以修改IP的途徑都被“切斷”了，這樣其他人即使想修改IP地址，也無處下手了。當然，這種方法只能蒙蒙菜鳥網民，對于“大蝦”級的網民來說，幾乎就是聾子的耳朵——擺設。因為網民一旦找到“netcpl.cpl”文件，還是有辦法恢復“網絡”或“網上鄰居”圖標的，為此，你還需要進行下面的工作，才能真正意義上“切斷”IP的修改通道：
　　
　　依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵，然后在“Network”子鍵下面，創建一個名為“NoNetSetup”的雙字節值，并將它設置為“1”；之后，你再想打開“網上鄰居”或“網絡”屬性窗口時，將會得到無權訪問的提示。
　　
　　文件轉移法
　　上面的方法，只適合Windows 98操作系統，那如何在Windows 2000系統中禁止非法修改IP地址呢？
　　
　　其實，只要禁止打開“網絡和撥號連接”窗口，就能阻止其他人進入到TCP/IP參數設置界面，下面就是具體的操作步驟：
　　
　　打開WinNT系統安裝目錄中的System文件夾，將其中的“ncpa.cpl”文件，重新命名為其他名稱（注意喲，自己必須記得更名后的名稱，不然以后就無法恢復了），并將它保存到其他文件夾中，這樣，你就無法打開桌面上的“網上鄰居”屬性窗口了。
　　
　　小提示：“napa.cpl”文件對應著系統控制面板中的“網絡和撥號連接”功能，將該文件換名并移到其他位置保存時，你就應該不能打開“網絡和撥號連接”窗口了。可事實是，通過控制面板中的“網絡和撥號連接”圖標，還是可以打開該窗口的，這是為什么呢？原來，Windows 2000操作系統正常登錄時，“ncpa.cpl”文件會自動被調用，即使你已經將它移動到其他位置，系統還會將它自動恢復的。所以，你只有在純DOS環境下，將該文件移動到其他位置，才會徹底關閉“網絡和撥號連接”窗口。
　　
　　當然，還有一種比較簡單的方法，可以快速禁止打開“網絡和撥號連接”窗口：
　　
　　打開系統的運行對話框，執行“gpedit.msc”命令，在彈出的組策略編輯窗口中，依次展開“用戶配置”、“管理模板”、“任務欄和開始菜單”，在對應“任務欄和開始菜單”的右邊子窗口中，雙擊“從開始菜單刪除‘網絡和撥號連接’”選項，在彈出的圖1界面中，選中“啟用”選項，再單擊“確定”按鈕，就OK了！
　　


=700) window.open('http://bbs.network.ccidnet.com/attachment/Mon_0704/24_443551_727a4e6bead6267.gif');" src="http://bbs.network.ccidnet.com/attachment/Mon_0704/24_443551_727a4e6bead6267.gif" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0> 　

　　
圖1

　　那上面的方法，是不是就能確保其他用戶，無法修改Windows 2000系統網絡參數了呢？當然不是，在Windows 2000系統下，用戶還能在DOS環境下，利用Netsh命令，修改網絡參數，因此你很有必要將“WinNT\System”文件夾中的“netsh.exe”命令，隱藏起來，讓非法用戶無法找到它。隱藏“netsh.exe”命令最有效的方法，就是將它換名保存，并移動到其他位置，讓非法用戶無法在DOS環境下，訪問到它！
　　
　　地址綁定法
　　除了通過切斷修改IP的“通道”，來禁止其他人非法修改IP地址外，你也可以直接對指定IP地址，進行限制，讓其他人即使修改了地址，也無法進行網絡連接。在限制IP地址時，可以用地址綁定法來實現：
　　
　　首先將系統切換到DOS命令行狀態下，執行“ipconfig /all”命令，在彈出的圖2窗口中，將網卡的MAC地址、IP地址記錄下來；
　　


=700) window.open('http://bbs.network.ccidnet.com/attachment/Mon_0704/24_443551_041fe31ae25f8dc.gif');" src="http://bbs.network.ccidnet.com/attachment/Mon_0704/24_443551_041fe31ae25f8dc.gif" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
　　
圖2

　　下面在代理服務器端，將指定IP地址與對應的MAC地址，綁定在一起，以后即使有人在你的計算機中，修改了IP地址，他也無法通過代理服務器，進行網絡連接。例如，在綁定圖2窗口中的IP地址時，可以在DOS命令行中，執行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令，就能將靜態IP地址“10.168.160.10”和網卡的MAC地址“00-30-6E-36-5A-EF”綁定在一起了。
　　
　　在局域網中，使用代理服務器上網的工作站，都能通過上述方法，來限制修改靜態IP地址。要是日后需要為IP地址“松綁”的話，只要執行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
　　
　　要是你的局域網，使用的是三層交換機來連接各個工作站的話，那么你只需要在每一個交換端口處，對IP地址進行一下限定，讓其他人即使修改了IP地址，也無法通過交換機上網。