一、背景

因基础环境要求,当用户订购0带宽租户产品时,且租户AD和DNS是运行公网的,而我们需要防止用户通过网络配置窗口或cmd命令修改网络,从AD跳转访问公网,本文将对此简述如何配置实现。

二、实现过程

2.1、域控配置组策略限制特定受管客户机无法通过界面修改网络配置

这里我们用禁止服务的办法(但这会导致用户误解网络连接问题)。Network Connections服务管理“网络和拨号连接”文件夹中对象,在其中可以查看局域网和远程连接。如果停止该服务,用户将不能访问本地连接来更改IP地址。
在这里插入图片描述
如上图所示,配置Network Connections服务,开启不自动启动,改为手动;且只允许domain Admins组能够完全控制,其他所有人(everyone)只读。

完成后客户机上应用(gpupdate /force),这时可发现,右下角网卡图标显示红叉了,且网络服务显示灰色,不可操作状态:
在这里插入图片描述
2.2、禁止访问网络协议属性

导航到“用户配置”――“管理模板”――“网络”――“网络连接”,将“禁止访问LAN连接组件的属性”设置为“已启用”:

在这里插入图片描述
这样就把用户访问网络协议属性的功能禁用掉了,从而实现禁止用户私自修改IP的功能。

2.3、禁止启用/停用网卡

同上位置,将“启用/禁用 LAN 连接的能力”设置为“已禁用”后确定即可。

2.4、禁止安装和卸载网络协议

同上位置,把“禁止添加或删除用于 LAN 连接或远程访问连接的组件”设置为“已启用”,然后点击“确定”,从而可以禁止安装和卸载网络协议。
在这里插入图片描述

2.5、绑定IP和MAC,拒绝克隆MAC跳过mac过滤

克隆MAC上网的问题,可以通过绑定每台的IP/MAC来预防。可以在cmd提示符下输入命令:ARP - s IP MAC,即可把MAC地址和IP地址捆绑在一起。IP多的情况可以把这个命令保存到.BAT文件,然后放到启动项里。

2.6、拒绝执行cmd和poershell:

“用户配置”–“策略”–“管理模板”–“系统”,在右侧可以看到“阻止访问命令提示符”,修改为是。
在这里插入图片描述
在这里插入图片描述
:如果选择“是”则之前设置的自动生成桌面图标则不能运行,同时也应该注意系统升级或某些软件的安装与升级有的需要重启时运行本身的bat程序,也将会受限。如选择为“否”。 则新生成的用户都能进行桌面图标的生成。这样相当于cmd并没有完全的禁用,在电脑启动时是仍可以加载cmd运行命令。

或可通过注册表来实现,导航到HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows,“新建”子菜单,然后选择“项”,键命名为System,System(文件夹)键,选择“新建”子菜单,然后选择“DWORD(32位)值”,键命名为DisableCMD,值从0改为2(禁用命令提示符,同时允许批处理文件在电脑上运行,值为1表禁用命令提示符,同时阻止批处理文件在Windows 10上运行。);完成后重启电脑。

另,上述设置仅对当前登录用户有效,对Users、System、NetworkService以及其他用户均无效。

1)对于特定程序,可导航到“用户配置-管理模板-系统-不要运行指定的 Windows应用程序”,禁止特定程序运行,或注册表导航到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,新建DWORD值,名称为DisallowRun,值为1,然后在Explorer键下建一主键,名称为DisallowRun,接着在DisallowRun下建一字符串值,名称任意,可以随便设一个数,值为要禁止运行的程序的名称,如 “qq.exe”,操作完成后需要注销或重启桌面,以后在资源管理器中运行QQ时,就会提示“本次操作由于这台计算机的限制而被取消”。

2)通过映像劫持禁止某程序运行
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键,在它下面建一主键,名称为要禁止运行的程序名,如“qq.exe”,然后再在qq.exe下建一字符串值,名称为Debugger,最好是把值设为 ntsd -d,这样这个程序就不能运行了。

同:reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Route.exe” /v “Debugger” /d “ntsd -d” /t REG_SZ /f

2.7、拒绝系统登录界面显示网络连接图标

计算机配置->管理模板->系统->登录,点击打开右侧“不显示网络选择UI”,启用即可,这样,WIN10 登录界面就不现实网络连接图标了,也就无法修改网络设置了。
在这里插入图片描述

Logo
魔乐社区

魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。

更多推荐

cover

全家桶集齐!Qwen3.5四款小模型上线魔乐社区,附昇腾全套实践教程

avatar 魔乐社区

Pont - 搭建前后端之桥:高效、灵活的接口管理工具

Pont 是一款强大的数据服务层解决方案,它能够帮助开发者快速搭建前后端之间的桥梁,实现接口的高效管理和代码自动生成。无论是新手还是有经验的开发者,都能通过 Pont 轻松处理接口文档、生成类型安全的 API 代码,从而显著提升开发效率。[![Pont 工具标志](https://raw.gitcode.com/gh_mirrors/po/pont/raw/3f1b7d4bbba3fd2dda

avatar 魔乐社区

如何快速上手 hvac:HashiCorp Vault Python 客户端零基础入门指南

**hvac** 是 HashiCorp Vault 的 Python 3.X 客户端库,专为开发者提供简单高效的 Vault 交互方式。无论你是需要管理密钥、配置身份验证,还是实现安全的秘密数据存储,hvac 都能帮助你轻松搞定 Vault 的各项操作。本文将带你零基础快速入门,从安装到基础操作,让你在几分钟内即可上手使用这个强大的工具。[![hvac 客户端 Logo](https://r

avatar 魔乐社区