本文介紹Windows系統的IP地址被異常修改的原因及解決方案。
問題描述
使用者發現Windows系統的IP地址被異常修改,例如靜態地址變為動態擷取地址,或者靜態地址被設定為別的IP地址。
問題原因
在某些情況下,可能導致IP地址丟失的原因如下所示。
殺毒軟體或者安全防護軟體的影響。
人為的誤修改操作。
第三方軟體異常修改IP地址配置。
病毒的影響。
作業系統註冊表損壞。
解決方案
Windows系統的IP地址的配置儲存在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces註冊表中對應網卡的GUID對應值,因此可以在配置中確認是哪種現象。
為了定位問題原因,可以通過啟用組策略的註冊表進行訪問審核,以及在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces中添加審核Everyone的SetValue以及Delete行為來定位是哪個應用程式的原因。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces上右鍵選擇許可權,開啟審核該索引值和其下所有子索引值(This key and subkeys), 添加審核Everyone的SetValue以及Delete行為。
開啟組策略的註冊表審核。
以管理員身份登入系統,在運行框中輸入gpedit.msc,然後單擊確定。
依次選擇電腦配置 > Windows設定 > 安全設定 > 進階稽核原則配置 > 系統稽核原則 - 本機群組策略對象 > 對象訪問。然後右鍵選擇審核註冊表,並選中成功和失敗。
查看改動註冊表的問題。
在問題再次發生後,在運行框中輸入eventvwr,然後單擊確定,開啟事件檢視器,依次選擇Windows 日誌 > 安全,可以發現Microsoft Windows 安全性稽核存在的修改了註冊表值相關日誌,根據日誌確認問題並解決。