本文介绍Windows系统的IP地址被异常修改的原因及解决方案。
问题描述
用户发现Windows系统的IP地址被异常修改,例如静态地址变为动态获取地址,或者静态地址被设置为别的IP地址。
问题原因
在某些情况下,可能导致IP地址丢失的原因如下所示。
杀毒软件或者安全防护软件的影响。
人为的误修改操作。
第三方软件异常修改IP地址配置。
病毒的影响。
操作系统注册表损坏。
解决方案
Windows系统的IP地址的配置存储在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces注册表中对应网卡的GUID对应值,因此可以在配置中确认是哪种现象。
如下图所示,Interface中的
{7f9fdbaf-2b18-4662-8f7f-0c319faa0192}
对应本地的一块虚拟网卡,该网卡配置了静态IP地址为192.X.X.1 , 该网卡没有配置DNS地址,所以NameServer对应值为空。为了定位问题原因,可以通过启用组策略的注册表进行访问审核,以及在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces中添加审核Everyone的SetValue以及Delete行为来定位是哪个应用程序的原因。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces上右键选择权限,开启审核该键值和其下所有子键值(This key and subkeys), 添加审核Everyone的SetValue以及Delete行为。
开启组策略的注册表审核。
以管理员身份登录系统,在运行框中输入gpedit.msc,然后单击确定。
依次选择计算机配置 > Windows设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 - 本地组策略对象 > 对象访问。然后右键选择审核注册表,并选中成功和失败。
查看改动注册表的问题。
在问题再次发生后,在运行框中输入eventvwr,然后单击确定,打开事件查看器,依次选择Windows 日志 > 安全,可以发现Microsoft Windows 安全审核存在的修改了注册表值相关日志,根据日志确认问题并解决。如下图所示。