IPGUARD基本策略详解

通过基本策略可以规范网络内计算机的操作权限，限制客户端机器对计算机系统设置的任意修改，防止恶意或无意的破坏，增强计算机的使用安全性。

基本策略主要是通过修改注册表值来实现的。基本策略和设备控制策略与其他的策略不同，是一种状态维持的策略，而不是实时的触发策略；因此对策略的修改，删除等处理和其他的策略不同。

基本策略支持的项目包括：控制面板，计算机管理，系统，网络，IP/MAC绑定，ActiveX控件。

控制面板包括以下5项：

基本策略项	说明
控制面板	包括控制面板上的各个功能；
设置屏幕属性	限制客户端设置桌面，屏幕保护程序以及桌面外观等；
添加打印机	限制客户端添加打印机；
删除打印机	限制客户端删除打印机；
快速切换用户	禁止在Windows系统里通过切换用户的方式同时登录多个用户（仅XP系统有效）；
修改计算机名称	禁止客户端修改计算机名称。

计算机管理包括以下5项：

基本策略项	说明
设备管理器	限制客户端机器使用设备管理器；
磁盘管理	限制客户端机器使用磁盘管理；
本地用户和组	限制客户端机器使用本地用户和组的控制面板管理项；
系统服务管理	限制客户端机器使用系统服务管理；
其它计算机管理	限制包括：电脑管理、事件查看器、磁盘碎片整理和共享文件夹。

系统包括以下5项：

基本策略项	说明
任务管理器	限制客户端使用任务管理器；
注册表编辑器	限制客户端使用注册表；
命令提示符	限制客户端使用命令提示符，9x系统下是command程序，NT及以后版本操作系统下是cmd程序；
运行注册表中Run下的程序	如果模式为禁止，Run下的程序会在系统开机的时候不会启动，需注销或重启计算机生效；
运行注册表中RunOnce下的程序	RunOnce是指在开机的时候启动一次，下次开机就不会运行了，如果模式为禁止，则RunOnce下的程序不会启动，需注销或重启计算机生效。

网络包括以下6项：

基本策略项	说明
修改网络属性	限制客户端修改网络属性；
显示“网络邻居”	模式为禁止时，桌面上的网上邻居会隐藏，需要注销或重启生效；
修改Internet选项	限制客户端修改Internet选项设置；
默认网络共享	如果模式为禁止，客户端上的默认共享被禁止；
使用网络共享	如果模式为禁止，客户端不能共享本机文档；
增加网络共享	如果模式为禁止，客户端新增的网络共享会被禁止。

IP/MAC绑定

基本策略项	说明
修改网络IP/MAC配置	限制客户端修改网络属性； 为了禁止用户随意修改IP，可使用该功能禁止修改网络IP/MAC配置。设置策略后，客户端会保存当前的IP和MAC信息，一旦发现用户有修改，立即会改回保存的IP/MAC。 如果用户需要修改IP，需要先去掉该策略。

ActiveX控件包括以下4种控件：

基本策略项	说明
聊天类ActiveX控件	限制客户端使用聊天类ActiveX控件，用户使用聊天控件时会被禁止；
影音类ActiveX控件	限制客户端使用影音类ActiveX控件，一般在互联网上听歌或看视频文件会用到该类控件，禁止该项，用户无法听歌或播放视频；
游戏类ActiveX控件	互联网上的一些小游戏可能需要安装游戏类控件，禁止该项，此类小游戏无法正常运行；
FLASH类ActiveX控件	播放FLASH文件会用到该类控件，禁止该项，FLASH文件无法正常播放。

其它

基本策略项	说明
系统还原	为了防止客户端机器通过系统还原来卸载客户端，可以禁止该项，则系统还原功能被禁止。
使用Print Screen键复制屏幕	为了防止客户端机器通过使用Print Screen键复制屏幕，发现泄密风险，可以禁止该项，则Print Screen键无法使用
Windows自动更新	禁止该项，则Windows自动更新功能被禁止；

策略示例

假如您的需求是：在公司时禁止修改IP地址，但是允许回家或出差的时候修改IP。管理员可以对目标计算机（如整个网络）设置基本策略：

① 先设置一条策略，禁止 修改IP/MAC属性；
② 再设置一条离线策略，允许 修改IP/MAC属性 仅离线生效。

按照策略匹配原则，后设置的策略在上面，因此策略②优先于策略①，当离线状态时，策略匹配，允许修改IP/MAC；当在线状态时，与策略②不匹配，接着向下匹配策略①，条件满足，执行策略禁止修改IP/MAC属性。

注意 基本策略的修改网络IP/Mac配置，系统还原，网络共享对计算机有效，对用户是无效的。