如何拦截修改IP地址的IRP？

因工作需要禁止用户修改Windows系统的IP参数（控制面板），否则关键业务系统会出现混乱。根据微软DDK描述，修改请求发往TDI提供者或NDIS微端口。本人希望通过拦截发往该两者的IRP来实现拒绝修改的请求。但据我用IRPTrace软件观察，在修改IP过程中的IRP包，无法确定体现该修改行为特征的IRP包数据，只有IRP_MJ_CREATE/DEVICE_CONTROL/CLEARUP/CLOSE派遣。
IoControlCode也只有IOCTL_0x17003E，无法区分发送修改数据的IRP是哪个？麻烦各位高手给与指点，谢谢。QQ：597972451