安全地配置Windows 2000 Server应该从用户安全设置、密码安全设置、系统安全设置、服务安全设置四个方面进行设置。

    用户安全设置

    1、禁用Guest账号

    在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

    2、限制不必要的用户

    去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

    3、创建两个管理员账号

    创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。

    4、把系统Administrator账号改名

    大家都知道，Windows 2000 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

    5、创建一个陷阱用户

    什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

    6、把共享文件的权限从Everyone组改成授权用户

    任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

    7、开启用户策略

    使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

    8、不让系统显示上次登录的用户名

    默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

    密码安全设置

    1、使用安全密码

    一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

    2、设置屏幕保护密码

    这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

    3、开启密码策略

    注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。

    4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

在系统安全设置方面

　　1. 使用NTFS格式分区。NTFS分区要比FAT分区安全很多，且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x /FSNTFS（x为所要转换的盘符），执行时如果转换的是非操作系统所在分区，则立即执行分区转换；如果转换的是操作系统所在分区，则重启后执行分区转换。注意：此转换过程是单向不可逆的，即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换，但这样做不能保证绝对安全，在某些情况下会导致分区不可用，所以建议只用Convert命令来转换分区格式；如果非要用第三方工具，一定要事先做好备份。另外，据我个人经验，并不需要将所有分区都做成NTFS分区，而应保留一个分区为FAT32，用于存放一些常用工具，并可方便Ghost备份。

　　2. 到微软网站下载最新的补丁程序。强烈建议！这是每一个网络管理员都应该有的好习惯。这里说明一点：微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合，如果你经常做Hotfix补丁，那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的，而测试阶段可能又有新的Hotfix推出，当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。

　　3. 关闭默认共享。这里必须要修改注册表，否则每次重启之后默认共享还会出现。在注册表“HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下，在右栏空白位置点击鼠标右键，选择“新建”，再选“字符串值”，名称中输入：“delipc＄”，这里的名字可以随便取，然后双击它就会弹出一个窗口来，输入：“net share ipc＄ /del”，下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN＄。

　　4. 锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具，它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项，可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权，例如设置成只有Administrator才能读取和修改，不给其他人可乘之机。

　　在服务安全设置方面

　　1. 关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项，我们只好选用第三方工具，关闭一些关键端口，比如Telnet等。

　　2. 设置好安全记录的访问。Windows 2000操作系统自带了审核工具，默认不开启。如果一旦开启了审核策略，用户可以在事件日志里查看安全日志，里面会有详细的审核记录，审核通常为成功和失败两种。不过，建议平时不要常开安全审核，因为审核量很大，通常一个错误的密码输入就可以在日志中记录一页多的条目，非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志，就可以看到审核的消息。

　　3.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑，建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开，即不要用同一台服务器运行多种服务。同时，一定要进行及时、有效的备份，最好有一个详尽的备份计划。