2000系統(tǒng)安全一直以來是網管們頭疼的問題，雖然現在已經出了win2003，但是還有很多人使用2000系統(tǒng)，其實只要你正確的設置系統(tǒng)再加上安全軟件基本上就可以保證安全性大大提高，但是沒有絕對安全的設置，每個系統(tǒng)都有漏洞，攻與防永遠是對立的。下面介紹基本上全部是2000的自身設置，沒有用任何的安全軟件。有關2000系統(tǒng)的安全加固過程簡單的描述如下：
1. 安裝一個最小化的操作系統(tǒng)和一個最新的服務包；
2. 安裝你要在主機上運行的應用程序并配置；
3. 重新申請服務包，安裝最新的安全補丁；
4. 刪除或禁用操作系統(tǒng)中不必要的服務和組件；
5. 加固操作系統(tǒng)的其他部分；
6. 為文件和其他對象設置嚴格的訪問控制權限。
下面詳細解釋執(zhí)行的步驟：
1. 安裝最小化的操作系統(tǒng)注意事項：從一個干凈的系統(tǒng)開始，不要在主機上安裝多系統(tǒng)啟動，防止經由其他系統(tǒng)啟動控制造成的破壞。只使用NTFS分區(qū)作為文件系統(tǒng)分區(qū)，因為他提供了日志檢查信息。此外必須使用NTFS才能對文件使用DACL，達到訪問控制安全的目的；只安裝TCP/IP協(xié)議，不安裝其他的任何協(xié)議，在選擇安裝程序時不要安裝任何額外的程序和服務；如果安裝了服務器版本的win2000，要把他配置成standalone（獨立服務器）模式。
2. 安裝和配置應用程序及服務程序：不要安裝任何的多余的程序，小心安裝采用服務和應用程序，盡量選擇最新的安裝和服務版本。在你的系統(tǒng)上安裝配置正常使用的應用程序，在你的系統(tǒng)上安裝配置你選擇好的用來提供網絡服務的程序。了解你要安裝的程序是否存在安全缺陷；在高安全性要求的應用環(huán)境中，不要安裝MS-ofiice或任何開發(fā)工具。可用執(zhí)行程序越少越好。
3. 重新申請服務包，安裝最新的安全補丁：微軟提供了windows update程序可以直接連接到微軟的下載站點獲得更新的hotfix，即大的服務包發(fā)布之后發(fā)布的安全補丁程序，通常用來彌補近期發(fā)現的安全漏洞。
4. 配置操作系統(tǒng)提供的服務：禁止操作系統(tǒng)提供的一切不必要的服務，對于有其他要求的系統(tǒng)服務可視情況開啟，但原則上應盡量避免使用微軟提供的系統(tǒng)服務。
可設置為自動啟動的服務：
event log事件日志記錄
logical disk manager(LDM)磁盤管理需要
network connections網絡管理需要
plug and play硬件設備即插即用需要
protected storage保護性存儲需要
remote procedure call (RPC)系統(tǒng)進程間調用需要
security accounts manger (SAM)帳戶管理數據需要
windows management instrumentation (WMI)管理控制需要
WMI driver extensions管理控制需要
可設置為手動啟動的服務：
DNS clinent僅當DNS啟動時需要
Runas service僅當需要runas命令時起用
IIS admin service微軟web服務需要
Logical disk manager administrative service磁盤管理需要
NT LM security support provider微軟web服務需要
Word wide web publishing service微軟web服務需要
5. 配置帳戶策略：右鍵點我的電腦，選擇“管理”在管理工具中打開本地安全策略調整密碼策略和帳戶鎖定策略，設置如圖：
6. 帳戶管理注意事項：（1）帳號盡可能少且盡可能少用來登陸，網站帳好一般用來做系統(tǒng)維護的，多余的帳號一個也不要。（2）除administrator外，有必要再增加一個屬于管理員組的帳號，，一方面防止管理員一旦忘記密碼，還可以用另外一個帳號，一方面發(fā)現被攻破一個帳號還可以用另外一個帳號。（3）所有帳號權限需要嚴格控制，輕易不給管理權限。（4）將administrator重命名，改成一個不容易被猜到的，防止黑客對帳號密碼的猜測行為。（5）將guest帳號禁止，同時重命名一個復雜的名字，并增加口令，防止被黑客提升權限。（6）給所有用戶帳號一個復雜的口令，且必須同時包含數字、字母和特殊字符。長度最少8位以上。（7）在帳號屬性中設立鎖定次數，可以防止某些大規(guī)模的登錄嘗試。
7. 配置日志審核：微軟默認的日志審核是關閉的，必須手動啟動。打開“管理工具”“本地安全策略”“本地策略”“審核策略”和“管理工具”“事件查看器”設置如下：
審核策略更改——成功、失敗
審核登錄事件——成功、失敗
審核對象訪問——失敗
審核目錄服務訪問——失敗
審核特權使用——審核系統(tǒng)事件——成功、失敗
審核帳戶登錄事件——成功、失敗
審核帳戶管理——成功、失敗
8. 禁用NETBIOS接口：NETBIOS接口用來在兩臺或兩臺以上運行NETBIOS應用程序的計算機之間解吸名字，建立連接和支持可靠數據傳輸。他是為了兼容以前通用的CIFS/SMB協(xié)議。該協(xié)議會導致計算機信息泄露以致于建立空會話漏洞。可以在網絡連接的屬性中禁止“microsoft網絡文件和打印機共享”。
選中圖中的internet協(xié)議（TCP/IP）然后選“屬性”“高級”然后選中“禁用TCP/IP上的NETBIOS”。
9. 保護系統(tǒng)帳號數據庫：直接在開始運行中輸入syskey指令，在出現的框中選擇“起用加密”然后再選“更新”，然后出現選擇項，你可以選擇“密碼啟動”也可以選擇“系統(tǒng)自動產生密碼”。為防止原來的密碼泄露，還要從WINNT/REPAIR目錄中刪除SAM文件。
10. 設置特權和權利：win 2000提供對用戶權利設定的安全機制，使用他可以設置任意指定用戶在操作系統(tǒng)擁有的可操作范圍。我們可以在“控制面板”“管理工具”“本地安全策略”中對應用戶權利指派的部分設置列表。具體設置大家一看就知道
11. 使用win2000的文件加密功能：直接在文件或文件夾上單擊右鍵彈出屬性對話框，在“常規(guī)”上選擇“高級”，選擇“加密內容以保護數據”。確定后退出。在最后確定時如果是應用在文件夾上，系統(tǒng)會提示是否包括文件夾中全部文件，推薦包括整個文件夾。注意，win2000文件加密并不能防止文件被相應權限的用戶刪除，為了資料數據的安全，建議還是經常備份。
12. 不記錄系統(tǒng)失敗的調試信息：系統(tǒng)失敗的調試信息存儲在內存轉儲文件中，當系統(tǒng)崩潰時可以為除錯提供信息，不過轉儲文件的存在還會泄露其他的信息，列如應用程序的密碼。在“我的電腦”點右鍵，彈出“屬性”選項，在“高級”頁選中“啟動和故障恢復”，在“寫入調試信息”中選“無”。
13. 配置TCP/IP篩選：win2000提供了一定的網絡流量過濾功能來保障TCP/IP的安全，但需要手動設置。點網絡連接的圖標，選擇“網絡與拔號連接”，在常規(guī)中選擇“internet協(xié)議（TCP/IP），然后點“屬性”“高級”“選項”。點“TCP/篩選IP”“屬性”，然后設置。選擇“起用TCP/IP篩選（所有適陪器）”全部選擇“只允許”，TCP端口添加80端口。
14. 禁止從光盤和軟盤自動啟動：主要是為了防止惡意用戶里喲內微軟的光盤自動啟動執(zhí)行非法文件和惡意訪問系統(tǒng)，可以從BIOS設置中禁止光盤和軟盤自動啟動，并設置BIOS密碼防止惡意修改。
15. 使用一個有密碼的屏保：啟動有密碼的屏幕保護程序，防止管理員暫時離開時非法的物理訪問，怎么設置我就不用多說了，相信都知道。
16. IE瀏覽器安全：取消瀏覽器自動完成功能，在“控制棉板”的“internet選項”的“內容”頁，選擇“自動完成”，取消表單和表單上的擁護名和密碼部分，并清除下面的歷史記錄；同上，在“internet選項”上的“高級”頁，選擇“不將加密的也面存入硬盤”以及“關閉瀏覽器時清空internet文件夾”；在對應的目錄中經常性的清除歷史記錄等。
17. Outlook Express安全：防止病毒調用運行.VBS，.JS等腳本文件，在運行分別運行以下兩個命令：“regsvr32 /u wshom.ocx”和“regsvr32 /u wshext.dll”。恢復操作是把/U去除。
18. 刪除所有網絡資源共享：控制面板—計算機管理—共享文件夾—停止共享，然后把里面的所有默認共享全部停止，不過IPC共享服務器每啟動依次都會打開，需要重新停止。
19. 系統(tǒng)啟動時的等待時間設置為0秒：控制面板—系統(tǒng)---啟動/關閉，將列表顯示的默認值為30改為0或者在boot.ini里將TIMEOUT的值改為0。
20. 只開放必要端口：除必要端口外，關閉其他的端口，特別是139、445更危險端口，缺省下所有端口都是開放的。
21. 只保留TCP/IP協(xié)議：刪除NETBEUI、IPX/SPX協(xié)議，只保留TCP/IP協(xié)議，網站需要的通訊協(xié)議只有TCP/IP協(xié)議，其他的協(xié)議沒任何用處，放在網站上反而會被某些黑客工具利用。
22. 防火墻和殺毒軟件要經常開著，作為網管的安全人員要經常瀏覽一些安全站點，關注最新漏洞，及時更新最新的補丁。