6．開啟帳戶策略

　　策略 設(shè)置

　　復(fù)位帳戶鎖定計(jì)數(shù)器 20分鐘

　　帳戶鎖定時(shí)間 20分鐘

　　帳戶鎖定閾值 3次 　　　

　　7．設(shè)定安全記錄的訪問權(quán)限

　　安全記錄在默認(rèn)情況下是沒有保護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。
　　
　　8．把敏感文件存放在另外的文件服務(wù)器中

　　雖然現(xiàn)在服務(wù)器的硬盤容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件，數(shù)據(jù)表，項(xiàng)目文件等)存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。
　　
　　9.不讓系統(tǒng)顯示上次登陸的用戶名

　　默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶明，本地的登陸對(duì)話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登陸的用戶名，具體是：

　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

　　把 REG_SZ 的鍵值改成 1 .　　　

　　10．禁止建立空連接

　　默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接： 起源網(wǎng)

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
　　
　　10.到微軟網(wǎng)站下載最新的補(bǔ)丁程序

　　很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點(diǎn)安全漏洞，經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的service pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。 　
　　
　　高級(jí)篇： 　　　

　　1. 關(guān)閉 DirectDraw

　　這是C2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存的要求。關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX的程序有影響（比如游戲，在服務(wù)器上玩星際爭霸？我暈..$%$^%^&??），但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都應(yīng)該是沒有影響的。 修改注冊(cè)表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為 0 即可。 　　　

　　2.關(guān)閉默認(rèn)共享

　　win2000安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對(duì)它不陌生。要禁止這些共享 ，打開 管理工具>計(jì)算機(jī)管理>共享文件夾>共享 在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，不過機(jī)器重新啟動(dòng)后，這些共享又會(huì)重新開啟的。

www.

　　默認(rèn)共享目錄 路徑和功能 　　　

　　C$ D$ E$ 每個(gè)分區(qū)的根目錄。Win2000 Pro版中，只有Administrator

　　和Backup Operators組成員才可連接，Win2000 Server版本Server Operatros組也可以連接到這些共享目錄ADMIN$ %SYSTEMROOT% 遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向Win2000的安裝路徑，比如 c:\winntFAX$ 在Win2000 Server中，F(xiàn)AX$在fax客戶端發(fā)傳真的時(shí)候會(huì)到。IPC$ 空連接。IPC$共享提供了登錄到系統(tǒng)的能力。

　　NetLogon 這個(gè)共享在Windows 2000 服務(wù)器的Net Login 服務(wù)在處理登陸域請(qǐng)求時(shí)用到

　　PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠(yuǎn)程管理打印機(jī) 　　

　　解決辦法：

　　打開注冊(cè)表編輯器。REGEDIT

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

　　在右邊建立一個(gè)名為AutoShareServer的DWORD鍵。值為0

　　3.禁止dump file的產(chǎn)生

　　dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它，打開 控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù) 把 寫入調(diào)試信息 改成無。要用的時(shí)候，可以再重新打開它。