3．賬號(hào)安全：
    Win2000的賬號(hào)安全是另一個(gè)重點(diǎn)，首先，Win2000的默認(rèn)安裝允許任何用戶(hù)通過(guò)空用戶(hù)得到系統(tǒng)所有賬號(hào)/共享列表，這個(gè)本來(lái)是為了方便局域網(wǎng)用戶(hù)共享文件的，但是一個(gè)遠(yuǎn)程用戶(hù)也可以得到你的用戶(hù)列表并使用暴力法破解用戶(hù)密碼。很多朋友都知道可以通過(guò)更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止139空連接，實(shí)際上win2000的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制），這個(gè)選項(xiàng)有三個(gè)值：
0：None. Rely on default permissions（無(wú)，取決于默認(rèn)的權(quán)限）
1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號(hào)和共享）
2：No access without explicit anonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)）
    0這個(gè)值是系統(tǒng)默認(rèn)的，什么限制都沒(méi)有，遠(yuǎn)程用戶(hù)可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。
    1這個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息。
    2這個(gè)值是在win2000中才支持的，需要注意的是，如果你一旦使用了這個(gè)值，你的共享估計(jì)就全部完蛋了，所以我推薦你還是設(shè)為1比較好。

    好了，入侵者現(xiàn)在沒(méi)有辦法拿到我們的用戶(hù)列表，我們的賬戶(hù)安全了。慢著，至少還有一個(gè)賬戶(hù)是可以跑密碼的，這就是系統(tǒng)內(nèi)建的administrator，怎么辦？我改改改，在計(jì)算機(jī)管理->用戶(hù)賬號(hào)中右擊administrator然后改名，改成什么隨便你，只要能記得就行了。
    不對(duì)不對(duì)，我都已經(jīng)改了用戶(hù)名了，怎么還是有人跑我管理員的密碼？幸好我的密碼夠長(zhǎng)，但是這也不是辦法呀？嗯，那肯定是在本地或者Terminal Service的登錄界面看到的，好吧，我們?cè)賮?lái)把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon項(xiàng)中的Don’t Display Last User Name串?dāng)?shù)據(jù)改成1，這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶(hù)名。
將服務(wù)器注冊(cè)表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon項(xiàng)中的Don‘t Display Last User Name串?dāng)?shù)據(jù)修改為1，隱藏上次登陸控制臺(tái)的用戶(hù)名（哇，世界清靜了）。
　　 
4．安全日志：

    我遇到過(guò)這樣的情況，一臺(tái)主機(jī)被別人入侵了，系統(tǒng)管理員請(qǐng)我去追查兇手，我登錄進(jìn)去一看：安全日志是空的，倒，請(qǐng)記�。篧in2000的默認(rèn)安裝是不開(kāi)任何安全審核的！那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：
賬戶(hù)管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪問(wèn) 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問(wèn) 失敗
賬戶(hù)登錄事件 成功 失敗
    審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看，這樣就失去了審核的意義。

與之相關(guān)的是：
在賬戶(hù)策略->密碼策略中設(shè)定：
密碼復(fù)雜性要求 啟用
密碼長(zhǎng)度最小值 6位
強(qiáng)制密碼歷史 5次
最長(zhǎng)存留期 30天
在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定：
賬戶(hù)鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 20分鐘
復(fù)位鎖定計(jì)數(shù) 20分鐘

    同樣，Terminal Service的安全日志默認(rèn)也是不開(kāi)的，我們可以在Terminal Service Configration（遠(yuǎn)程服務(wù)配置）-權(quán)限-高級(jí)中配置安全審核，一般來(lái)說(shuō)只要記錄登錄、注銷(xiāo)事件就可以了。