3．賬號安全：
    Win2000的賬號安全是另一個重點，首先，Win2000的默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表，這個本來是為了方便局域網用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以通過更改注冊表Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous = 1來禁止139空連接，實際上win2000的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名連接的額外限制），這個選項有三個值：
0：None. Rely on default permissions（無，取決于默認的權限）
1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享）
2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許訪問）
    0這個值是系統默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum等等，對服務器來說這樣的設置非常危險。
    1這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。
    2這個值是在win2000中才支持的，需要注意的是，如果你一旦使用了這個值，你的共享估計就全部完蛋了，所以我推薦你還是設為1比較好。

    好了，入侵者現在沒有辦法拿到我們的用戶列表，我們的賬戶安全了。慢著，至少還有一個賬戶是可以跑密碼的，這就是系統內建的administrator，怎么辦？我改改改，在計算機管理->用戶賬號中右擊administrator然后改名，改成什么隨便你，只要能記得就行了。
    不對不對，我都已經改了用戶名了，怎么還是有人跑我管理員的密碼？幸好我的密碼夠長，但是這也不是辦法呀？嗯，那肯定是在本地或者Terminal Service的登錄界面看到的，好吧，我們再來把
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/winlogon項中的Don’t Display Last User Name串數據改成1，這樣系統不會自動顯示上次的登錄用戶名。
將服務器注冊表
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon項中的Don‘t Display Last User Name串數據修改為1，隱藏上次登陸控制臺的用戶名（哇，世界清靜了）。
　　 
4．安全日志：

    我遇到過這樣的情況，一臺主機被別人入侵了，系統管理員請我去追查兇手，我登錄進去一看：安全日志是空的，倒，請記?。篧in2000的默認安裝是不開任何安全審核的！那么請你到本地安全策略->審核策略中打開相應的審核，推薦的審核是：
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
    審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。

與之相關的是：
在賬戶策略->密碼策略中設定：
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定：
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘

    同樣，Terminal Service的安全日志默認也是不開的，我們可以在Terminal Service Configration（遠程服務配置）-權限-高級中配置安全審核，一般來說只要記錄登錄、注銷事件就可以了。