2000系统安全一直以来是网管们头疼的问题，虽然现在已经出了win2003，但是还有很多人使用2000系统，其实只要你正确的设置系统再加上安全软件基本上就可以保证安全性大大提高，但是没有绝对安全的设置，每个系统都有漏洞，攻与防永远是对立的。下面介绍基本上全部是2000的自身设置，没有用任何的安全软件。有关2000系统的安全加固过程简单的描述如下：

　　1. 安装一个最小化的操作系统和一个最新的服务包;

　　2. 安装你要在主机上运行的应用程序并配置;

　　3. 重新申请服务包，安装最新的安全补丁;

　　4. 删除或禁用操作系统中不必要的服务和组件;

　　5. 加固操作系统的其他部分;

　　6. 为文件和其他对象设置严格的访问控制权限。

　　下面详细解释执行的步骤：

　　1. 安装最小化的操作系统注意事项：从一个干净的系统开始，不要在主机上安装多系统启动，防止经由其他系统启动控制造成的破坏。只使用NTFS分区作为文件系统分区，因为他提供了日志检查信息。此外必须使用NTFS才能对文件使用DACL，达到访问控制安全的目的;只安装TCP/IP协议，不安装其他的任何协议，在选择安装程序时不要安装任何额外的程序和服务;如果安装了服务器版本的win2000，要把他配置成standalone(独立服务器)模式。

　　2. 安装和配置应用程序及服务程序：不要安装任何的多余的程序，小心安装采用服务和应用程序，尽量选择最新的安装和服务版本。在你的系统上安装配置正常使用的应用程序，在你的系统上安装配置你选择好的用来提供网络服务的程序。了解你要安装的程序是否存在安全缺陷;在高安全性要求的应用环境中，不要安装MS-ofiice或任何开发工具。可用执行程序越少越好。

　　3. 重新申请服务包，安装最新的安全补丁：微软提供了windows update程序可以直接连接到微软的下载站点获得更新的hotfix，即大的服务包发布之后发布的安全补丁程序，通常用来弥补近期发现的安全漏洞。

　　4. 配置操作系统提供的服务：禁止操作系统提供的一切不必要的服务，对于有其他要求的系统服务可视情况开启，但原则上应尽量避免使用微软提供的系统服务。

　　可设置为自动启动的服务：

　　event log事件日志记录

　　logical disk manager(LDM)磁盘管理需要

　　network connections网络管理需要

　　plug and play硬件设备即插即用需要

　　protected storage保护性存储需要

　　remote procedure call (RPC)系统进程间调用需要

　　security accounts manger (SAM)帐户管理数据需要

　　windows management instrumentation (WMI)管理控制需要

　　WMI driver extensions管理控制需要

　　可设置为手动启动的服务：

　　DNS clinent仅当DNS启动时需要

　　Runas service仅当需要runas命令时起用

　　IIS admin service微软web服务需要

　　Logical disk manager administrative service磁盘管理需要

　　NT LM security support provider微软web服务需要

　　Word wide web publishing service微软web服务需要