（8）在帳號(hào)屬性中設(shè)立鎖定次數(shù)，比如改帳號(hào)失敗登錄次數(shù)超過(guò)5次即鎖定改帳號(hào)。這樣可以防止某些大規(guī)模的登錄嘗試，同時(shí)也使管理員對(duì)該帳號(hào)提高警惕。

4．安全日志：

Win2000的默認(rèn)安裝是不開(kāi)任何安全審核的！
那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：
賬戶管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪問(wèn) 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問(wèn) 失敗
賬戶登錄事件 成功 失敗
審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看，這樣就失去了審核的意義。 與之相關(guān)的是：
在賬戶策略->密碼策略中設(shè)定：
密碼復(fù)雜性要求 啟用
密碼長(zhǎng)度最小值 6位
強(qiáng)制密碼歷史 5次
最長(zhǎng)存留期 30天
在賬戶策略->賬戶鎖定策略中設(shè)定：
賬戶鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 20分鐘
復(fù)位鎖定計(jì)數(shù) 20分鐘
同樣，Terminal Service的安全日志默認(rèn)也是不開(kāi)的，我們可以在Terminal Service Configration（遠(yuǎn)程服務(wù)配置）-權(quán)限-高級(jí)中配置安全審核，一般來(lái)說(shuō)只要記錄登錄、注銷事件就可以了。

5.目錄和文件權(quán)限：

為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，我們還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限，NT的訪問(wèn)權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶（Everyone這個(gè)組）是完全敞開(kāi)的（Full Control），你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。
在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則：
1>限是累計(jì)的：如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限；
2>拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）如果一個(gè)用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。所以請(qǐng)非常小心地使用拒絕，任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無(wú)法正常運(yùn)行；
3>文件權(quán)限比文件夾權(quán)限高
4>利用用戶組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一；
5>僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障；

6.只安裝一種操作系統(tǒng)；
說(shuō)明：安裝兩種以上操作系統(tǒng)，會(huì)給黑客以可乘之機(jī)，利用攻擊使系統(tǒng)重啟到另外一個(gè)沒(méi)有安全設(shè)置的操作系統(tǒng)（或者他熟悉的操作系統(tǒng)），進(jìn)而進(jìn)行破壞。

7.安裝成獨(dú)立的域控制器（Stand Alone）,選擇工作組成員，不選擇域；