安全必须从整体上来考虑，就如一个木水桶，大多数木板都很高，只是有一块或两块板子较低，那么这只木水桶也不能装多少水。所以我们还需要从细微处考虑如何保障Windows 2000的安全。

一、查漏洞
当启动Windows 2000进入到登录验证的提示界面时，任何用户都可以打开输入法的帮助栏，利用其中的一些功能访问文件系统，这就是说我们可以绕过Windows 2000的用户登录验证机制，以最高管理员权限访问整个系统，这就是Windows 2000的输入法漏洞。所以要养成经常访问微软和一些安全站点的习惯，掌握最新的漏洞信息。另外还需要打上应用程序的补丁，如IE、Office等应用程序，谁都知道IE的漏洞导致Nimda病毒的攻击。

Windows 2000的补丁下载点：
http://www.microsoft.com/china/windows2000/downloads/sp3.htm

IE 5的补丁下载地点：
http://www.microsoft.com/china/ msdownload/internet/

Office、Outlook的补丁下载点：
http://www.microsoft.com/china/ msdownload/office/default.asp）

补丁应该在所有应用程序安装完之后再安装，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁的话可能无法起到应有的效果。

二、筑防火墙
虽然你可能在互联网的接入处安装了防火墙，但是仍然不能防范来自局域网内部的可能攻击，所以安装最新版的防火墙也是必须的，然后还要根据需要对防火墙的规则进行相应设置。如防御ICMP攻击和IGMP攻击，防止别人用Ping命令连接，禁止所有人连接等等规则，你都可以设置。这里推荐天网防火墙，诺顿安全特警，金山网镖等。

三、防病毒
如今病毒在互联网上传播的速度越来越快，甚至浏览网页都可能感染病毒，所以为防止感染病毒，最好安装一种防病毒软件进行实时监控，如诺顿、金山毒霸、瑞星等，并定期升级；另外不要随意下载和运行不明真相的程序。对待陌生邮件，我们应该做的是先用病毒软件扫描，再用木马清除软件扫描一下是否是木马，确定安全之后再打开。

四、撤共享
默认情况下，在Windows 2000中新增一个共享目录时，操作系统会自动将EveryOne这个用户组添加到权限模块当中，由于这个组的默认权限是完全控制，这样任何人都可以对共享目录进行读写。因此，在新建共享目录之后，要立刻删除EveryOne组或者将该组的权限调整为读取。右击“共享目录”，选择“属性”，进入“安全”的标签页面，选中“EveryOne”，将其权限调整为读取，或是点击右侧的［删除］按钮将其删除。

五、善用权限
在默认的情况下，Windows 2000系统中大多数的文件夹对所有用户（Everyone组）是完全开放的，我们必须根据用户应用的需要进行权限重设。在所选择的文件或文件夹的属性窗口的“安全”页面上可对各种用户的权限进行限制。如果在上部的列表里没有这个用户名和用户所在的组，那么你以这个用户名登录时，就无法访问这个文件夹。

在进行权限控制时，需遵循以下几个原则：

1. 利用用户组来进行权限控制。

2. 权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

3. 拒绝的权限要比允许的权限高（拒绝策略会先执行）。

4. 文件权限比文件夹权限高。

5. 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

6. 访问权限和共享权限的交叉时，取两个权限的交集。

需要说明的是：目录和权限的设置只能是针对在NTFS文件格式的分区才行。

安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。不要认为进行了安全配置的主机就是安全的，我们只能说一台主机在一定的情况下、一定的时间内是安全的，随着网络结构的变化，新的漏洞的发现，管理员、用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识贯穿整个过程才能做到真正的安全。