路由和远程访问中的限制

2000一共有3个地方可以做网络上的限制，一个是刚才的网卡属性，一个是路由和远程访问，一个就是IPSEC的安全策略了，我不喜欢最后这种方法主要是太麻烦而且设置比较复杂，相对来说还是前面两种比较简单易懂些。

首先在控制面板里面启动路由和远程访问，然后选择启动它。

选择其中的手动配置服务器就可以了。

服务启动完成以后，我们到IP路由选择项目下的常规中找本地连接的项目，选择你想要配置的网络地址然后双击它。

在本地了解属性里，有输入和输出两个筛选器可以让我们选择，这里其实就是最常见的一个简单的基于包过滤的防火墙一样

好的，我在这里做了一个设置是禁止外面人PING我的，我选择不回应这些PING包。

好了以后确定。

顺便启动碎片检查，然后确定就好了，这个设置是即时生效的不用重新启动非常方便的。我们可以看到在路由和远程访问中做的限制的方法非常方便而且很灵活你同时也可以用net sh在命令行下去控制这些筛选策略的生成和删除，具体的用法请参照2000自己带的帮助文件。

系统安全策略

在2000下系统安全策略已经是管理工具中的一部分了，你可以启动它很方便的去配置一些默认情况没有打开的额外的安全设置选项。

如果你不满足这里面的设置，其实还有一个东西比它还更强大就是在启动程序中启动gpedit.msc这个组策略的编辑器它里面可以设置的东西更多。

老实说这两个地址可以设置的选择实在是太多了，很难全部讲完需要系统管理员慢慢去摸索。

重要系统文件的权限设置

这是很有必要而且也最容易忽视的地方了，我们建议对一些重要的系统文件应该严格设置它的访问权限，默认安装的情况下很多文件都是everyone可以访问的，虽然没有权限修改但也是非常危险的了。尤其是像cmd.exe这样的文件更是应该如此的。

默认是这个样子的，可以看到任何人都有权访问cmd.exe。

我们应该去掉everyone对程序的访问权限。