请教win2000服务器的安全配置

请教各位大虾win2000高级服务器版的安全配置，现把我的机器说一下。
装的win2000高级服务器版本，除了支持asp外，还支持php，数据库支持access，mssql，mysql。
目前已经进行的配置如下：
打上了sp4最新系统补丁，装了杀毒软件和blackice黑客防火墙，serv_u，mssql，pcanywhere等常用软件。iis默认已经支持了asp程序，为了支持php在C盘装了php和mysql，目录就是常用的c:\php和c:\mysql，文件系统全部是NTFS。IIS配置基本上做好了，删除了多余影射，无用虚拟目录，设置了另外的默认虚拟目录，C盘的interplub基本上无用了(本来整个目录都删除了的 ，不过重启IIS后就又有了一些文件产生出来，就没有管了)，IIS的安全日志换了目录(并且只让管理员有权限看，系统日志也设置了这个权限)。
帐户管理，加强了复杂密码控制，重命名了管理员帐户，并设置了陷阱帐户故意让黑客去钻，停用了guest帐户，并加了复杂密码，去除所有权限。帐户登陆管理上，做了锁定策略。本地安全策略也做了，加了各种审核。
去除了默认共享，取消了其余所有协议，只允许TCP/IP协议，禁止了netbois。
serv_u软件设置了密码，并做好了用户的权限控制。
在NTFS上面做的权限设置如下，去除了C，D，E盘everyone的所有权限(仅仅针对几个盘，不涉及下面各个目录)，只给予administrator和system完全控制权。C盘比较复杂，没有敢多动，自认为D盘(web盘)做了比较好的权限控制(教本目录给予读取，执行权限，没有给写权限)，而上传目录给予了读取和写入权限，没有给执行权限。
目前系统允许asp和php程序没有问题
下面说说C盘下面的一些设置
对于winnt/system32 下面的cmd.exe，ftp.exe等都只给了administrator，system完全控制权。
目前唯一不放心的，是program files和winnt等重要目录的权限控制，没有敢改(曾经误删除winnt目录所有组的权限，导致只能重装系统，晕死了)，基本上还是默认的。(不过这两个目录everyone尽管存在，但是显示没有任何权限，是空的，一个没有选中)。
解析php的设置方面，php.ini给予了everyone读取权限，sessions目录给了everyone读取，写入权限。 mysql目录给了everyone读取，写入，列表目录三个权限。

我想问的问题是，目前我做的安全配置是否足够了？C盘的权限该如何加强设置呢，特别是那几个重要目录，而设置后不影响asp和php的解析，谢谢高手解答。

一、系统安装
1. 磁盘分区格式
1）一台要用来作为网络服务器的Windows Server，硬盘的分区格式一定要是NTFS，NTFS的分区格式远比FAT分区格式来得安全的多，在NTFS格式下，用户可以对不同的文件夹设置不同的的权限，增强服务器的安全性。
2）另一点要注意的是，我们对硬盘进行分区，最好是一次性进行，把分区都分成NTFS格式，可别先分成FAT格式，再进行转换，这样很容易导致系统出问题，甚至崩溃。
3）由于NTFS分区格式的特殊性，用户无法通过软盘启动进行杀毒，所以要提醒用户，一定要做好系统的防毒工作。
2. 操作系统安装
1）操作系统安装，一定要做到一台服务器只安装一个系统，才不会给居心不良的人有可乘之机，增加了服务器的安全隐患。
2）操作系统安装时，系统文件不要装在默认的目录(WINNT)，要选择安装一个新的目录进行安装；Web目录和系统不要放在同一个分区，防止有人通过Web权限漏洞，访问系统文件、文件夹。
3）安装完操作系统，一定要先更新系统必要的补丁，直到没有补丁可更新。
4）尽量少安装与Web服务不相关的软件。
二、系统设置
1. 帐户设置
1） 尽可能少的有效帐户，没有用的一律不要，多一个帐户就多一个安全隐患。
2） 可以有两个管理帐户，以防忘记密码，或者被人修改了密码，做后备用。
3） 要加强帐户管理，不要轻易给特殊权限。
4） 给管理帐户改名字，不要保留默认的名字，这个容易被猜到。其他非管理帐户也尽量遵循这一原则。
5） 将Guest帐户禁用，改成一个复杂的名称并加上密码，然后将它从Guests组删除。
6） 帐户密码规则，所有帐户（系统帐号除外）密码最好是8位以上，密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。
7） 帐户密码要定期进行更改，密码最好熟记在脑中，不要在其他地方做记录；另外，如果发现日志中有连续尝试登陆的帐户，要立即更改其帐户名及口令。
8） 在系统中加设帐户错误登陆锁定的次数，防止连续的登陆尝试，并能有效提高管理员的警惕性。
2. 网络设置
1）只保留TCP/IP协议，其他全部删除。
2）NetBIOS常常是网络黑客的扫描目标，这里我们要禁用它。
操作方法：网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。
3）只允许一些必要的端口
如：
21    TCP  FTP
25    TCP  SMTP
53    TCP  DNS
80    TCP  HTTP
1433  TCP  SQL SERVER
3389  TCP  TERMINAL SERVICES
5631  TCP  PCANYWHERE
等一些常用的端口。特别提醒：安装蓝芒域名虚拟主机关系系统需要开放19888端口。
4）
3. 删除没有必要的共享，提高安全性
操作方法：运行Regedit，
(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值
Name： AutoShareServer
Type：REG-DWORD
Value：0
(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值
Name：restrictanonymous
Type：REG_DWORD
Value：0
4. 修改权限
Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限，这样给服务器的安全带来了一定的安全隐患。我们建议，所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。
5. 修改计算机某些特性
操作方法：控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息->完成。
6. 禁止一些没有必要的服务。
具体操作位置：控制面版->管理工具->服务
需要停掉的服务，例如：Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。
7. 安全日志
Win2000的默认安装是不开任何安全审核的！
那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）->权限->高级中配置安全审核，一般来说只要记录登录、注销事件就可以了
8. IIS设置
只安装管理器、公共文档和WWW服务。
尽量减少IIS中没有必要的映射，大多数用户只留asp,asa就可以了。
Web目录需要IUSR读写权限，IIS中只开放读取权限。
有效利用IIS中IP禁止访问列表。
完善日志功能，以便查找问题，加强监控。
9. FTP设置
禁止对FTP的匿名访问。
注意用户权限的开放度。

谢谢

另外我遇到新问题，搞了接近2周都没搞定，服务商也说没什么问题，可是表现出来就是有问题嘛。
win2000服务器已经打到了sp4，解析asp始终不对，经常无法访问asp程序。起先可能是我C盘及其下面几个系统文件夹的权限设置问题，可是重装系统后，并没有改任何权限设置(只是C盘把everyone的完全控制权限去除，给了administrator和system的完全控制权，其他都没动)。刚开始也是一切正常，可是运行大概1天后asp程序又无法用了。php程序一点问题都没有，就是asp解析困难，重启服务器和IIS可以维持一段时间，可是过一会又不行了，晕死。

有人知道是什么原因吗，我怀疑是服务商本身的win2000系统有问题。另外我装了诺顿杀毒9.0企业版，在本地都有系统栏图标，右键也有扫描的快捷选项，可是服务器上面同样的装法，就是没有图标和右键选项，太奇怪了。

为什么不用2003？

另外我装了诺顿杀毒9.0企业版，在本地都有系统栏图标，右键也有扫描的快捷选项，可是服务器上面同样的装法，就是没有图标和右键选项，太奇怪了。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
我用的卡巴服务器版5.0也是这样，在服务器上只在后台运行

我觉得服务器调试通过后cmd.exe可以完全停用

对2000熟悉一点，2003没接触过。
又重装了一次系统，不知道能坚持多久，tnnd烂服务商，服务之差，说起就生气，真是倒霉。

用2003吧

2003能解决这个问题吗？
是不是access数据库造成的asp假死？