结论与核心加固步骤：立即停止使用MSSQL2000，升级到支持版本如SQL Server 2019；更改默认sa密码为强密码；禁用不必要的服务如SQLAgent和FullText；设置Windows防火墙仅允许必要端口1433；应用所有可用补丁如MS02-061；定期备份并加密数据；限制远程访问，使用VPN。

MSSQL2000安全加固基础

1、修改sa密码：MSSQL2000默认sa密码为空，极易被暴力破解。使用Enterprise Manager右键服务器属性，安全选项卡，修改sa为复杂密码，至少12位，包含大小写、数字、符号。2、禁用guest用户：guest用户允许匿名访问，Enterprise Manager安全文件夹，删除所有数据库的guest用户。3、限制SQL Server登录：只允许必要Windows域用户登录，移除所有内置SQL登录。

网络安全防护

关闭不必要的端口：MSSQL默认1433、1434UDP端口，使用防火墙关闭或限制IP访问。禁用xp_cmdshell：xp_cmdshell允许执行系统命令，易被Slammer蠕虫利用。执行sp_configure 'xp_cmdshell', 0; RECONFIGURE;。启用SQL Server登录审计：记录失败登录尝试，便于发现攻击。

数据库权限管理

最小权限原则：为每个应用创建专用登录，只授予所需数据库读写权限，避免sysadmin角色。移除public角色权限：public默认有过多权限，如CREATE PROCEDURE，执行REVOKE ALL FROM public;。定期审查登录：使用sp_helplogins检查所有登录账户。

补丁与更新

应用关键补丁：MS02-039、MS02-056、MS03-031修复缓冲区溢出漏洞，必须安装。关闭Named Pipes：Named Pipes易被远程利用，Server Network Utility中禁用。隔离SQL Server：运行在低权限账户，非LocalSystem。

监控与备份

启用入侵检测：监控1433端口异常流量，使用IDS如Snort。定期备份：使用维护计划备份master、msdb和用户数据库，存储到离线介质。密码策略：强制密码过期，每90天更改一次。

常见漏洞修复

Slammer蠕虫防护：MS02-061补丁必装，禁用UDP1434。缓冲区溢出：升级SP4补丁包。弱认证：强制Windows认证模式，避免混合模式。

FAQ
Q: MSSQL2000还能安全使用吗？
A: 不推荐，已停止支持多年，漏洞众多，建议立即迁移。
Q: 如何快速更改sa密码？
A: Enterprise Manager > 服务器 > 属性 > 安全 > sa登录，设置新强密码。
Q: xp_cmdshell是什么风险？
A: 允许执行OS命令，攻击者可获shell，立即禁用。
Q: 防火墙怎么设置？
A: 仅允许信任IP访问1433端口，拒绝所有其他。