Доброго времени суток.

Ситуация собственно следующая. Есть сервер, который крутится на платформе win2003. На нём подняты MSSQL, FTP (Serv-U), Apache и игровой сервер Lineage. Моя цель - сделать его как можно более защищённым. У меня есть кое-какие мысли и я бы хотел ими с вами поделится. Я буду премного благодарен, если вы предложите решения на некоторые вопросы. Собсно, начнём =).

На компьютере на данный момент есть 2 пользователя - администратор (A) и юзер (U). Оба они входят в группу Remote Desktop Users, т.е. имеют удалённый доступ к серверу. Вопрос номер один. Что бы вы посоветовали, использовать стандартное подключение к удалённому рабочему столу, или установить средства удалённого урпавления, типа радмин? Идём дальше. Игровой сервер на данный момент запускается из-под привелегий А. Сама же серверная часть игры тесно сотрудничает с базой данных MSSQl. MSSQL делает ежечасный бэкап бд на другой логический диск. Столкнусь ли я с какими-либо проблемами, если запрещу U доступ ко всем папкам, кроме папки игрового сервера, и буду запускать сервер игры и сервис MSSQl от имени U? Немного на счёт повышения безопасности MSSQL. Пользователь sa удалён, остался только тот, который напрямую работает с игровой бд. Про бэкапы я уже рассказал. Удалённое подключение к бд разрешено (иначе никак). Если есть какие-либо решения, которые могут теоретически и практически повысить уровень секьюрности, я готов их выслушать. На машине параллельно крутится фтп-сервер. Его баннеры я изменил. Что я ещё могу сказать.... Крутится NOD с запланированными обновлениями и сканами. Было желание установить Outpost, но что-то руки никак не дошли =). Какие плагины посоветуете для него? Или вообще его не стоит ставить? Стоит ли в данном случае придерживаться правила "всё что не разрешено - запрещено"? Если нет, то какие порты прикрыть наглухо и какие открыть? Следющий вопрос на счёт аудита событий\логов. Есть ли более удобный фишки, чем то, что по дефолту стоит в винде? Интересуют фичи как отправка потенциально опасных на email, и т.д.. На повестке ещё один - стоит ли поднимать на сервере ханейпоты? Если мне не изменяет память, honeyd есть и под винду. Или под винду накодили уже более извращённые ханейпоты =))? Так же есть желание жестоко разграничить права доступа, т.е. фтп сервер запускать из-под пользователя ftp, апач из под apache и т.д.. Но опять траблы - фтп не хочет работать даже из под Powered User. Так же на сервере стоит монитор, который проверяет доступность фтп и апача и при надобности перезапускает эти сервисы.

ну в общем-то всё, ситуация описана, вопросы заданы.

Если у вас есть что сказать, дополнить, предложить - я буду только рад.

Заранее спасибо.

ПС
В HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA у параметра restrictanonymous стоит значение 0. Стоит его изменить на 1?