:) Сами же себе и ответили, причем развернуто :)
Думаю, файрволлы, права NTFS - слишком громоздко, службу сервера стопорить не стоит - многие серьезные программы ее требуют из-за MSDE. А вот политиками - в самый раз.

walentinИ чем всё таки можно будет протестировать то, что я в итоге получу?Чем-чем... Пользователями :) Кто же еще у нас за тестеров?

Вообще-то система считается достаточно защищенной (если речь не идет о серетном оборонном предприятии), если доступ к ней невозможен без ввода пароля. Если система пропатчена по-полной, а атакует не супердорогой гений-хакер, то так оно и есть. Т.о., достаточно сделать сложный пароль, добиться его неразглашаемости и расслабиться. В норме такую систему (2000/2003/ХР) не взломать без очень существенных затрат (даже не десятки тысяч "зеленых").
Если вариант с паролем все же кажется опасным, то можно дополнительно запретить доступ к компьютеру, НО: даже у политик другое назначение - они нужны не для запрета доступа, а для его разграничения - т.е. если надо кому-то только локально, а ому-то - только по сети, то милости просим.
Кстати, если вашему пользователю могут подсунуть код - по сети, мылом, через инет - то ставьте файрволл с защитой модулей и лишайте юзера прав на администрирование :)
Да, рекомендуется в параметрах безопасности убрать доступные для анонимного enumeration ресурсы.

walentinу меня пароли не особенно сложны, как раз по той причине, что их будут писать где не поподя, но и то, некоторые умудряются прилепить их на самое видное место ) Так с руководством договориться о штрафах в случае обнаружения админом пароля (под ковриком мышки, на мониторе, под клавиатурой. Особо мудрые на клавиатуре карандашом помечают). Мигом запомнят, нас так приучили технику уходя выключать и окна закрывать - пару раз забыл - и ползарплаты умерло