Windows Server 2003 安全性指南
附錄 D:測試 Windows Serve 2003 安全性指南
更新日期: 2006 年 7 月 17 日
本頁內容
概觀
《Windows Server 2003 安全性指南》係用於提供經過證實且可重複運用的設定指南,藉以在各種環境中,保護執行 Microsoft® Windows Server™ 2003 SP1 的電腦。
《Windows Server 2003 安全性指南》的內容經實驗室環境測試,以確定其指示得如預期般運作。 本說明文件內容的一致性經過檢查,且其中所建議的一切程序皆經《Windows Server 2003 安全性指南》測試小組測試過。 進行這些測試是位了驗證功能,同時協助減少運用本指南來建立及測試建置成品者使用的資源。
範圍
本《Windows Server 2003 安全性指南》曾在模擬三種不同安全性環境的實驗室中測試-傳統用戶端 (LC)、企業用戶端 (EC),以專業安全性限制功能 (SSLF)。 這些環境在第 1 章<Windows Server 2003 安全性指南簡介>中說明過。測試係依據下面<測試目標>小節中說明的準則進行。
用於確保《Windows Server 2003 安全性指南》解決方案的測試實驗室環境之弱點評估並不在測試團隊的測試範圍內。
測試目標
《Windows Server 2003 安全性指南》係以下列幾點作為測試目標:
驗證本指南為三種安全性層級的安全性設定提出的建議變更。 變更的理由包括:
因 Windows Server 2003 專用之 SP1 發行所造成的變更。
使用 SP1 中新提供的「安全性設定精靈 (SCW)」,以及 Windows 防火牆等新功能。
公司內外對前一版指南內容提出的建言。
確保指南中,就安全性設定及設定變更所提出的建議符合 LC、EC,以及 SSLF 環境的要求。
確保經強化的網域成員伺服器能成功地完成其角色工作。
確保用戶端電腦和網域控制站間的通訊不會受到負面影響。
檢驗所有描述性的指示皆清楚、完整,且在技術上是正確的。
最後,該指示必須是具兩年經驗的 Microsoft 認證系統工程師 (MSCE) 可以重複執行且值得其信賴的。
測試環境
為測試本指南而建立的測試實驗網路與前一版指南所使用的網路很類似。 我們建立了三種彼此分離但類似的網路。每種預定環境使用一個。
每個測試網路包括 Windows Server 2003 SP1 Active Directory® 目錄服務樹系;提供網域控制站、DNS、WINS 及 DHCP 服務的結構伺服器角色電腦;以及其他提供檔案、列印,及 Web 服務等應用程式角色的電腦。 EC 網路並包括擔任「憑證服務」及 IAS 伺服器角色的電腦,SSLF 網路中則包括擔任「堡壘主機 (BH)」伺服器角色的電腦。 此外,EC 和 SSLF 網路尚包括 Microsoft Operations Manager (MOM) 2005 以及 Systems Management Server (SMS) 2003,以管理監控網域成員伺服器及用戶端電腦。 這些網路亦包括提供電子郵件服務的 Microsoft Exchange Server 2003。
不同網路中的用戶端電腦使用的是 Windows XP Professional SP2 及 Windows 2000 Professional SP4。 LC 網路中並包括執行 Windows 98 SR2 和 Windows NT® 4.0 Workstation SP6a 作業系統的電腦。
以下圖表是為 EC 環境開發的測試實驗室網路。
.gif)
圖 D.1 EC 環境之測試實驗室網路的邏輯圖
為了在兩個強化網域控制站間驗證重複的情境,Active Directory 樹系由兩個站台組成。 其中一個站台是主要辦公室站台,內含一個空的根網域;以及一個內含前述伺服器及用戶端電腦的子網域。 第二個站台僅由內含單一第二網域控制站的子網域組成。
以下圖表是為 SSLF 環境開發的測試實驗室網路。
.gif)
圖 D.2 SSLF 環境之測試實驗室網路的邏輯圖
測試方法學
本小節說明測試《Windows Server 2003 安全性指南》時所採用的程序。
測試小組建立了使用前節描述之三種網路的實驗室。 首先迅速進行概念驗證 (POC) 測試,然後進行兩個更為健全完整的測試循環。 每次操作時,測試小組都會盡力將解決方案的結果穩定下來。
測試週期定義為以下一系列階段:
安全性設定建置階段
手動設定階段
群組原則設定階段
測試執行階段
以下<測試操作之階段>小節中,有每一階段的詳細資料。 <測試準備階段>小節說明在三種環境經前兩個增量建置階段強化後,為確保實驗室環境裡沒有任何造成誤判實際實驗結果的因素所採取的步驟。 這又稱為「基線」狀態。
測試操作之階段
以下小節說明測試操作階段。 所有在建置階段中發現的重要問題都被視為錯誤,並在測試團隊進入測試執行階段前在該階段內解決。 本方法可確保網路建置了正確的安全性設定,並驗證測試結果的準確性。
測試準備階段
本階段設定基線設定。在「安全性設定建置」階段中,會將解決方案套用在本設定上。 下列步驟套用在 LC、EC,及 SSLF 這三種環境中:
若要完成測試準備階段
將電腦依網路圖表所示方式連成網路,並在所有伺服器及用戶端電腦中安裝適當版本的 Windows 作業系統。
建立並設定網域、網域控制站,及二個網站。
連接並設定每個成員伺服器及管理伺服器。 此外,並將用戶端電腦連接至網域。
對每個伺服器角色進行基本驗證測試,以確定網路及應用程式已正確設定。
檢查網路中所有成員伺服器的事件日誌,確定沒有應用程式層級或系統層級的錯誤。
確定用戶端電腦可存取由網域控制站及成員伺服器 (DNS、DHCP、CA、檔案、列印、網頁及郵件) 所提供的服務。 檢查用戶端電腦上的事件日誌,以確定沒有錯誤發生。
確定所有網域成員皆已安裝所有必備的應用程式、服務及代理程式。 例如,確認所有會被 MOM 伺服器管理的伺服器皆安裝了 MOM 代理程式。
完成前述步驟後,為每台電腦建立影像備份。 這些備份檔會在開始新的測試操作前,將網路「回復」到基線設定。
安全性設定建置階段
本階段的目標係根據指南中的程序設定網域、網域控制站,以及成員伺服器,使其比基線設定具有更高的安全層級。
手動設定階段
本階段通常是第一個安全性建置階段。 指南每一章節中提到的手動強化建議皆在本階段建置。
注意:您的網路可能適用其中某些步驟,有些則無法適用。 請小心檢閱每一道程序,以瞭解該程序對網路造成的影響。
若要執行手動設定階段
利用「Microsoft Management Console (MMC) 電腦管理」嵌入式管理單元,在每台成員電腦上進行前述原則設定變更 (例如本機系統管理員帳號及密碼)。 完成以下步驟以保護網域帳號:
確定內建的本機「系統管理員」帳戶有複雜的密碼、被重新命名了,且已將其預設帳號說明移除。
將主機上的 Guest 帳號重新命名並停用。
運用指南中與網域帳號的保護方法有關的其他建議。
依各章節之說明,將任何獨特的安全性群組或帳號加入使用者權利設定中。
依各章節之說明,完成所有可適用的手動強化程序。 例如,啟用「Manual Memory Dumps」及「錯誤」報告設定。
群組原則設定階段
本階段的目的,係在網域及組織單位 (OU) 層級套用群組原則物件 (GPO)。 GPO 係依據第二章<Windows Server 2003 強化機制>中的建議套用在不同的 OU 裡。
Windows Server 2003 的 Service Pack 1 推出一些新工具及新功能,造成群組原則建置設計與前一版不同。
SCW 是可減少受攻擊面的工具,可為本指南討論到的每一種伺服器角色建立一組必備的安全性原則。 SCW 的出現造成「群組原則設定階段」發生以下兩點重大改變:
前一版指南中提供的 IPsec 篩選器由以 SCW 建立的「Windows 防火牆」連接埠設定取代。
本指南中的安全性範本與 SCW 結合以建立 XML 安全性範本檔案。 這些範本之後會以 Scwcmd 命令列工具轉換為相對應的 GPO。
下列步驟在三種安全性環境裡皆重複執行過:
若要建立群組原則物件
請確定基線網路中每一個網域成員皆安裝好必要的應用程式、服務,及代理程式。 例如,請確定所有會由 MOM 管理的網域成員伺服器上皆安裝了 MOM 代理程式。
使用「MMC Active Directory 使用者及電腦」嵌入式管理單元來建立描述的 OU 結構。
以 .inf 安全性範本建立網域原則 GPO。 本步驟不需使用 SCW。
利用 SCW 工具為本指南中所描述的每一種伺服器角色建立以 XML 為基礎的安全性範本。 第 2 章<Windows Server 2003 強化機制>及各種伺服器角色專屬章節中有步驟的敘述。 當您執行本步驟時,請為各伺服器角色採用適當的 .inf 安全性範本。 本指南的下載版中亦包含範本檔案。
利用 Scwcmd 命令列工具將在上一步驟建立的 XML 安全性範本轉換為 GPO。
在「堡壘主機」伺服器上重複步驟 4 以建立「堡壘主機 XML」安全性範本,然後再次使用 SCW 將其轉換,並套用在「本機 GPO」中。
成功建好 GPO 後,請將設定與章節內的指示進行比較,以找出錯誤設定。
在本階段中,所有網域成員伺服器皆位於「電腦 OU」中。 之後這些伺服器會移動到「成員伺服器 OU」之下專屬的 OU 中。
下一項工作 (詳細描述於以下程序中) 係將這些 GPO 套用到個別 OU 上。 利用「群組原則管理主制台 (GPMC)」工具來連結 GPO 與 OU。 最後連結的是「網域控制站原則 GPO」。
之後進行以下步驟以完成剩餘的「安全性設定建置」階段:
若要建立群組原則物件
將「網域原則 GPO」連結至網域物件。
注意: 如果已存在預設的 GPO 連結,或有數個 GPO 存在,您必須在優先順序清單中提升 GPO 連結。
使用「群組原則管理主控台」工具將「成員伺服器基線原則 GPO」連結至「成員伺服器 OU」。 (您也可以利用「MMC Active Director 使用者及電腦」嵌入式管理單元來完成本步驟。)
將個別伺服器角色 GPO 連結至適當的伺服器角色 OU。
將「網域控制站原則 GPO」連結至「網域控制站 OU」。
若要確保使用的是最新的群組原則設定,請在所有網域控制站上的命令提示中,執行 gpupdate /force。 然後將所有網域控制站全部重新啟動,一次啟動一台,並從主要網域控制站開始。 給 Active Directory 充分的時間在站台間複製變更。
重要: 在套用「網域控制站原則 GPO」後重新啟動網域控制站是非常重要的。 如果沒有執行該步驟,您將在「目錄服務」資料夾中看到複寫錯誤,或在「事件檢視器」的應用程式資料夾中看到 Userenv 錯誤。
在所有網域成員伺服器上重複第 5 步驟。
檢查「事件檢視器」尋找任何錯誤。 檢閱錯誤紀錄,以進行疑難排解並解決所有失敗情形。
在「堡壘主機」伺服器上,使用 SCW 工具將「堡壘主機 XML」安全性範本套用在伺服器的「本機 GPO」上。
確認在成員伺服器電腦上的群組原則下載
利用前述步驟建立 GPO,並將 GPO 套用到 OU 以設定在這些 OU 中的電腦。 完成以下步驟,以確定將群組原則由網域控制站成功下載至成員伺服器電腦中。 (此處係假設成員伺服器電腦在 GPO 連結至 OU 後重新啟動過。)
若要在成員伺服器電腦上驗證群組原則的下載情形
請登入成員伺服器電腦。
按一下 [開始] 及 [執行],鍵入 rsop.msc 後再按 ENTER 鍵。
在「原則結果組」主控台中,展開 [主控台根目錄],並瀏覽 [電腦設定]。
在 [電腦設定] 上按下滑鼠右鍵並點選 [內容]。
GPO 清單會顯示在 [電腦設定內容] 面板中。 套用至該 OU 的 GPO 應會出現在清單中,且沒有發生任何錯誤。
測試執行階段
本階段執行由測試團隊所建立的測試案例。 測試執行階段期望發現以下情形:
任何用於強化網域、網域控制站、成員伺服器,或堡壘主機伺服器員的程序可能造成的應用程式、安全性,或系統錯誤事件。
因變更網路中伺服器的安全性設定造成其服務或功能無法使用。
章節內容及測試實驗室的實體建置記載之間,技術資訊的不準確。
測試團隊執行了 \Windows Server 2003 Security Guide Tools and Templates\Test Tools 資料夾中的測試案例。 (本指南的可下載版本中包含該工具及範本。) 除了那些用於測試僅出現在單一網路之元件的測試外 (例如只有 EC 環境中有「憑證服務」),這些測試都在三種不同的網路上執行過。 除了測試案例外,測試團隊也在不同的時點進行手動測試-例如定期檢查「事件檢視器」紀錄,或檢驗任何在前一版指南中發現到的特定問題。 發現到的所有問題都被記錄在資料庫中,並與開發團隊的成員進行諮商,直到問題解決。
下一節提供與進行的各類型測試有關的詳細資訊。
測試類型
測試團隊在測試階段中進行了下列幾種測試,以確定受保護的網域、網域控制站,及成員伺服器的功能沒有任何重大減損。 您可以參考本指南下載檔的 \Windows Server 2003 Security Guide Tools and Templates\Test Tools 資料夾中的 Excel 活頁簿。該活頁簿包含在網域伺服器及執行 Windows Server 2003 SP1 的獨立伺服器上執行過的完整測試案例清單。 其中並包括和測試情境、執行步驟,及預期結果有關的詳細資訊。
這些測試皆執行過數次。 更重要的是,這些測試在指南內描述的安全性設定建置前及建置後皆執行過。 這種方法能協助測試團隊發現潛在的問題,以及伺服器角色功能上的變化。
用戶端測試
這些測試係在網路裡的用戶端電腦上執行。 這些測試的主要目的,係為了確定用戶端電腦在網路伺服器經強化後,仍舊可以使用網域服務 (例如驗證、存取權限、名稱解析等) 及以應用程式為基礎的服務 (如檔案、列印,及網頁)。 對 LC 環境而言,這些測試確保執行 Windows NT 4.0 SP6a 及 Windows 98 的電腦可以在 Windows Server 2003 Active Directory 網域中驗證。
文件建置測試
這些測試檢驗在建置指示中記載的陳述、程序,及功能係準確、清楚且完整的。 這些測試的測試案例未另行列出。
指令碼測試
有些用戶端測試情境係以 VBScript 寫成。 這些測試案例主要著重於確認使用網路服務 (如網域登入、密碼變更,及列印伺服器之存取) 的 Windows XP 用戶端電腦能否正確運作。 您可在本指南下載版的 \Windows Server 2003 Security Guide Tools and Templates\Test Tools 資料夾中,找到這些測試案例所使用的 VBScript。
伺服器端測試
建置這些測試案例的目的,係為了驗證在執行 Windows Server 2003 SP1 的伺服器上,以本指南建議之建置程序保護該伺服器的功能及其效果。 本指南描述到的所有伺服器角色皆做過測試。 測試網路中其他如 Exchange、MOM,及 SMS 等伺服器角色亦做過測試。
通過和失敗標準
在進行測試前,為防止瑕疵及之發生並解決錯誤,制訂了下列標準:
所有測試案例皆必須以各測試案例試算表描述的結果通過。
如果實際結果與案例中記錄的預期結果相符,則測試案例視為通過。 如果實際結果與預期結果並不相符,將被視為失敗的測試案例、有錯誤發生,並給予嚴重性分數。
如果測試案例失敗了,並不表示解決方案指示一定有問題。 例如,產品文件的詮釋錯誤、文件不完整,或紀錄不精確皆可能造成失敗。 每項失敗皆根據實際結果及專案文件中描述的結果進行分析並發現其原因。 失敗也會呈報給相關 Microsoft 產品的所有者。
發佈標準
《Windows Server 2003 安全性指南》的主要發佈標準與尚未解決的錯誤的嚴重性有關。 然而,其他不是經由追蹤錯誤所發現的問題也會被拿出來討論。 發佈的標準為:
無嚴重性等級達到 1 及 2 的未解決錯誤。
所有未解決的錯誤皆與領導團隊探討過,且其影響已被徹底瞭解。
解決方案指南上無意見及修改記號。
解決方案成功地通過測試實驗室環境中所有測試案例。
解決方案內容中沒有相互矛盾的說明。
錯誤分類
錯誤嚴重性等級於下表中說明。 其等級分 1 至 4 級,1 代表最嚴重,4 代表最不嚴重。
表 D.1 錯誤嚴重性分類
| 嚴重性 | 最常見的類型 | 必要條件 |
|---|---|---|
| 1 | - 錯誤封鎖建置或進一步測試。 - 錯誤造成使用者取得預期外的使用權限。 - 文件中定義的步驟不夠清楚。 - 功能或程序的結果或行為與預期結果 (功能規格中之紀錄) 相衝突。 - 在安全性範本檔案和功能性規格間的嚴重不符。 |
- 解決方案無作用。 - 使用者無法使用電腦或網路的重要部分。 - 使用者具有不應具有的存取權限。 - 使用者在應允許其存取的伺服器上的存取權限被封鎖。 - 未達成預期結果。 - 問題未解決將無法繼續進行測試。 |
| 2 | - 指南中定義的步驟不清楚。 - 記載的功能性喪失 ( 在此情形下,測試被封鎖)。 - 文件遺失或不足。 - 安全性範本檔案與指南內容間不一致,但安全性範本檔案與功能性規格同步。 |
- 使用者沒有簡單的因應措施可以解決該處境。 - 使用者無法輕易地想出因應措施。 - 電腦或網路無法滿足主要的業務需求。 |
| 3 | - 記載格式問題。 - 次要的記錄錯誤和不準確。 - 文字拼寫錯誤。 |
- 使用者有簡單的因應措施得以解決該處境。 - 使用者可輕易地想出因應措施。 - 錯誤不會讓使用者有不好的體驗。 - 主要的業務需求仍舊可以滿足。 |
| 4 | - 建議。 - 未來的增強功能。 |
- 明顯與本版無關。 |