Windows XP 安全性指南

  • 發行項

附錄 B:測試 Windows XP 安全性指南

更新日期: 2006 年 7 月 26 日

本頁內容

簡介
測試環境
測試方法
總結

簡介

《Windows XP 安全性指南》的功用在於提供經過證實且可重複執行的設定指引,以保護在各種環境中執行 Microsoft® Windows® XP Professional Service Pack 2 (SP2) 的電腦安全。

《Windows XP 安全性指南》已在實驗室環境中通過測試,以確保本指南符合預期。文件內容通過《Windows XP 安全性指南》測試小組的一致性檢查和所有建議程序的測試。測試的目的不僅在於驗證功能性,也有助於本指南的使用者減少自行建置和測試解決方案實作時所需的資源量。

範圍

《Windows XP 安全性指南》在實驗室環境中針對兩種不同的安全性環境接受測試,即企業用戶端 (EC) 和專業安全性限制功能 (SSLF)。這兩種環境的說明詳見第 2 章<設定 Active Directory 網域基礎結構>。測試所依據的標準如下文的<測試目標>一節中所述。

測試小組的職務範圍,不包括針對用來確保《Windows XP 安全性指南》解決方案安全的測試實驗室環境之弱點評估。滲入測試是由合作夥伴進行。

測試目標

《Windows XP 安全性指南》測試小組所遵循的測試目標如下:

  • 確保 Windows XP Professional SP2 的規定性設定和原則設定,能夠在兩種安全性環境下的 Windows Server™ 2003 網域網路中如預期地正確交互運作。

  • 確保 Windows XP Professional SP2 用戶端電腦能夠執行測試案例中所列出的基本工作和應用程式。

  • 確認第 2.1 版的《Windows XP 安全性指南》中所有的規定性指示清楚、完整且在技術上無誤。

  • 確認安全性範本能夠在 Windows XP Professional SP2 用戶端作業系統上發揮預期的作用。

  • 確認系統管理範本和軟體限制原則建議能夠在 Windows XP Professional SP2 用戶端作業系統上發揮預期的作用。

最後,指引應可供具備兩年經驗的 Microsoft 認證系統工程師 (MSCE) 重複且妥善運用。

回到頁首

測試環境

測試環境包括:Windows Server 2003 SP1 Active Directory® 目錄服務;擔任基礎結構伺服器角色而負責提供網域控制站、DNS 和 DHCP 服務的電腦;以及擔任其他應用程式伺服器角色而負責提供檔案、列印、Web、CA 和 Microsoft Exchange 2003 電子郵件等服務的電腦。網域中的桌上型和膝上型用戶端電腦均使用 Windows XP Professional SP2。

網路中亦含有兩台在工作群組模式下使用 Windows XP Professional SP2 的用戶端電腦,以便用來測試獨立安全性範本。我們重複使用網域網路中的膝上型電腦,以測試獨立的膝上型電腦安全性範本。下圖說明此測試網路。

在網域中和獨立模式下用來測試 Windows XP 安全性指南的網路.

圖 B.1 在網域中和獨立模式下用來測試 Windows XP 安全性指南的網路.

下圖中的網路專為測試本指南中所述的舊版範本而開發。

用來測試本指南中所述舊版安全性範本的網路

圖 B.2 用來測試本指南中所述舊版安全性範本的網路

回到頁首

測試方法

本節說明測試《Windows XP 安全性指南》時所遵循的程序。

測試小組建立一個包含上節所述的網路之實驗室。測試小組首先執行一輪快速的概念驗證 (POC) 測試,接著再執行兩個加強的測試週期。小組在每一輪測試期間努力使解決方案趨於穩定。

測試週期之定義為下列兩個增量建置階段的程序:

  1. 手動電腦設定階段

  2. 群組/本機原則設定階段

每個階段的詳細資料均收錄在下文的<階段測試>一節中。<測試準備階段>一節說明執行測試的前置步驟,以確保實驗室環境健全,以免環境狀況在透過兩個增量建置階段強化後,發生錯誤解讀實際測試結果的問題。

在每一輪測試中執行不同的測試案例。這些測試均記載於本附錄後述的<測試類型>一節中。

階段測試

此解決方案依下列各小節所述的階段進行測試。建置階段中發現的任何嚴重錯誤均在該階段中提出並解決後,測試小組才會進行下一個增量階段。此方法可確保重大問題獲得迅速解決, 並且充分降低在後續階段中進行偵錯所需的資源需求。

測試準備階段

此階段在於設定套用於解決方案的基準網路。其包含下列步驟。

執行測試準備階段

  1. 依網狀圖所示建立電腦網路,並在所有的伺服器和用戶端電腦上安裝適當的 Windows 作業系統版本。

  2. 建立及設定網域控制站、網域和每個伺服器角色。將 Windows XP Professional SP2 用戶端電腦加入網域。

  3. 在每台 Windows XP Professional SP2 用戶端電腦上安裝使用者應用程式。

  4. 執行基本驗證測試,以確認網路設定正確。確定用戶端電腦能夠存取網域控制站和成員伺服器所提供的服務 (DNS、DHCP、CA、檔案、列印、Web 和電子郵件)。

  5. 執行所安裝的應用程式,以確認安裝成功且所有的應用程式都能正常運作。

  6. 檢查事件記錄,以確保無任何錯誤。

  7. 完成先前步驟後,建立每台電腦的影像備份。開始執行新一輪測試前,需使用這些備份影像將網路回復到預設狀態。

手動設定階段

此階段通常是第一個安全性建置階段。其包含下列建置程序。

執行手動設定階段

  1. Microsoft Management Console (MMC) 電腦管理嵌入式管理單元是用來執行指定的原則設定變更,例如每一台成員電腦上的本機系統管理員帳戶和密碼。完成下列步驟以保護網域帳戶 (Guest 和 Administrator 帳戶) 的安全:

    1. 停用 Guest 帳戶。

    2. 確定內建的 Administrator 帳戶具有複雜密碼、已重新命名過,且已將其預設帳戶描述移除。

    3. 採取本指南中有關保護網域帳戶安全的任何其他建議作法。

  2. 依照指南的各章所述,執行所有其他適用的手動強化程序。

  3. 針對獨立的 Windows XP 用戶端電腦,手動建立安全資料庫。

群組/本機原則設定階段

在此階段中,將群組原則物件 (GPO) 套用在網域和組織單位 (OU) 層級。根據第 2 章<設定 Active Directory 網域基礎結構>中的建議作法,將 GPO 套用到不同的 OU。針對獨立的 Windows XP 用戶端電腦,設定本機原則。此階段包含下列步驟。

執行群組/本機原則設定階段

  1. 建立如前說明的 OU 結構,以支援本指南中所述的群組原則建議作法。

  2. 將 Windows XP 桌上型和膝上型用戶端電腦移到適當的 OU。

  3. 識別出網域使用者,並將其移動到適當的 OU,以便套用系統管理範本。

  4. 為每個 OU 新增 GPO 連結。

    **注意:**優先順序清單中已有預設的 GPO 連結,您可能需要提高新 GPO 連結的優先權。

  5. 將本指南中所述的安全性範本匯入 GPO。

  6. 針對各章所述的每個環境狀況,在每個 OU 上套用適當的群組原則。

測試執行詳細資料

《Windows XP 安全性指南》的第 2 章至第 6 章分別說明如何將安全性建議套用至網域、Windows XP 桌上型電腦、Windows XP 膝上型電腦,以及本指南所定義的企業用戶端 (EC) 和專業安全性限制功能 (SSLF) 環境下的 Windows XP 獨立用戶端電腦。這些建議皆附有 Microsoft Excel® 活頁簿、安全性範本、系統管理範本和自動化指令碼。自動化指令碼是用來將範本匯入安全獨立用戶端電腦上的本機 GPO。本節將說明如何實作和測試這些建議作法。

第 2 章:設定 Active Directory 網域基礎結構

完成下列程序以測試本章所述內容。

驗證基準網路

  • 完成基本的驗證測試案例,以確保影像備份能正常運作。成功完成這些測試案例,即達到進入標準。

開始執行手動設定階段

  1. 將所有網域成員伺服器和 Windows XP 用戶端電腦的時間與網域控制站同步。

  2. 停用 Guest 帳戶。

  3. 重新命名 Administrator 和 Guest 帳戶。

  4. 變更系統管理員密碼。

實作 OU 結構設定

  1. 在 corp.woodgrovebank.com 網域中,建立名為 "Department OU" 的 OU。

  2. 在 "Department OU" 中建立兩個子 OU。分別命名為 "Windows XP OU" 和 "Secured XP Users OU"。

  3. 在 Windows XP OU 中,建立下列四個子 OU:

    • EC Desktop OU

    • EC Laptop OU

    • SSLF Desktop OU

    • SSLF Laptop OU

  4. 將指派到各安全性環境的 Windows XP 電腦移到其各自對應的 OU。

  5. 將需要登入 Windows XP 用戶端電腦的網域使用者移到 "Secured XP Users OU"。

  6. 在 corp.woodgrovebank.com 物件上建立並連結名為「網域原則」的新 GPO。在 MMC Active Directory 使用者和電腦嵌入式管理單元中,在網域物件的 [群組原則] 索引標籤上按一下 [上移],確定新 GPO 擁有最高的優先權,然後將適當的安全性範本 (SSLF-domain.inf 或 EC-domain.inf) 匯入 GPO。

  7. 在網域控制站上執行 gpupdate /force,下載最新的群組原則設定。

第 3 章:Windows XP 用戶端的安全性設定

本章說明在 Windows Server 2003 網域中透過群組原則設定的主要設定。其中針對兩種定義的安全性環境指定原則設定,以確保 Windows XP SP2 桌上型和膝上型電腦的安全。

設定安全性範本設定

  1. 進行基本部署測試,以確認本指南中的所有建議均適用於您的環境。檢閱建議的原則設定。視需要修改安全性範本中的設定,再繼續進行部署。

  2. 將新 GPO 分別連結到兩個 Desktop OU。對於企業用戶端環境,將 EC-desktop.inf 安全性範本匯入 GPO。對於專業安全性限制功能環境,將 SSLF-desktop.inf 安全性範本匯入 GPO。

  3. 將新 GPO 分別連結到兩個 Laptop OU。對於企業用戶端環境,將 EC-Laptop.inf 安全性範本匯入 GPO。對於專業安全性限制功能環境,將 SSLF-Laptop.inf 安全性範本匯入 GPO。

  4. 登入 Windows XP 用戶端電腦,並執行 gpupdate /force 命令。然後重新啟動電腦,以確保已下載最新的群組原則設定。

  5. 進行本文件下文所列出的測試。

第 4 章:Windows XP 的系統管理範本

本章描述如何使用系統管理範本,將其他原則設定套用到執行 Microsoft Windows XP SP2 的電腦上。

設定系統管理範本設定

  1. 進行基本部署測試,以確認本指南中的所有建議均適用於您的環境。檢閱建議的原則設定。視需要修改系統管理範本中的設定,再繼續進行部署。

  2. 針對四種類型的 Windows XP 用戶端電腦分別建立四個新 GPO。由於桌上型和膝上型電腦的原則設定不盡相同,建議為兩者建立各自的 GPO。

    • EC 桌上型電腦系統管理範本原則

    • EC 膝上型電腦系統管理範本原則

    • SSLF 桌上型電腦系統管理範本原則

    • SSLF 膝上型電腦系統管理範本原則

  3. 依照第 4 章<Windows XP 的系統管理範本>中的指示,在系統管理範本中,針對每個 GPO 設定電腦設定和使用者設定。

  4. 將 GPO 連結到各自對應的 OU。

  5. 登入 Windows XP 用戶端電腦,並執行 gpupdate /force 命令。然後重新啟動電腦,以確保已下載最新的群組原則設定。

  6. 進行本附錄下文所列出的測試。

第 5 章:保護獨立 Windows XP 用戶端的安全

本章說明透過本機電腦原則設定的主要原則設定。指定的設定值有助於確保組織內執行 Windows XP SP2 的獨立桌上型和膝上型電腦的安全性。

在獨立 Windows XP 用戶端上設定安全性設定

  1. 進行基本部署測試,以確認本指南中的所有建議均適用於您的環境。

  2. 使用 MMC 安全性設定和分析嵌入式管理單元,建立安全性資料庫。此資料庫將用來寫入本機原則。逐步指引詳見第 5 章<保護獨立 Windows XP 用戶端的安全>。

  3. 使用安全性設定和分析嵌入式管理單元,套用獨立安全性範本檔案中的原則設定。逐步指引詳見第 5 章<保護獨立 Windows XP 用戶端的安全>。請務必使用安全性設定和分析嵌入式管理單元,因為系統服務原則設定無法透過本機電腦原則嵌入式管理單元來進行套用。

  4. 執行適當的自動化指令碼 (本指南有提供) 匯入安全性範本。

  5. 進行本附錄下文所列出的測試。

第 6 章:Windows XP 用戶端的軟體限制原則

本章可讓系統管理員識別和控制在網域中執行的軟體。用來執行此控制作業的工具是一種原則導向的機制,稱作軟體限制原則。

設定軟體限制原則

  1. 進行基本部署測試,以確認本指南中的所有建議均適用於您的環境。

  2. 找出針對 Windows XP 桌上型和膝上型電腦所建立的 OU。如為獨立用戶端電腦,原則設定位於本機安全性原則中。為 Windows XP OU 建立新 GPO。請記住,此新的 GPO 僅供軟體限制原則使用。

  3. 如下設定軟體限制原則:

    1. 建立預設的軟體限制原則。

    2. 設定路徑規則。

    3. 根據所訂的規則來設定原則選項,如強制選項、指定的檔案類型及受信任的發行者。

  4. 檢閱原則設定,然後將預設原則設定重設為 [不允許]。

  5. 登入 Windows XP 用戶端電腦,並執行 gpupdate /force 命令。然後重新啟動電腦,以確保已下載最新的群組原則設定。

  6. 進行本附錄下文所列出的測試。

驗證下載到 XP 用戶端的群組原則

在前幾節中,已將 GPO 套用至 OU,並將該 GPO 套用到 OU 中的電腦。完成下列步驟,以確認群組原則是否從網域控制站順利下載到 Windows XP 用戶端電腦。假設該用戶端電腦在 GPO 連結到 OU 後已重新啟動。

驗證 Windows XP 用戶端電腦上下載的群組原則

  1. 登入 Windows XP 用戶端電腦。

  2. 按一下 [開始] 及 [執行],鍵入 rsop.msc 後按 ENTER 鍵。

  3. 在 [原則結果組] 主制台中,展開 [主控台根目錄] 並瀏覽到 [電腦設定]。

  4. 用滑鼠右鍵按一下 [電腦設定],再按 [內容]。

    GPO 的清單會顯示在 [電腦設定內容] 中。套用至 OU 的 GPO 應會出現在清單中,應可順利與其建立關聯。

  5. 驗證系統管理範本原則設定。

    只有設定在系統管理範本 GPO 中的設定,會出現在 [電腦設定] 或 [使用者設定] 下各自對應的 [系統管理範本] 資料夾樹狀目錄中。

測試類型

測試小組已在測試階段期間執行下列類型的測試,以確保受保護的 Windows XP 用戶端電腦能夠執行基本工作,而無大幅減損功能性的情形。您可能需要參考 Excel 活頁簿 Windows XP Security Guide Test Cases.xls,其位於本指南下載檔中的 \Windows XP Security Guide Tools and Templates\Test Tools 資料夾內。此活頁簿檔案內含針對透過網域連結的 XP 用戶端電腦和獨立 XP 用戶端電腦所執行的完整測試案例清單,以及其詳細資料如測試案例、執行步驟及預期結果。

應用程式測試

這類測試在於檢查安裝在 Windows XP 用戶端電腦上的應用程式 (例如 Office 2003 應用程式套件、Windows Media® Player 及其他數個應用程式) 能否正常運作。如需關於測試案例的詳細資料,請參閱本指南中提供的 Microsoft Excel 活頁簿 Windows XP Security Guide Test Cases.xls。

自動化指令碼測試

某些測試案例是以 VBScript 指令碼描述。這些測試案例主要著重於 Windows XP 用戶端電腦在使用網路服務如網域登入、密碼變更和列印伺服器存取時,能否正常運作。這些測試案例中使用的 VBScript 檔案均存放在本指南下載檔中的 \Windows XP Security Guide Tools and Templates\Test Tools 資料夾內。

基本驗證測試

這類測試案例屬於應用程式、自動化指令碼和網際網路測試的子集合。其涵蓋各種不同案例的基本測試,例如能否執行安裝在用戶端上的應用程式、用戶端與伺服器之間的通訊測試、能否存取網際網路並下載修補程式,以及在主機上監視錯誤的測試。當您在測試準備階段中建立網路基準時,也會執行這些測試案例。

文件建置測試

這些測試係驗證實作指南中記載的敘述、程序和功能是否正確、明白且完整。這些測試不提供單獨的測試案例。

功能測試

這些測試專門用來驗證根據建置指南所建的系統能否如預期般正確運作。其針對桌上型和膝上型用戶端電腦上的建置程序,驗證其功能、狀態和效果。

網際網路方面的測試

現今的電腦使用者通常需要存取網際網路。這類測試案例在於確保某些常用功能 (瀏覽網站、使用 Windows Messenger 服務,以及從 Microsoft Update 網站下載重大更新) 不會因 Windows XP 用戶端電腦鎖定而受影響。

通過與失敗標準

執行測試前需先定義下列標準,以預防缺失並解決錯誤:

  • 所有的測試案例必須達到個別測試案例試算表中記載的預期結果。

  • 若案例的實際結果與文件記載的預期結果相符,即認定為通過測試。若實際結果與預期結果不符,則視為測試案例失敗,應建立錯誤並進行嚴重性評分。

  • 測試案例若失敗,未必表示解決方案指南有缺陷。例如,誤解產品說明文件、文件內容不完整或不正確,都可能導致失敗。每次失敗都會經過分析,根據實際結果和專案文件中記載的結果找出失敗的原因。失敗經驗也會交由對應的 Microsoft 產品擁有者做進一步的處理。

發佈標準

針對《Windows XP 安全性指南》制訂的主要發佈標準,乃依據未決錯誤的嚴重性而定。但對於非透過錯誤查核到的其他問題亦有著墨。發佈標準包括:

  • 沒有嚴重性等級為 1 和 2 的未決錯誤。

  • 領導小組已將所有未決錯誤分類,並充分理解錯誤的影響層面。

  • 解決方案指南無任何註解和修訂。

  • 解決方案在測試實驗室環境下順利通過所有的測試案例。

  • 解決方案內容沒有相互抵觸的情形。

錯誤分類

錯誤嚴重性等級如下表所述。共有 1 到 4 級,其中 1 的嚴重性最高,4 最低。

表 B.1 錯誤嚴重性分類

嚴重性 最常見類型 所需條件
1 - 錯誤阻礙建置或待進一步測試。
- 錯誤導致意外開放使用者存取權。
- 文件中定義的步驟不明確。
- 某種功能或程序的結果或行為與功能性規格中記載的預期結果 (書面的) 相抵觸。
- 安全性範本檔案與功能性規格之間出現重大出入。		 - 解決方案無效。
- 使用者無法開始使用重要的系統組件。
- 使用者具有不應開放的存取權限。
- 使用者應當能夠存取特定伺服器的權限被封鎖。
- 未達到預期結果。
- 問題未解決之前無法繼續測試。
2 - 指南中定義的步驟不明確。
- 文件中記載的功能遺失 (在此情況下無法繼續測試)。
- 文件缺漏或說明不足。
- 安全性範本檔案和指南內容有出入,但是安全性範本檔案與功能性規格相符。		 - 使用者沒有簡易的因應措施可改善情況。
- 使用者無法輕易設想出因應措施。
- 系統無法滿足主要的商業需求。
3 - 文件編排格式有問題。
- 文件有小瑕疵和輕微錯誤。
- 文件有錯字。		 - 使用者能以簡易的因應措施改善情況。
- 使用者可輕易設想出因應措施。
- 錯誤不會造成負面的使用者體驗。
- 主要商業需求仍可運作。
4 - 建議。
- 未來的增強功能。		 - 未確切與此版本有關。
[](#mainsection)[回到頁首](#mainsection) ### 總結 實作《Windows XP 安全性指南》的組織能夠透過本文件,瞭解在測試實驗室環境中測試解決方案實作的程序和步驟。本文件記錄了《Windows XP 安全性指南》測試小組的實際經驗,包括測試環境的說明、測試類型、發佈標準,以及錯誤分類的詳細資料。 由測試小組執行的所有測試案例均達到預期結果而通過測試。測試小組確信,只要依照《Windows XP 安全性指南》的建議在定義的環境下實施,即可發揮必要的功能。 [](#mainsection)[回到頁首](#mainsection) ##### 下載 [![](images/Cc163067.icon_exe(zh-tw,TechNet.10).gif)下載 Windows XP 安全性指南 (英文)](https://go.microsoft.com/fwlink/?linkid=14840) [](#mainsection)[回到頁首](#mainsection)