关键字: 安全指南
概述
《Windows Server 2003 安全指南》设计为提供已得到证实且可重复的配置指导,以保护各种环境中运行带有 Service Pack 1 (SP1) 的 Microsoft® Windows Server™ 2003 的服务器。
《Windows Server 2003 安全指南》已在实验室环境中进行测试以确保指导按预期工作。《Windows Server 2003 安全指南》测试小组已检查了文档的一致性,并对所有推荐的过程进行了测试。执行测试的目的在于验证功能,而且帮助减少使用该指导来构建和测试其实施的用户所需的资源量。
范围
《Windows Server 2003 安全指南》是在实验室中测试的,该实验室模拟了三种不同的安全环境:旧客户端 (LC)、企业客户端 (EC) 和专用安全 - 限制功能 (SSLF)。第 1 章“《Windows Server 2003 安全指南》简介”中介绍了这些环境。测试是基于以下“测试目标”部分所述的条件执行的。
用于确保《Windows Server 2003 安全指南》解决方案的安全的测试实验室环境漏洞评估不属于测试小组的范围。
测试目标
《Windows Server 2003 安全指南》测试小组以下列测试目标为指导:
| • |
针对本指南中定义的三种安全级别验证安全设置中的建议更改。这些更改的原因包括:
|
||||||
| • |
确保指南中建议的安全设置和配置更改符合 LC、EC 和 SSLF 环境的要求。 |
||||||
| • |
确保强化的域成员服务器能够成功执行其角色任务。 |
||||||
| • |
确保客户端计算机和域控制器之间的通信未受负面影响。 |
||||||
| • |
验证所有说明性指导是否清晰完整且在技术上正确无误。 |
最后,该指导应该可以由具有两年经验的 Microsoft 认证系统工程师 (MSCE) 重复且可靠地使用。
测试环境
开发用于测试本指南的测试实验室网络类似于那些在本指南上一版本中所使用的测试实验室网络。开发了三个独立但类似的网络,分别适用于各个定义环境。
每个测试网络包括:Windows Server 2003 SP1 Active Directory® 目录服务林;提供域控制器、DNS、WINS 和 DHCP 服务的基础结构服务器角色的计算机;以及其他提供文件、打印和 Web 服务的应用程序服务器角色的计算机。EC 网络还包括证书服务和 IAS 服务器角色的计算机,而 SSLF 网络包括堡垒主机 (BH) 服务器角色。此外,EC 和 SSLF 网络包括 Microsoft Operations Manager (MOM) 2005 和 Systems Management Server (SMS) 2003,用于管理和监视域成员服务器和客户端计算机。这些网络还包括用于电子邮件服务的 Microsoft Exchange Server 2003。
不同网络中的客户端计算机将 Windows XP Professional SP2 和 Windows 2000 Professional SP4 一起使用。LC 网络还包括运行 Windows 98 SR2 和带有 SP6a 的 Windows NT® 4.0 工作站操作系统的客户端计算机。
下图显示针对 EC 环境开发的测试实验室网络。
为验证强化域控制器之间的复制方案,Active Directory 林包含两个站点。一个站点是主办公室站点,该站点具有一个空白根域和一个包含先前提及的服务器和客户端计算机的子域。第二个站点仅包含子域的另一个域控制器。
下图显示针对 SSLF 环境开发的测试实验室网络。
测试方法
本节介绍测试《Windows Server 2003 安全指南》时要遵循的过程。
测试小组建立了将前一部分介绍的三种网络合并起来的实验室。执行了快速的概念证明代码 (POC) 测试,然后执行了其他两个可靠的测试周期。每次测试期间,该小组努力使解决方案保持稳定。
测试周期被定义为以下阶段的序列:
|
1. |
安全配置构建阶段
|
||||
|
2. |
测试执行阶段 |
下列“测试阶段”部分提供了各个阶段的详细信息。“测试准备阶段”部分介绍为避免实验室环境出现任何问题而要执行的步骤。通过前两个增量构建阶段强化三个环境方案之后,这些问题可能导致偏离实际的测试结果。它也称为“基准”状态。
测试阶段
下列小节介绍了各个测试阶段。构建阶段找到的任何关键问题会被标别为错误,并在测试小组转至下一测试执行阶段之前在该阶段解决。此方法确保了在网络中实施的是正确的安全配置并验证获取的测试结果的准确性。
测试准备阶段
此阶段设置在安全配置构建阶段过程中应用该解决方案的基准配置。针对三个环境 LC、EC 和 SSLF 中的各个环境执行下列步骤:
完成测试准备阶段
|
1. |
按照网络图所示将计算机联网,并在所有服务器和客户端计算机上安装适当版本的 Windows 操作系统。 |
|
2. |
创建并配置域、域控制器和两个站点。 |
|
3. |
加入并配置每个成员服务器和管理服务器。此外,将客户端计算机加入到该域。 |
|
4. |
针对每个服务器角色执行基本的验证测试,确保网络和应用程序配置正确无误。 |
|
5. |
检查网络中每个成员服务器的事件日志,确保没有应用程序或系统级错误。 |
|
6. |
确保客户端计算机可访问域控制器和成员服务器(DNS、DHCP、CA、文件、打印、Web 和电子邮件)提供的服务。检查客户端计算机上的事件日志以确保没有错误。 |
|
7. |
确保每个域成员上都安装了所有必需的应用程序、服务和代理。例如,验证 MOM 服务器将要管理的所有服务器上是否安装了 MOM 代理。 |
|
8. |
完成上述步骤之后,请创建每台计算机的映像备份。这些备份映像用于在开始新测试之前将网络“回滚”到基准配置。 |
安全配置构建阶段
此阶段的目标是按照本指南中的过程,将域、域控制器和成员服务器配置为高于基准配置的安全级别。
手动配置阶段
此阶段通常是第一个安全构建阶段。在该阶段中实施每章中所提供的手动强化建议。
注意:有些步骤可能适用于您的网络,但有些步骤可能不适用。仔细检查每个过程以了解这些步骤对您的网络所造成的影响。
执行手动配置阶段
|
1. |
使用 Microsoft 管理控制台 (MMC) 计算机管理管理单元在每台成员计算机上执行规定的策略设置更改,例如本地管理员帐户和密码。完成下列步骤以保护域帐户:
|
||||||
|
2. |
按各章所述将任何唯一的安全组或帐户添加到用户权限设置中。 |
||||||
|
3. |
按各章所述执行所有其他适用的手动强化过程。例如,启用手动内存转储和错误报告配置。 |
组策略配置阶段
此阶段的目的是在域和组织单位 (OU) 级别创建并应用组策略对象 (GPO)。根据第 2 章“Windows Server 2003 强化机制”中的建议对不同的 OU 应用 GPO。
Windows Server 2003 Service Pack 1 引入了一些新的工具和功能,导致组策略实施设计发生变更,与以前版本有所不同。
SCW 是一个可减少攻击面的工具,使用该工具可以为本指南中论述的各个服务器角色创建必需的安全策略集。SCW 的推出导致组策略配置阶段出现了下列两个重大更改:
| • |
随本指南以前版本附带的 IPsec 筛选器已替换为使用 SCW 创建的 Windows 防火墙端口配置。 |
| • |
将结合 SCW 使用随本指南附带的安全模板来创建 XML 安全模板文件。然后使用 Scwcmd 命令行工具将这些模板转换为相应的 GPO。 |
针对三个安全环境中的每一个执行下列步骤:
创建组策略对象
|
1. |
确保基准网络中的每个域成员上都安装了所有必需的应用程序、服务和代理。例如,确保将由 MOM 管理的所有域成员服务器上都安装了 MOM 代理。 |
|
2. |
使用 MMC Active Directory 用户和计算机管理单元创建介绍的 OU 结构。 |
|
3. |
使用 .inf 安全模板创建域策略 GPO。此步骤不要求使用 SCW。 |
|
4. |
使用 SCW 工具为本指南中介绍的每个服务器角色创建基于 XML 的安全模板。第 2 章“Windows Server 2003 强化机制”和各个单独服务器角色章节中都介绍了规定步骤。执行此步骤时,应包括服务器角色的适当 .inf 安全模板。模板文件随本指南的可下载版本附带。 |
|
5. |
使用 Scwcmd 命令行工具将上一个步骤中创建的 XML 安全模板转换为 GPO。 |
|
6. |
在堡垒主机服务器上重复步骤 4,创建堡垒主机 XML 安全模板,然后再次使用 SCW 转换 XML 安全模板并将其应用到本地 GPO。 |
成功创建 GPO 之后,将这些设置与相关章节中的指导进行比较以识别任何错误的配置。
在此阶段,所有域成员服务器都驻留在计算机 OU 中。然后,这些服务器会移动到成员服务器 OU 下其各自的 OU。
第二项任务(在以下过程中详细介绍)是将这些 GPO 中的每一个应用到各自的 OU。组策略管理控制台 (GPMC) 工具用于链接 GPO 与 OU。最后链接域控制器策略 GPO。
执行下列步骤以完成其余的安全配置构建阶段:
应用组策略对象
|
1. |
将域策略 GPO 链接到域对象。 注意:如果默认 GPO 链接已经存在或有多个 GPO,则可能需要在优先级列表中提升 GPO 链接。 |
|
2. |
使用组策略管理控制台工具将成员服务器基准策略 GPO 链接到成员服务器 OU。(还可以通过 MMC Active Directory 用户和计算机管理单元来执行此步骤。) |
|
3. |
将每个单独的服务器角色 GPO 链接到适当的服务器角色 OU。 |
|
4. |
将域控制器策略 GPO 链接到域控制器 OU。 |
|
5. |
要确保应用最新的组策略设置,请在所有域控制器上的命令提示符处执行 gpudpate /force。然后,从主域控制器开始,每次重新启动一个域控制器直到重新启动了所有域控制器。允许 Active Directory 有足够的时间在站点之间复制更改。 重要:在您应用域控制器策略 GPO 之后重新启动域控制器非常重要。如果您不执行此步骤,可能会在 Directory Service 文件夹中看到复制错误或在事件查看器的 Application 文件夹中看到 Userenv 错误。 |
|
6. |
在所有域成员服务器上重复步骤 5。 |
|
7. |
在事件查看器中检查是否有任何错误。检查错误日志进行故障排除并解决任何故障。 |
|
8. |
在堡垒主机服务器上,使用 SCW 工具应用服务器的本地 GPO 上的堡垒主机 XML 安全模板。 |
在成员服务器计算机上验证组策略下载
将先前过程中创建的 GPO 应用到 OU 以便在那些 OU 中配置计算机。完成下列步骤,确保将组策略从域控制器成功下载到成员服务器计算机。(假定在将 GPO 链接到 OU 之后重新启动了成员服务器计算机。)
在成员服务器计算机上验证组策略下载
|
1. |
登录到成员服务器计算机。 |
|
2. |
单击“开始”、“运行”,键入 rsop.msc,然后按 Enter。 |
|
3. |
在“策略的结果集”控制台中,展开控制台根并浏览到“计算机配置”。 |
|
4. |
右键单击“计算机配置”,然后单击“属性”。 “计算机配置属性”面板中将显示 GPO 列表。应用到 OU 的 GPO 应该出现在列表中,并且没有与其关联的错误。 |
测试执行阶段
此阶段执行由测试小组开发的测试事例。测试执行阶段设法识别以下各项:
| • |
用于强化域、域控制器、成员服务器或堡垒主机服务器的进程所造成的任何潜在的应用程序、安全或系统故障事件。 |
| • |
对网络中服务器的安全配置进行了更改,导致服务或功能不可用。 |
| • |
章节中介绍的内容与测试实验室中的物理实施之间存在着技术上的不准确之处。 |
测试小组执行的测试事例集包含在“\Windows Server 2003 安全指南工具和模板\测试工具”文件夹中。(工具和模板随本指南的可下载版本附带)。在三个单独网络上分别执行这些测试,那些对仅适用于一个网络的组件(例如仅适用于 EC 环境的证书服务)进行测试的测试除外。除了这些测试事例之外,还在不同时间执行了手动测试,例如,定期检查事件查看器日志或验证在本指南的先前版本中发现的任何特定问题。发现的所有问题均被记录在数据库中,并由开发小组成员优先处理,直到所有问题都得到解决。
下一部分提供了有关执行的不同类型测试的详细信息。
测试类型
测试小组在测试阶段执行了下列测试类型,以确保受保护域、域控制器以及成员服务器未遇到任何显著功能损失。您可能需要参考本指南下载内容附带的 \Windows Server 2003 Security Guide Tools and Templates\Test Tools 文件夹中的 Excel 工作簿,这些工作簿包含针对运行 Windows Server 2003 SP1 的基于域的服务器以及独立服务器执行的测试事例完整列表。还提供了测试方案、执行步骤和预期结果等详细信息。
这些测试被执行了多次。更重要的是,它们是在实施了本指南中所介绍的安全设置之前和之后执行的。此方法有助于测试小组识别列出的服务器角色在功能方面的潜在错误和任何变化。
客户端测试
这些测试事例是在网络中的客户端计算机上执行的。这些测试的主要目的是确保在强化网络服务器之后,域服务(如验证、访问权限、名称解析等)和基于应用程序的服务(如文件、打印和 Web)可用于客户端计算机。对于 LC 环境,这些测试可确保运行 Windows NT 4.0 SP6a 和 Windows 98 的客户端计算机能够向 Windows Server 2003 Active Directory 域进行身份验证。
文档生成测试
这些测试验证实施指南中进行说明的语句、过程和函数是否准确、明确和完整。没有单独为这些测试列出测试事例。
脚本测试
某些客户端测试事例方案是以 VBScript 脚本语言编写的。这些测试事例主要与使用基于网络的服务(例如域登录、密码更改和打印服务器访问)的 Windows XP 客户端计算机的正确功能有关。这些测试事例的 VBScript 文件位于本指南可下载版本包括的 “\Windows XP 安全指南工具和模板\测试工具”文件夹中。
服务器端测试
开发这些测试事例是为了在使用本指南中的建议进行保护的 Windows Server 2003 SP1 上验证构建过程的功能和效果。本指南中介绍的所有服务器角色均经过测试。测试网络(如 Exchange、MOM 和 SMS)中包括的附加服务器角色也经过测试。
成功和失败条件
执行测试之前,必须定义下列条件以确保预防缺陷和解决错误:
| • |
所有测试事例必须成功通过并产生各个测试事例电子表格中所述的预期结果。 |
| • |
如果某个测试事例的实际结果与事例文档中说明的预期结果相匹配,则该测试事例将被视为已成功通过。如果实际结果与预期结果不匹配,则被视为失败的测试事例,同时系统将创建一个错误并分配一个严重程度分数。 |
| • |
如果测试事例失败,则并不假定该解决方案指导一定存在缺陷。例如,产品文档的曲解、不完整文档或不准确文档均可能导致失败。将会根据实际结果以及项目文档中所述的结果分析每个失败以找出原因。失败也会被升级提交给各自 Microsoft 产品适当的所有者。 |
发行标准
《Windows Server 2003 安全指南》的主要发行标准与尚未关闭的错误的严重性相关。但是,也要考虑不通过错误跟踪的其他问题。发布条件包括:
| • |
没有严重级别为 1 和 2 的未解决错误。 |
| • |
所有未解决错误由领导小组优先处理,并且它们的影响能得到充分的理解。 |
| • |
解决方案指导没有批注和修订标记。 |
| • |
解决方案成功通过测试实验室环境中的所有测试事例。 |
| • |
解决方案内容没有冲突语句。 |
错误分类
错误严重等级如下表所述。等级为 1 至 4,1 为最高严重程度,4 为最低严重程度。
表 D.1 错误严重程度分类
| 严重程度 | 最常见类型 | 要求条件 |
|
1 |
– 错误阻止生成或进一步测试。 |
– 解决方案不起作用。 |
|
2 |
– 指南中定义的步骤不清晰。 |
– 用户没有简单的变通办法来修正错误。 |
|
3 |
– 记录的格式问题。 |
– 用户有简单的变通办法进行改进。 |
|
4 |
– 建议。 |
– 显然与此版本无关。 |