附錄 D

  • 發行項

  本附錄簡述了《Windows 2000 安全性操作指南》中所描述基礎結構的部署方式。文中以逐步指引的方式帶領您建立一個測試環境、安裝所有相關的作業系統、服務及修補程式等等。在實際進行測試之前,請先使用 dcpromo 和 checks 設定 Active Directory 以驗證此環境。   建置測試環境

  1. 安裝一個可提供最多支援10 部電腦的扁平式網路拓樸的網路或開關。

  2. 在所有測試伺服器上將 Windows 2000 Server 安裝在 NTFS 磁碟分割,使用圖中的命名方式和 IP 位址。

  3. 指派一個增強式密碼給系統管理員帳戶。

  4. 將所有電腦設定成均使用 192.168.99.7 作為其主要 DNS 伺服器。

  5. 將所有電腦設定成均使用 192.168.99.7 作為其主要 WINS 伺服器。

  6. 將所有電腦均設定為 Workgroup 工作群組的成員。

  7. 在「基礎結構伺服器」(Infrastructure Server ) 上安裝 DNS、DHCP 及 WINS。

  8. 在所有電腦上安裝 Window 2000 Service Pack 2。

  9. 安裝「Knowledge Base」(知識庫) 文件編號 Q295444:SCE Cannot Alter a Service's SACL Entry in the Registry on all computers (SCE 無法變更所有電腦登錄上某個服務的 SACL 項目)。

  10. 在測試網域中將 AD01 升級成網域控制站。

  11. 將 AD02 加入 Active Directory 網域內。

  12. 將成員伺服器加入 Active Directory 網域內。

  13. 使用本書第 3 章的步驟建立 OU 結構。

  14. 使用本書第 5 章的步驟安裝及執行 Hfnetchk。

測試案例

測試案例 優先順序 受測條件 執行細節 需要的資料 預期結果
1.1 將每一部伺服器的系統狀態備份到磁碟 成功備份
1.2 匯入「網域控制站」的基礎群組原則,並驗證 Win2KSOG 中所述的步驟
  1. 依照第 3 章第 10 頁的〈匯入網域控制站基礎原則〉中的描述匯入基礎原則
  2. 重新命名「網域系統管理員」帳戶 (第 4 章第 13 頁)
  3. 重新命名「本機系統管理員」帳戶 (第 4 章第 14 頁)
  4. 重新啟動網域控制站
 Baselinedc.inf 網域控制站被鎖定
1.3 使用 GpoTool 及 Gpresult 等公用程式來檢查 DC 的群組原則設定
  1. 在每一部網域控制站上找出事件識別碼1704,以驗證每部網域控制站是否均已成功地下載此原則
  2. 使用 Local Policy Admin MMC
  3. 使用以下命令驗證此原則是否已套用到每一個網域控制站
    secedit /analyze /db secedit.sdb /cfg template name
  4. 使用 gpresult /c
  5. 使用gptool /gpo template name
  確認網域控制站 GPO 是否已套用
1.4 測試「網域控制站」的基礎群組原則,並驗證 Win2KSOG 中所述的步驟
  1. 確認「稽核原則設定」是否已備妥可供網域控制站使用 (第 4 章第 3 頁)
  2. 確認「安全性原則設定」是否已備妥可供網域控制站使用 (第 4 章第 4 頁)
  3. 確認「服務原則設定」是否已備妥可供網域控制站使用 (第 4 章第 12 頁)
  4. 確認基礎服務及 baselinedc 服務清單是否已啟動。
  
  • 網域控制站 GPO 設定與 Win2KSOG 相符
  • 確認已啟動適當的服務且產生回應
1.5 匯入「成員伺服器」的基礎群組原則,並將 AP01 移至 OU,然後驗證 Win2KSOG 中所述的步驟
  1. 設定 AP01 伺服器使其使用所有可用的服務
  2. 在 AP01 上停用「檔案及列印」
  3. 依照第 3 章第 11 頁的〈匯入成員伺服器原則〉中的描述匯入基礎原則
  4. 將應用程式伺服器 AP01 移至應用程式伺服器 OU 內
  5. 強制執行網域控制站複寫
  6. 重新啟動伺服器
 Baseline.inf RepAdmin 或
ReplMon		 AP01 成員伺服器被鎖定
1.6 使用 GpoTool 及 Gpresult 等公用程式來檢查 AP01 成員伺服器的群組原則設定
  1. 在每一部網域控制站上找出事件識別碼1704,以驗證 AP01
  2. 使用 Local Policy Admin MMC(第 16 頁)
  3. 使用以下命令驗證是否已套用此原則到成員伺服器上
    secedit /analyze /db secedit.sdb /cfg template name
  4. 使用 gpresult /c
  5. 使用gptool /gpo template name
  顯示已套用 AP01 成員伺服器 GPO。
1.7 測試「成員伺服器」的基礎群組原則,並驗證 Win2KSOG 中所述的步驟
  1. 確認「稽核原則設定」是否已備妥可供 AP01
  2. 確認「安全性原則設定」是否已備妥可供 AP01
  3. 確認服務已如〈附錄 B〉及〈附錄 C〉所描述進行設定
  4. 確認基礎服務已啟動 (與附錄比較)
  5. 確認已套用「拒絕服務登錄項目」 (第 4 章第 7 頁)
  6. 確認已套用 8.3 檔名登錄項目 (第 4 章第 8 頁)
  7. 確認已套用 LMHash登錄項目 (第 4 章第 8 頁)
  8. 確認已套用 NTLMSSP登錄項目 (第 4 章第 9 頁)
  9. 確認已套用 Autorun 登錄項目 (第 4 章第 9 頁)
  10. 確認已套用基礎檔案系統 ACL (如〈附錄 A〉第 4 章第 9 頁所述)
  11. 確認 AP01 已通過網域控制站的驗證
  
  • AP01 成員伺服器 GPO 設定與 Win2KSOG 相符
  • 額外的登錄設定已套用到 AP01
  • AP01 上的所有服務均已停用
Misc 使用 SMTP 進行站台間複寫
  1. 建立一個新站台
  2. 將 AD02 移至新站台
  3. 啟用 SMTP
  4. 檢查複寫是否有作用
   複寫應與套用的原則搭配
2.1 在所有伺服器執行 HfNetChk Win2KSOG 第5 章第7 頁的參考流程 若要執行 HfNetChk:
  • SecurityOps.exe
  • nshc33.exe
  • Qfecheck.exe
  • HfNetChk 的輸出應儲存在以目前日期為名稱的資料夾內的記錄檔中。
  • 修補程式 Q259444 不應該出現在清單中
  • 檢查 Qfecheck.exe 的結果
2.2 在安裝清單中的某些修補程式之後,重新執行 HfNetChk
  1. 應該已安裝部份修補程式
  2. 以前述方式重新執行此工具
 同上
  • 輸出中不應該列出已安裝的修補程式
  • 檢查事件記錄檔是否有錯誤
2.3 以多重伺服器清單執行 HfNetChk 並測試排程功能
  1. 建立多份伺服器清單
  2. 以前述方式執行此工具
  3. 使用工作排程器排定一個命令列於15 分鐘後執行
 同上
  • 不同伺服器的輸出應該可以驗證
  • 請在 20 分鐘後檢查時間戳記
  • (可能需要啟用工作排程器來執行此功能)
1.1 DTP 1 匯入「檔案及列印伺服器」的個別伺服器原則,並驗證 Win2KSOG 中所述的步驟 Win2KSOG 第4 章第3 和17 頁的參考流程
  1. 匯入原則
    • 匯入
      File&printIncremental.inf
  2. 將「檔案及列印伺服器」移至「檔案及列印O U」
  3. 強制執行DC 的複寫
  4. 重新啟動FPOI 伺服器
 File&print Incremental.inf 範本
  • 每一個 DC 中均應有事件識別碼 1704
  • 多工緩衝處理程式服務啟動
2. 用 GpoTool 及 Gpresult 等公用程式來檢查原則設定
  1. 在每一部網域控制站上找出事件識別碼1704,以驗證每部網域控制站是否均已成功地下載此原則
  2. 使用 Local Policy Admin MMC 驗證此原則是否已套用到每一部網域控制站 (第 16 頁)
  3. 驗證此原則是否已套用到檔案與列印伺服器上
 GpoTool 及Gpresult
  • 確認原則是否已套用
3 依 Win2KSOG 所述測試個別原則的額外設定,並驗證其組態設定
  1. 如 Win2KSOG 所述建立額外的設定
  2. 連線至印表機進行列印
  3. 建立一個檔案共用,檢查用戶端是否可以連接
  
  • 伺服器應該可以列印
  • 檔案共用應該有作用
1.2 DTP 4 匯入「基礎結構伺服器」的個別伺服器原則,並驗證 Win2KSOG 中所述的步驟  Win2KSOG 第4 章第17 頁的參考流程
  1. 匯入原則
    • 匯入 Infrastructure.inf
  2. 將「基礎結構伺服器」移至Infra OU
  3. 強制執行DC 複寫
  4. 重新啟動INF01 伺服器
  5. 停用檔案與列印共用
 Infrastructure.inf 範本
  • 每一個 DC 中均應有事件識別碼 1704
  • DHCP 伺服器、DNS 伺服器、NTLMssp 與  WINS 服務均啟動。
5. 使用 GpoTool 及 Gpresult 等公用程式來檢查原則設定
  1. 每一部網域控制站上找出事件識別碼1704,以驗證每部網域控制站是否均已成功地下載此原則
  2. 使用 Local Policy Admin MMC 驗證此原則是否已套用到每一部網域控制站 (第 16 頁)
  3. 驗證此原則是否已套用到INFRA 伺服器上
 GpoTool 及Gpresult
  • 確認原則是否已套用
6 依 Win2KSOG 所述測試個別原則的額外設定,並驗證其組態設定
  1. 如 Win2KSOG 所述建立額外的設定
  2. 連線至網路上的某個用戶端,看它是否能取得位址
  3. 確認安全動態更新
  4. 檢查WINS 解析和NetBios 名稱解析是否有作用
  
  • 伺服器該可執行 DHCP、DNS 及 WINS 的基本功能
1.3 DTP 7 匯入「IIS 伺服器」的個別伺服器原則,並驗證 Win2KSOG 中所述的步驟 Win2KSOG 第4 章第17 和18 頁的參考流程
  1. 匯入原則
    • 匯入 IISIncremental.inf
  2. 將「IIS 伺服器」移至IIS OU
  3. 強制執行DC 複寫
  4. 重新啟動IIS01 伺服器
  5. 停用檔案與列印共用
  • IISIncreme-ntal.Inf
  • IISLock.  exe
  • 每一個 DC 中均應有事件識別碼 1704
  • IISAdmin 及 W3SVC 服務應已啟動。
8. 使用 GpoTool 及 Gpresult 等公用程式來檢查原則設定
  1. 在每一部網域控制站上找出事件識別碼1704,以驗證每部網域控制站是否均已成功地下載此原則
  2. 使用 Local Policy Admin MMC 驗證此原則是否已套用到每一部網域控制站 (第16 頁)
  3. 驗證此原則是否已套用到IIS 伺服器上
 GpoTool 及Gpresult
1.4 DTP 9 依 Win2KSOG 所述測試個別原則的額外設定,並驗證其組態設定
  1. 執行IISLockd.exe,它同時也會安裝URLscan.exe
    • 如第 6 章的第 122 頁所述,檢查 URLScan 的設定。
  2. 建立靜態網頁,檢查用戶端是否可以連接此伺服器
  • 測試對靜態 web 網頁的變更
  • 做了額外的設定之後,IIS 應該仍舊可以作用。
1.5 DTP 10. 變更至建議的環境以進行遠端管理 Win2KSOG 第 4 章第17 和18 頁的參考流程
  1. 啟用APP01 的WMI 服務
  2. 啟用APP01 的卸除式存放服務
  3. 針對某些特定伺服器的遠端管理
    • 啟用 APP01 的伺服器服務
    • 啟用基礎結構伺服器的遠端登錄
  4. 使用 [我的電腦] -> [管理] 連線到 APP01,以檢查上述項目
  5. 此時用戶端應可連線至檔案及列印伺服器進行列印
  
  • 應可從遠端管理下列項目:[共用資料夾]、[本機使用者與群組]、在 [儲存管理] 底下儲了邏輯磁碟機以外的所有項目、[服務裝置管理員]、[事件檢視器]、[效能記錄檔及警示]
  •  [磁碟管理]、[重組工具]、 [卸除式存放裝置] 應可作用
  • 成員伺服器應可進行遠端管理
1.1 部署及測試 EventCombMT
  1. 安裝 EventcombMT
  2. 新增所有成員伺服器及網域控制站作為要搜尋的電腦 (第 6 章第 115 頁)
  3. 指定要搜尋的事件記錄檔和事件類型
  4. 搜尋特定事件 (GPO 上載)
  5. 重新啟動 DC
  6. 設定成搜尋 DC 重新啟動 (第 6 章第 119 頁)
  7. 鎖定帳戶
  8. 設定成搜尋帳戶鎖定 (第 6 章第 121 頁)
  9. 依 Win2KSOG 所述的方式,檢查帳戶鎖定的事件識別碼
 Eventcombmt
  • Eventcomb 報告適當的事件記錄
  • 提到的事件識別碼是正確的
1.2 使用不同的公用程式 (如 Dcdiag 及 Repadmin 等) 進行臨機操作 (Ad Hoc) 測試      
[](#mainsection)[回到頁首](#mainsection)