Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anhang B: Testen des Sicherheitshandbuchs für Windows XP
Aktualisiert: 20.10.2005
Auf dieser Seite
Einführung
Testumgebung
Testmethoden
Zusammenfassung
Einführung
Das Windows XP-Sicherheitshandbuch soll bewährte und wiederholbare Anleitungen für die Konfiguration bereitstellen, um Computer mit Microsoft® Windows® XP Professional mit Service Pack 2 (SP2) in verschiedenen Umgebungen abzusichern.
Das Windows XP-Sicherheitshandbuch wurde in einer Testumgebung geprüft, um sicherzustellen, dass die Anleitung wie erwartet funktioniert. Die Dokumentation und alle empfohlenen Verfahren wurden vom Windows XP-Sicherheitshandbuch-Testteam auf Konsistenz geprüft. Anhand von Tests wurde die Funktionalität überprüft. Außerdem sollte den Benutzern der Anleitung geholfen werden, die Anzahl der Ressourcen zu verringern, die zum Erstellen und Testen ihrer eigenen Implementierungen der Lösung erforderlich sind.
Umfang
Das Windows XP-Sicherheitshandbuch wurde in einer Testumgebung für zwei verschiedene Sicherheitsumgebungen geprüft, eine Unternehmensclient- und eine Hochsicherheitsumgebung. Diese Umgebungen sind in Kapitel 2, „Konfigurieren der Domäneninfrastruktur von Active Directory“, beschrieben. Die Tests wurden auf der Grundlage von Kriterien durchgeführt, die in dem folgenden Abschnitt, „Ziele“, beschrieben sind.
Eine Bewertung von Sicherheitsanfälligkeiten der Testumgebung, die zur Absicherung der Windows XP-Sicherheitshandbuch-Lösung verwendet wurde, konnte von den Testteams nicht vorgenommen werden. Die Simulation von Eindringversuchen wurde von Partnern durchgeführt.
Ziele
Das Windows XP-Sicherheitshandbuch-Testteam orientierte sich an den folgenden Testzielen:
Sicherstellen, dass die normative Konfiguration und die Richtlinieneinstellungen für Windows XP Professional mit SP2 korrekt und wie erwartet in einem Windows Server™ 2003-basierten Domänennetzwerk für die zwei verschiedenen Sicherheitsumgebungen zusammenarbeitet.
Sicherstellen, dass Windows XP Professional SP2-Clientcomputer die grundlegenden Aufgaben und Anwendungen durchführen können, die in den enthaltenen Testfällen aufgeführt sind.
Überprüfen, ob alle Anleitungen in Version 2.1 des Windows XP-Sicherheitshandbuchs klar, vollständig und inhaltlich korrekt sind.
Überprüfen, ob die Sicherheitsvorlagen wie erwartet auf dem Windows XP Professional SP2-Clientbetriebssystem funktionieren.
Überprüfen, ob die administrativen Vorlagen und die Empfehlungen für die Richtlinie für Softwareeinschränkungen wie erwartet auf dem Windows XP Professional SP2-Clientbetriebssystem funktionieren.
Außerdem soll die Anleitung wiederholbar sein und zuverlässig von einem Microsoft Certified Systems Engineer (MSCE) mit zwei Jahren Erfahrung verwendet werden können.
Testumgebung
Die Testumgebung setzte sich zusammen aus einem Windows Server 2003 SP1 Active Directory®-Verzeichnisdienst, aus Computern für Infrastrukturserverrollen, die Domänencontroller, DNS- und DHCP-Dienste bereitstellten sowie aus weiteren Computern für Anwendungsserverrollen, die Datei-, Druck-, Web-, CA- und Microsoft Exchange 2003 E-Mail-Dienste bereitstellten. Auf den Desktop- und Laptopclientcomputern in der Domäne wurde Windows XP Professional mit SP2 ausgeführt.
Das Netzwerk enthielt außerdem zwei Clientcomputer, auf denen Windows XP Professional mit SP2 im Arbeitsgruppenmodus ausgeführt wurde, um eigenständige Sicherheitsvorlagen zu prüfen. Laptopcomputer im Domänennetzwerk wurden wiederverwendet, um eigenständige Sicherheitsvorlagen für Laptops zu prüfen. In der folgenden Abbildung ist das Testnetzwerk dargestellt.
.jpg)
Abbildung B.1: Das Netzwerk, mit dem das Windows XP-Sicherheitshandbuch im Domänen- sowie im eigenständigen Modus geprüft wurde
Bild in voller Größe anzeigen
Das Netzwerk in der folgenden Abbildung wurde entwickelt, um die abwärtskompatiblen Vorlagen zu prüfen, die in diesem Handbuch enthalten sind.
.jpg){kind=link}
.jpg)
Abbildung B.2: Das Netzwerk, mit dem die abwärtskompatiblen Sicherheitsvorlagen geprüft wurden, die in diesem Handbuch enthalten sind
Bild in voller Größe anzeigen
Zum Seitenanfang
.jpg){kind=link}
Testmethoden
In diesem Abschnitt werden die Vorgehensweisen beschrieben, die beim Testen des Windows XP-Sicherheitshandbuchs befolgt wurden.
Das Testteam hat ein Labor mit den Netzwerken eingerichtet, die im vorherigen Abschnitt dargestellt sind. Das Testteam hat einen schnellen Testdurchlauf zur Prüfung des Konzepts und anschließend zwei umfassendere Textzyklen durchgeführt. Bei jedem Durchlauf strebte das Team danach, die Lösung zu stabilisieren.
Ein Testzyklus wurde als Sequenz der zwei folgenden inkrementellen Aufbauzyklen definiert:
Manuelle Computerkonfigurationsphase
Konfigurationshase der Gruppenrichtlinie/lokalen Richtlinie
Die Einzelheiten jeder Phase sind im Abschnitt „Phasen in einem Testdurchlauf“ dargelegt. Im Abschnitt „Testvorbereitungsphase“ werden jene Schritte beschrieben, mit deren Hilfe sichergestellt wurde, dass die Testumgebung frei von jeglichen Problemen war, die zu einer Missdeutung der eigentlichen Testergebnisse hätten führen könnten, nachdem die beiden Umgebungsszenarien durch die zwei inkrementellen Aufbauphasen abgesichert worden waren.
In jedem Testdurchlauf wurden verschiedene Sätze von Testfällen durchgeführt. Diese Tests sind im Abschnitt „Testarten“ im weiteren Verlauf dieses Anhangs erklärt.
Phasen in einem Testdurchlauf
Diese Lösung wurde in den Phasen getestet, die in den folgenden Unterabschnitten beschrieben sind. Alle kritischen Zustände, die in einer Phase festgestellt wurden, wurden als Bugs berichtet und korrigiert, bevor das Testteam mit der nächsten inkrementellen Phase fortfuhr. Durch diese Methode wurde die rasche Korrektur kritischer Zustände sichergestellt. Außerdem wurde der Bedarf an Ressourcen minimiert, die erforderlich wären, um Probleme in späteren Phasen zu debuggen.
Testvorbereitungsphase
In dieser Phase wurde das grundlegende Netzwerk eingerichtet, auf das die Lösung angewendet wurde. Die Phase bestand aus folgenden Schritten.
So führen Sie die Testvorbereitungsphase durch
Vernetzen Sie die Computer wie im Netzwerkdiagramm dargestellt. Installieren Sie die entsprechenden Versionen des Windows-Betriebssystems auf allen Server- und Clientcomputern.
Erstellen und konfigurieren Sie Domänencontroller, Domänen und jede Serverrolle. Fügen Sie die Windows XP Professional mit SP2-Clientcomputer der Domäne hinzu.
Installieren Sie Benutzeranwendungen auf jedem Windows XP Professional mit SP2-Clientcomputer.
Führen Sie grundlegende Überprüfungen durch, um die richtige Konfiguration des Netzwerks sicherzustellen. Stellen Sie sicher, dass die Clientcomputer auf die Dienste zugreifen können, die vom Domänencontroller und den Mitgliedsservern (DNS-, DHCP-, Zertifizierungsstellen-, Datei-, Druck-, Web- und E-Mail-Server) bereitgestellt werden.
Führen Sie die installierten Anwendungen aus, um zu überprüfen, ob Installationsprobleme vorliegen und ob alle Anwendungen ordnungsgemäß ausgeführt werden.
Prüfen Sie das Ereignisprotokoll, um sicherzustellen, dass keine Fehler vorliegen.
Sobald die vorangegangenen Schritte abgeschlossen sind, erstellen Sie von jedem Computer ein Sicherungsabbild. Mit diesen Sicherungsabbildern wird das Netzwerk in den Standardzustand zurückversetzt, bevor ein neuer Testdurchlauf gestartet wird.
Manuelle Konfigurationsphase
Diese Phase ist häufig die erste Aufbauphase für die Sicherheit. Sie besteht aus dem folgenden Aufbauverfahren.
So führen Sie die manuelle Konfigurationsphase durch
Mit dem Computerverwaltungs-Snap-In der Microsoft Management Console (MMC) werden die vorgeschriebenen Änderungen der Richtlinieneinstellungen durchgeführt, z. B. in Bezug auf das lokale Administratorkonto und das entsprechende Kennwort auf jedem Mitgliedscomputer. Führen Sie zum Absichern der Domänenkonten (Gast- und Administratorkonten) die folgenden Schritte aus:
Deaktivieren Sie das Gastkonto.
Stellen Sie sicher, dass das vordefinierte Administratorkonto über ein komplexes Kennwort verfügt und umbenannt wurde und dass seine Standardkontobeschreibung entfernt wurde.
Berücksichtigen Sie die zusätzlichen Empfehlungen aus dem Handbuch zum Absichern der Domänenkonten.
Führen Sie alle weiteren anwendbaren manuellen Sicherungsverfahren durch, die in den einzelnen Kapiteln des Handbuchs beschrieben sind.
Erstellen Sie manuell eine sichere Datenbank für eigenständige Windows XP-Clientcomputer.
Konfigurationshase der Gruppenrichtlinie/lokalen Richtlinie
In dieser Phase werden die Gruppenrichtlinienobjekte (GPOs) auf die Domänen- und Organisationsebenen angewendet. Gruppenrichtlinienobjekte werden anhand der Empfehlungen in Kapitel 2, „Konfigurieren der Domäneninfrastruktur von Active Directory“, auf die verschiedenen Organisationseinheiten angewendet. Bei eigenständigen Windows XP-Clientcomputern wird eine lokale Richtlinie konfiguriert. Diese Phase besteht aus folgenden Schritten.
So führen Sie die Konfigurationsphase für die Gruppenrichtlinie/lokale Richtlinie durch
Erstellen Sie die beschriebene Organisationseinheitsstruktur, um die Empfehlungen für die Gruppenrichtlinien zu unterstützen, die in dem Handbuch dargelegt werden.
Verschieben Sie die Windows XP-Desktop- und Laptopclientcomputer in die entsprechenden Organisationseinheiten.
Identifizieren Sie die Domänenbenutzer, und verschieben Sie sie in die entsprechenden Organisationseinheiten, damit Sie die administrativen Vorlagen anwenden können.
Fügen Sie für jede Organisationseinheit eine neue GPO-Verknüpfung hinzu.
Hinweis: Gegebenenfalls müssen Sie die GPO-Verknüpfung in der Prioritätenliste erhöhen, in der bereits standardmäßige GPO-Verknüpfungen vorhanden sind.
Importieren Sie die Sicherheitsvorlage, die mit dem Handbuch geliefert wurde, in das Gruppenrichtlinienobjekt.
Wenden Sie für jedes Umgebungsszenario in den verschiedenen Kapiteln die entsprechende Gruppenrichtlinie auf jede Organisationseinheit an.
Details zur Testdurchführung
In den Kapiteln 2 bis 6 des Windows XP-Sicherheitshandbuchs werden Anweisungen zum Anwenden der Sicherheitsempfehlungen bereitgestellt, und zwar für die Domäne, Windows XP-Desktopcomputer, Windows XP-Laptopcomputer und eigenständige Windows XP-Clientcomputer für die Unternehmensclient- und Hochsicherheitsumgebungen, die im Handbuch definiert sind. Diese Empfehlungen werden von einer Microsoft Excel®-Arbeitsmappe, Sicherheitsvorlagen, administrativen Vorlagen und automatisierten Skripts begleitet. Mit den automatisierten Skripts werden auf den sicheren eigenständigen Clientcomputern Vorlagen in das lokale Gruppenrichtlinienobjekt importiert. In diesem Abschnitt wird erklärt, wie die Empfehlungen implementiert und getestet wurden.
Kapitel 2: Konfigurieren der Domäneninfrastruktur von Active Directory
Führen Sie zum Testen dieses Kapitels folgende Verfahren durch.
So testen Sie das grundlegende Netzwerk
- Führen Sie die Testfälle zur grundlegenden Überprüfung durch, um das richtige Funktionieren der Sicherungsabbilderstellung zu gewährleisten. Ein erfolgreicher Abschluss dieser Testfälle bestätigt, dass die Einstiegskriterien erfüllt sind.
So starten Sie die manuelle Konfigurationsphase
Synchronisieren Sie die Zeit aller Domänenmitgliedsserver und der Windows XP-Clientcomputer mit dem Domänencontroller.
Deaktivieren Sie das Gastkonto.
Benennen Sie die Administrator- und Gastkonten um.
Ändern Sie das Administratorkennwort.
So implementieren Sie die Konfiguration der Organisationseinheitsstruktur
Erstellen Sie in der Domäne corp.woodgrovebank.com eine Organisationseinheit mit dem Namen „Abteilungs-Organisationseinheit“.
Erstellen Sie in der Abteilungs-Organisationseinheit zwei Suborganisationseinheiten. Nennen Sie sie „Organisationseinheit Windows XP“ und „Organisationseinheit Geschützte XP-Benutzer“.
Erstellen Sie in der Organisationseinheit für Windows XP folgende vier Suborganisationseinheiten:
Organisationseinheit EC-Desktop
Organisationseinheit EC-Laptop
Organisationseinheit SSLF-Desktop
Organisationseinheit SSLF-Laptop
Verschieben Sie die Windows XP-Computer, die jeder Sicherheitsumgebung zugewiesen sind, in die jeweiligen Organisationseinheiten.
Verschieben Sie die Domänenbenutzer, die sich bei den Windows XP-Clientcomputern anmelden werden, in die Organisationseinheit für geschützte XP-Benutzer.
Erstellen Sie in dem Objekt corp.woodgrovebank.com ein neues Gruppenrichtlinienobjekt mit dem Namen „Domänenrichtlinie“, und verknüpfen Sie es. Klicken Sie im MMC-Snap-In „Active Directory-Benutzer und -Computer“ auf der Registerkarte „Gruppenrichtlinie“ des Domänenobjekts auf Nach oben, um sicherzustellen, dass das neue Gruppenrichtlinienobjekt die höchste Priorität erhält. Importieren Sie anschließend die entsprechende Sicherheitsvorlage (Hochsicher-Domäne.inf oder Unternehmensclient-Domäne.inf) in das Gruppenrichtlinienobjekt.
Führen Sie auf dem Domänencontroller den Befehl gpupdate /force aus, um die neuesten Gruppenrichtlinieneinstellungen herunterzuladen.
Kapitel 3: Sicherheitseinstellungen für Windows XP-Clients
In diesem Kapitel werden die primären Einstellungen beschrieben, die in einer Windows Server 2003-Domäne durch Gruppenrichtlinien konfiguriert werden. Es werden Richtlinieneinstellungen für die beiden definierten Sicherheitsumgebungen empfohlen, mit denen die Sicherheit von Desktops und Laptops mit Windows XP mit SP2 gewährleistet werden kann.
So konfigurieren Sie die Sicherheitsvorlageneinstellungen
Führen Sie die grundlegenden Bereitstellungsprüfungen durch, um zu überprüfen, ob sich alle Empfehlungen im Handbuch für Ihre Umgebung eignen. Überprüfen Sie die empfohlenen Richtlinieneinstellungen. Ändern Sie die Einstellungen in den Sicherheitsvorlagen nach Bedarf, bevor Sie mit der Bereitstellung fortfahren.
Verknüpfen Sie neue Gruppenrichtlinienobjekte mit jeder der beiden Desktop-Organisationseinheiten. Importieren Sie für die Unternehmensclientumgebung die Sicherheitsvorlage „Unternehmensclient - Desktop.inf“ in das Gruppenrichtlinienobjekt. Importieren Sie für die Hochsicherheitsumgebung die Sicherheitsvorlage „Hochsicher - Desktop.inf“ in das Gruppenrichtlinienobjekt.
Verknüpfen Sie neue Gruppenrichtlinienobjekte mit jeder der beiden Laptop-Organisationseinheiten. Importieren Sie für die Unternehmensclientumgebung die Sicherheitsvorlage „Unternehmensclient - Laptop.inf“ in das Gruppenrichtlinienobjekt. Importieren Sie für die Hochsicherheitsumgebung die Sicherheitsvorlage „Hochsicher - Laptop.inf“ in das Gruppenrichtlinienobjekt.
Melden Sie sich bei einem Windows XP-Clientcomputer an und führen Sie den Befehl gpupdate /force aus. Starten Sie den Computer anschließend neu, um sicherzustellen, dass die neuesten Gruppenrichtlinieneinstellungen heruntergeladen werden.
Führen Sie die Prüfungen durch, die im weiteren Verlauf dieses Dokuments aufgeführt sind.
Kapitel 4: Administrative Vorlagen für Windows XP
In diesem Kapitel wird beschrieben, wie unter Verwendung von administrativen Vorlagen zusätzliche Richtlinieneinstellungen auf Computern mit Microsoft Windows XP mit SP2 konfiguriert und angewendet werden.
So konfigurieren Sie die Einstellungen der administrativen Vorlagen
Führen Sie die grundlegenden Bereitstellungsprüfungen durch, um zu überprüfen, ob sich alle Empfehlungen im Handbuch für Ihre Umgebung eignen. Überprüfen Sie die empfohlenen Richtlinieneinstellungen. Ändern Sie die Einstellungen in den administrativen Vorlagen nach Bedarf, bevor Sie mit der Bereitstellung fortfahren.
Erstellen Sie vier neue Gruppenrichtlinienobjekte, eines für jeden der vier Typen von Windows XP-Clientcomputern. Da die Richtlinieneinstellungen für Desktops und Laptops voneinander abweichen, wird vorgeschlagen, separate Gruppenrichtlinienobjekte zu erstellen.
Richtlinie administrativer Vorlagen für Unternehmensclient-Desktop
Richtlinie administrativer Vorlagen für Unternehmensclient-Laptop
Richtlinie administrativer Vorlagen für Hochsicherheits-Desktop
Richtlinie administrativer Vorlagen für Hochsicherheits-Laptop
Konfigurieren Sie in den administrativen Vorlagen die Computerkonfigurationseinstellungen und Benutzerkonfigurationseinstellungen für jedes der Gruppenrichtlinienobjekte gemäß der Anleitung in Kapitel 4, „Administrative Vorlagen für Windows XP“.
Verknüpfen Sie die Gruppenrichtlinienobjekte mit ihren jeweiligen Organisationseinheiten.
Melden Sie sich bei einem Windows XP-Clientcomputer an, und führen Sie den Befehl gpupdate /force aus. Starten Sie den Computer anschließend neu, um sicherzustellen, dass die neuesten Gruppenrichtlinieneinstellungen heruntergeladen werden.
Führen Sie die Prüfungen durch, die im weiteren Verlauf dieses Anhangs aufgeführt sind.
Kapitel 5: Schützen eigenständiger Windows XP-Clients
In diesem Kapitel werden die primären Richtlinieneinstellungen beschrieben, die durch die Richtlinie für lokale Computer festgelegt werden. Durch die genannten Einstellungswerte wird in der Organisation die Sicherheit der eigenständigen Desktops und Laptops mit Windows XP mit SP2 gewährleistet.
So konfigurieren Sie Sicherheitseinstellungen auf eigenständigen Windows XP-Clients
Führen Sie die grundlegenden Bereitstellungsprüfungen durch, um zu bestätigen, dass sich alle Empfehlungen im Handbuch für Ihre Umgebung eignen.
Verwenden Sie zum Erstellen einer Sicherheitsdatenbank das MMC Snap-In für Sicherheitskonfiguration und -analyse. Mithilfe dieser Datenbank wird in die lokale Richtlinie geschrieben. In Kapitel 5, „Schützen eigenständiger Windows XP-Clients“, werden detaillierte Anweisungen zur Verfügung gestellt.
Verwenden Sie das MMC Snap-In für Sicherheitskonfiguration und -analyse, um die Richtlinieneinstellungen anzuwenden, die in den eigenständigen Sicherheitsvorlagendateien enthalten sind. In Kapitel 5, „Schützen eigenständiger Windows XP-Clients“, werden detaillierte Anweisungen zur Verfügung gestellt. Das Snap-In für Sicherheitskonfiguration und -analyse muss verwendet werden, denn Richtlinieneinstellungen für Systemdienste können nicht mit dem Snap-In für die Richtlinie für lokale Computer angewendet werden.
Führen Sie zum Importieren der Sicherheitsvorlagen das entsprechende automatisierte Skript aus (im Lieferumfang dieses Handbuchs enthalten).
Führen Sie die Prüfungen durch, die im weiteren Verlauf dieses Anhangs aufgeführt sind.
Kapitel 6: Richtlinie für Softwareeinschränkungen auf Windows XP-Clients
Mithilfe dieses Kapitels können Administratoren die in ihrer Domäne ausgeführte Software identifizieren und kontrollieren. Bei dem Tool, mit dem diese Kontrolle erreicht wird, handelt es sich um einen auf Richtlinien beruhenden Mechanismus, der „Richtlinie für Softwareeinschränkungen“ genannt wird.
So konfigurieren Sie die Richtlinie für Softwareeinschränkungen
Führen Sie die grundlegenden Bereitstellungsprüfungen durch, um zu bestätigen, dass sich alle Empfehlungen im Handbuch für Ihre Umgebung eignen.
Suchen Sie nach der Organisationseinheit, die für die Windows XP-Desktops und -Laptops erstellt wurde. Bei eigenständigen Clientcomputern befinden sich die Richtlinieneinstellungen in der lokalen Sicherheitsrichtlinie. Erstellen Sie ein neues Gruppenrichtlinienobjekt für die Organisationseinheit für Windows XP. Dieses neue Gruppenrichtlinienobjekt wird nur für die Richtlinie für Softwareeinschränkungen verwendet.
Konfigurieren Sie die Richtlinie für Softwareeinschränkungen wie folgt:
a. Erstellen Sie eine Standardrichtlinie für Softwareeinschränkungen.
b. Richten Sie die Pfadregeln ein.
c. Legen Sie die Richtlinienoptionen gemäß den bereitgestellten Verordnungen fest, z. B. Erzwingung, designierte Dateitypen und vertrauenswürdige Herausgeber.
Überprüfen Sie die Richtlinieneinstellungen, und setzen Sie dann die Standardrichtlinieneinstellung auf Nicht erlaubt zurück.
Melden Sie sich bei einem Windows XP-Clientcomputer an und führen Sie den Befehl gpupdate /force aus. Starten Sie den Computer anschließend neu, um sicherzustellen, dass die neuesten Gruppenrichtlinieneinstellungen heruntergeladen werden.
Führen Sie die Prüfungen durch, die im weiteren Verlauf dieses Anhangs aufgeführt sind.
Überprüfen des Herunterladens von Gruppenrichtlinien auf dem XP-Client
In den vorangegangenen Abschnitten wurden Gruppenrichtlinienobjekte auf Organisationseinheiten angewendet, welche dann die Gruppenrichtlinienobjekte auf die Computer in den Organisationseinheiten angewendet haben. Führen Sie die folgenden Schritte durch, um das erfolgreiche Herunterladen von Gruppenrichtlinien vom Domänencontroller auf einen Windows XP-Clientcomputer zu bestätigen. Es wird davon ausgegangen, dass der Clientcomputer neu gestartet wurde, nachdem das Gruppenrichtlinienobjekt mit der Organisationseinheit verknüpft wurde.
So überprüfen Sie das Herunterladen von Gruppenrichtlinien auf einen Windows XP-Clientcomputer
Melden Sie sich beim Windows XP-Clientcomputer an.
Klicken Sie auf Start und auf Ausführen, geben Sie rsop.msc ein, und drücken Sie die Eingabetaste.
Erweitern Sie in der Konsole Richtlinienergebnissatz den Konsolenstamm, und wechseln Sie zu Computerkonfiguration.
Klicken Sie mit der rechten Maustaste auf Computerkonfiguration, und klicken Sie auf Eigenschaften.
Im Fenster Eigenschaften von Computerkonfiguration wird die Liste der Gruppenrichtlinienobjekte angezeigt. Das auf die Organisationseinheit angewendete Gruppenrichtlinienobjekt sollte in der Liste verfügbar sein, und es sollten keine Fehler damit verbunden sein.
Überprüfen Sie die Richtlinieneinstellungen für die administrativen Vorlagen.
In dem entsprechenden Ordner Administrative Vorlagen unter Computerkonfiguration bzw. Benutzerkonfiguration sollten nur die Einstellungen zu sehen sein, die im Gruppenrichtlinienobjekt „Administrative Vorlage“ konfiguriert sind.
Testtypen
Das Testteam hat während der Testphasen die folgenden Arten von Tests durchgeführt, um sicherzustellen, dass die gesicherten Windows XP-Clientcomputer in der Lage sind, grundlegende Aufgaben ohne bedeutenden Verlust der Funktionalität durchführen zu können. Sie können die Excel-Arbeitsmappe „Windows XP Security Guide Test Cases.xls“ zu Rate ziehen. Diese befindet sich im Ordner \Tools und Vorlagen für das Windows XP Sicherheitshandbuch\Testtools, der im Download für dieses Handbuch enthalten sind. Diese Arbeitsmappendatei enthält die vollständige Liste der Testfälle, die für domänenbasierte XP-Clientcomputer und eigenständige XP-Clientcomputer durchgeführt wurden, sowie Details wie z. B. Testszenarien, Ausführungsschritte und erwartete Ergebnisse.
Anwendungstests
Bei diesen Tests wird geprüft, ob Benutzeranwendungen, die auf den Windows XP-Clientcomputern installiert sind (wie z. B. die Anwendungssuite Office 2003, Windows Media® Player und einige andere), ordnungsgemäß funktionieren. Ausführlichere Informationen zu den Testfällen finden Sie in der Excel-Arbeitsmappe „Windows XP Security Guide Test Cases.xls“, die in diesem Handbuch enthalten ist.
Tests mit automatisiertem Skript
Einige der Testfallszenarien wurden in VBScript erstellt. Diese Testfälle befassen sich hauptsächlich mit dem ordnungsgemäßen Funktionieren von Windows XP-Clientcomputern, die netzwerkbasierte Dienste wie z. B. Domänenanmeldung, Kennwortänderung und Druckserverzugriff verwenden. Die VBScript-Dateien für diese Testfälle befinden sich im Ordner \Tools und Vorlagen für das Windows XP Sicherheitshandbuch\Testtools, die im Download für dieses Handbuch enthalten sind.
Grundlegende Überprüfungen
Diese Testfälle sind ein Teil der Anwendungs- und Internettests sowie der Tests mit automatisiertem Skript. Es handelt sich dabei um grundlegende Tests, die eine Reihe verschiedener Szenarien abdecken, wie z. B. die Möglichkeit, auf dem Client installierte Anwendungen auszuführen, das Testen der Client-Server-Kommunikation, die Möglichkeit, auf das Internet zuzugreifen und Patches herunterzuladen sowie Tests, bei denen Fehler auf dem Host überwacht werden. Diese Testfälle werden auch ausgeführt, wenn Sie während der Testvorbereitungsphase eine Baseline für das Netzwerk einrichten.
Dokumentationserstellungstests
Anhand dieser Tests wird bestätigt, dass die in der Implementierungsanleitung dokumentierten Aussagen, Verfahren und Funktionen korrekt, eindeutig und vollständig sind. Für diese Tests sind keine separaten Testfälle aufgeführt.
Funktionstests
Anhand dieser Tests soll überprüft werden, ob das nach den Hinweisen zum Erstellen aufgebaute System richtig und wie erwartet funktioniert. Mit diesen Tests werden die Funktionalität und der Zustand der Erstellungsverfahren sowie ihre Auswirkungen auf die Desktop- und Laptopclientcomputer überprüft.
Internetbasierte Tests
Die Computerbenutzer von heute müssen in der Regel auf das Internet zugreifen. Mithilfe dieser Testfälle wird sichergestellt, dass einige der alltäglichen Funktionen (Besuchen von Websites, Verwenden von Windows Messenger, Herunterladen wichtiger Updates von der Microsoft Update-Website) nicht vom Sperrmodus des Windows XP-Clientcomputers betroffen sind.
Erfolgs- und Misserfolgskriterien
Bevor Tests durchgeführt wurden, wurden die folgenden Kriterien festgelegt, um die Fehlervorbeugung und -behebung zu gewährleisten:
Alle Testfälle müssen mit den erwarteten Ergebnissen bestanden werden, die in den einzelnen Testfalltabellen beschrieben sind.
Ein Testfall wird als bestanden betrachtet, wenn das tatsächliche Ergebnis mit dem erwarteten Ergebnis übereinstimmt, das für den Fall dokumentiert ist. Wenn das tatsächliche Ergebnis nicht mit dem erwarteten Ergebnis übereinstimmt, wird der Testfall als nicht bestanden betrachtet. Es wird ein Bug erstellt und ein Schweregrad zugewiesen.
Wenn ein Testfall nicht bestanden wird, wird nicht unbedingt davon ausgegangen, dass die Lösung mangelhaft ist. Fehler könnten z. B. durch eine Missdeutung der Produktdokumentation bzw. durch eine unvollständige oder unpräzise Dokumentation verursacht werden. Jeder Fehler wird analysiert, um seine Ursache zu ergründen. Dabei dienen die tatsächlichen Ergebnisse und die in der Projektdokumentation beschriebenen Ergebnisse als Grundlage. Fehlerinformationen werden auch an die entsprechenden Besitzer der jeweiligen Microsoft-Produkte weitergeleitet.
Veröffentlichungskriterien
Das primäre Veröffentlichungskriterium für das Windows XP-Sicherheitshandbuch stand in Zusammenhang mit dem Schweregrad der Bugs, die noch offen waren. Es wurden jedoch auch andere Probleme erörtert, die nicht durch Bugs erfasst wurden. Die Veröffentlichungskriterien lauten wie folgt:
Keine offenen Bugs der Schweregrade 1 und 2.
Alle offenen Bugs werden vom Führungsteam behoben, und ihre Auswirkungen sind vollständig bekannt.
Lösungshandbücher enthalten keinerlei Kommentare und Korrekturzeichen.
Die Lösung besteht alle Testfälle in der Testumgebung.
Die Inhalte der Lösung enthalten keine Widersprüche.
Bug-Klassifizierung
Die Schweregradskala für Bugs wird in der nachstehenden Tabelle beschrieben. Die Skala reicht von 1 bis 4, wobei 1 der höchste und 4 der niedrigste Schweregrad ist.
Tabelle B.1: Schweregradklassifizierung für Bugs
| Schweregrad | Häufigste Typen | Erforderliche Bedingungen |
|---|---|---|
| 1 | – Bug blockierte Aufbau oder weitere Tests. – Bug hat unerwarteten Benutzerzugriff verursacht. – Die in der Dokumentation definierten Schritte waren unklar. – Ergebnisse oder Verhalten einer Funktion oder eines Prozesses widersprechen den erwarteten Ergebnissen (die in der funktionalen Spezifikation dokumentiert sind). – Grobe Ungleichheit zwischen den Sicherheitsvorlagendateien und der funktionalen Spezifikation. |
– Lösung hat nicht funktioniert. – Benutzer konnte bedeutende Teile des Systems nicht einmal ansatzweise verwenden. – Benutzer hatte Zugriffsberechtigungen, die nicht zulässig sein sollten. – Benutzerzugriff auf bestimmte Server war blockiert, hätte aber möglich sein müssen. – Erwartete Ergebnisse wurden nicht erreicht. – Die Tests können erst fortgesetzt werden, wenn die Bugs behoben sind. |
| 2 | – Im Handbuch definierte Schritte sind unklar. – Dokumentierte Funktionalität fehlt (Test wurde in diesem Fall blockiert). – Dokumentation fehlt oder ist unzureichend. – Inkonsistenz zwischen Sicherheitsvorlagendateien und Inhalt des Handbuchs, doch die Sicherheitsvorlagendatei ist mit der funktionalen Spezifikation synchron. |
– Benutzer hatte keine einfache Problemumgehung zur Verfügung, um die Situation zu verbessern. – Benutzer konnte keine einfache Problemumgehung finden. – Wichtige Geschäftsanforderungen konnten nicht vom System erfüllt werden. |
| 3 | – Dokumentiertes Formatproblem. – Geringfügige Fehler und Ungenauigkeiten in der Dokumentation. – Rechtschreibfehler im Text. |
– Benutzer verfügt über eine einfache Problemumgehung. – Benutzer kann leicht eine Problemumgehung finden. – Bug beeinträchtigt Benutzerfreundlichkeit nicht. – Wichtige Geschäftsanforderungen funktionieren noch. |
| 4 | – Vorschläge. – Zukünftige Verbesserungen. |
– Bezieht sich eindeutig nicht auf diese Version. |