Konfigurieren der Netzwerksicherheit für den SNMP-Dienst in Windows Server 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 324261 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
324261 How to configure Network Security for the SNMP Service in Windows Server 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Der vorliegende Artikel beschreibt Schritt für Schritt, wie Sie die Netzwerksicherheit für den SNMP (Simple Network Management Protocol)-Dienst unter Windows Server 2003 konfigurieren können.

Der SNMP-Dienst fungiert als Agent, der Informationen zur Weitermeldung an SNMP-Verwaltungsstationen oder -konsolen sammelt. Mit dem SNMP-Dienst können Sie Daten sammeln und Windows Server 2003-, Microsoft Windows XP- sowie Windows 2000-Computer in einem Firmennetzwerk verwalten.

Die Kommunikation zwischen SNMP-Agenten und SNMP-Verwaltungsstationen wird i. d. R. durch einen gemeinsam verwendeten Communitynamen für Agenten und Verwaltungsstationen gesichert. Wenn eine SNMP-Verwaltungsstation eine Abfrage an den SNMP-Dienst sendet, wird der Communityname des Anfordernden mit dem Communitynamen des Agenten verglichen. Wenn diese übereinstimmen, wurde die SNMP-Verwaltungsstation authentifiziert. Falls sie nicht übereinstimmen, geht der SNMP-Agent von einem fehlgeschlagen Zugriffsversuch aus und sendet unter Umständen eine SNMP-Trap-Nachricht.

SNMP-Nachrichten werden in Klartext gesendet. Diese Klartextnachrichten können von Netzwerkanalyseprogrammen wie Microsoft Netzwerkmonitor abgefangen und decodiert werden. Communitynamen können von nicht autorisierten Personen ermittelt und zum Abfragen wichtiger Informationen über Netzwerkressourcen verwendet werden.

Zum Schutz der SNMP-Kommunikation kann das IPSec (IP Security Protocol)-Protokoll verwendet werden. Sie können IPSec-Richtlinien erstellen, um die Kommunikation über die TCP- und UDP-Ports 161 und 162 zu sichern. Auf diese Weise werden auch SNMP-Transaktionen gesichert.

Erstellen einer Filterliste

Zum Erstellen einer IPSec-Richtlinie für sichere SNMP-Nachrichten erstellen Sie zunächst eine Filterliste. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie Sicherheitseinstellungen, klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf Lokaler Computer, und klicken Sie anschließend auf IP-Filterlisten und Filteraktionen verwalten.
  3. Klicken Sie auf die Registerkarte IP-Filterlisten verwalten und dann auf Hinzufügen.
  4. Geben Sie im Dialogfeld IP-Filterliste im Feld Name den Namen SNMP-Nachrichten (161/162) ein, und geben Sie anschließend Filter für TCP- und UDP-Port 161 im Feld Beschreibung ein.
  5. Deaktivieren Sie das Kontrollkästchen Assistent verwenden. Klicken Sie dann auf Hinzufügen.
  6. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  7. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 161 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 161 in das Eingabefeld ein.
  8. Klicken Sie auf OK.
  9. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  10. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.?
  11. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 161 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 161 in das Eingabefeld ein.
  12. Klicken Sie auf OK.
  13. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  14. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  15. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf UDP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 162 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 162 in das Eingabefeld ein.
  16. Klicken Sie auf OK.
  17. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  18. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  19. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 162 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 162 in das Eingabefeld ein.
  20. Klicken Sie auf OK.
  21. Klicken Sie im Dialogfeld IP-Filterliste auf OK, und klicken Sie anschließend im Dialogfeld IP-Filterlisten und Filteraktionen verwalten ebenfalls auf OK.

Erstellen einer IPSec-Richtlinie

Gehen Sie folgendermaßen vor, um eine IPSec-Richtlinie zu erstellen, mit der für die SNMP-Kommunikation IPSec erzwungen wird:
  1. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf Lokaler Computer, und klicken Sie anschließend auf IP-Sicherheitsrichtlinie erstellen.

    Der IP-Sicherheitsrichtlinien-Assistent wird gestartet.
  2. Klicken Sie auf Weiter.
  3. Geben Sie auf der Seite "IP-Sicherheitsrichtlinienname" im Feld Name die Bezeichnung Secure SNMP ein. Geben Sie im Feld Beschreibung den erläuternden Text IPSec für SNMP-Kommunikation erzwingen ein, und klicken Sie anschließend auf Weiter.
  4. Deaktivieren Sie das Kontrollkästchen Die Standardantwortregel aktivieren, und klicken Sie anschließend auf Weiter.
  5. Aktivieren Sie im Dialogfeld Fertigstellen des Assistenten das Kontrollkästchen Eigenschaften bearbeiten (falls es nicht bereits aktiviert ist), und klicken Sie anschließend auf Fertig stellen.
  6. Deaktivieren Sie im Dialogfeld Eigenschaften von Secure SNMP das Kontrollkästchen Assistent verwenden, und klicken Sie dann auf die Schaltfläche Hinzufügen.
  7. Klicken Sie auf die Registerkarte IP-Filterliste und dann auf SNMP-Nachrichten (161/162).
  8. Klicken Sie auf die Registerkarte Filteraktion und dann auf Sicherheit erforderlich.
  9. Klicken Sie auf die Registerkarte Authentifizierungsmethoden. Die Standardauthentifizierungsmethode ist Kerberos. Falls eine andere Authentifizierungsmethode benötigt wird, klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Eigenschaften von Neue Authentifizierungsmethode die gewünschte Authentifizierungsmethode aus der nachfolgenden Liste, und klicken Sie anschließend auf OK:
    • Active Directory-Standard (Kerberos V5-Protokoll)
    • Ein Zertifikat von folgender Zertifizierungsstelle verwenden
    • Diese Zeichenfolge (vorinstallierter Schlüssel) verwenden
  10. Klicken Sie im Dialogfeld Eigenschaften von Neue Regel auf Übernehmen, und klicken Sie anschließend auf OK.
  11. Vergewissern Sie sich, dass im Dialogfeld Eigenschaften von SNMP das Kontrollkästchen SNMP-Nachrichten (161/162) aktiviert ist, und klicken Sie anschließend auf OK.
  12. Klicken Sie im rechten Fensterbereich der Konsole "Lokale Sicherheitseinstellungen" mit der rechten Maustaste auf die Regel Secure SNMP, und klicken Sie anschließend auf Zuweisen.
Führen Sie dieses Verfahren auf allen Windows-Computern durch, die den SNMP-Dienst ausführen. Die IPSec-Richtlinie muss auch auf der SNMP-Verwaltungsstation konfiguriert werden.

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
324263 SO WIRD'S GEMACHT: Konfigurieren des SNMP-Dienstes (Simple Network Management Protocol) in Windows Server 2003

Eigenschaften

Artikel-ID: 324261 - Geändert am: Montag, 3. Dezember 2007 - Version: 7.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbnetwork kbenv kbhowtomaster KB324261
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com