Τρόπος ρύθμισης παραμέτρων της ασφάλειας δικτύου για την υπηρεσία SNMP στο Windows Server 2003

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 324261 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο περιγράφει βήμα-βήμα τον τρόπο ρύθμισης παραμέτρων της ασφάλειας του δικτύου για την υπηρεσία Simple Network Management Protocol (SNMP) στον Windows Server 2003.

Η υπηρεσία SNMP ενεργεί ως παράγοντας που συλλέγει πληροφορίες που μπορούν να αναφερθούν στους σταθμούς και τις κονσόλες διαχείρισης SNMP. Μπορείτε να χρησιμοποιήσετε την υπηρεσία SNMP για να συλλέγετε δεδομένα και να διαχειρίζεστε τους υπολογιστές που βασίζονται στα Windows Server 2003, Microsoft Windows XP και Microsoft Windows 2000 σε όλο το εταιρικό δίκτυο.

Οι επικοινωνίες μεταξύ παραγόντων SNMP και σταθμών διαχείρισης SNMP ασφαλίζονται με την εκχώρηση κοινόχρηστου ονόματος κοινότητας στους παράγοντες και στους σταθμούς διαχείρισης. Όταν ένας σταθμός διαχείρισης SNMP στείλει ερώτημα στην υπηρεσία SNMP, το όνομα κοινότητας του αιτούντος συγκρίνεται με το όνομα κοινότητας του παράγοντα. Αν ταιριάζουν, τότε έχει ελεγχθεί η ταυτότητα του σταθμού διαχείρισης SNMP. Αν δεν ταιριάζουν, ο παράγοντας SNMP θεωρεί το αίτημα ως προσπάθεια "αποτυχημένης πρόσβασης" και μπορεί να στείλει μήνυμα παγίδευσης SNMP.

Τα μηνύματα SNMP αποστέλλονται σε σαφές κείμενο. Αυτά τα σαφή μηνύματα κειμένου υποκλέπτονται και αποκωδικοποιούνται εύκολα από αναλυτές δικτύων, όπως ο Microsoft Network Monitor. Τα ονόματα κοινοτήτων μπορούν να καταγραφούν και να χρησιμοποιηθούν από μη εξουσιοδοτημένο προσωπικό με σκοπό την απόκτηση πολύτιμων πληροφοριών που αφορούν πόρους δικτύου.

Το πρωτόκολλο IP Security Protocol (IPSec) μπορεί να χρησιμοποιηθεί για την προστασία των επικοινωνιών SNMP. Μπορείτε να δημιουργήσετε πολιτικές IPSec για τη διασφάλιση των επικοινωνιών στις θύρες TCP και UDP 161 και 162 για τη διασφάλιση των συναλλαγών SNMP.

Δημιουργία λίστας φίλτρων

Για να δημιουργήσετε μια πολιτική IPSec για τη διασφάλιση μηνυμάτων SNMP, πρώτα δημιουργήστε μια λίστα φίλτρων. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Εργαλεία διαχείρισης (Administrative Tools), και στη συνέχεια κάντε κλικ στην επιλογή Τοπική πολιτική ασφαλείας (Local Security Policy).
  2. Αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας (Security Settings), κάντε δεξιό κλικ στο στοιχείο Πολιτικές ασφαλείας IP στον τοπικό υπολογιστή (IP Security Policies on Local Computer), και στη συνέχεια κάντε κλικ στην εντολή Διαχείριση λίστας φίλτρων IP και ενεργειών φίλτρου (Manage IP filter lists and filter actions).
  3. Κάντε κλικ στην καρτέλα Διαχείριση λίστας φίλτρων IP (Manage IP Filter Lists) και κάντε κλικ στο κουμπί Προσθήκη (Add).
  4. Στο παράθυρο διαλόγου Λίστα φίλτρων IP (IP Filter List) πληκτρολογήστε Μηνύματα SNMP (161/162) (SNMP Messages (161/162)) στο πλαίσιο Όνομα (Name) και πληκτρολογήστε Φίλτρο για θύρες TCP και UDP 161 (Filter for TCP and UDP ports 161) στο πλαίσιο Περιγραφή (Description).
  5. Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Χρήση του Οδηγού προσθήκης (Use Add Wizard) και κάντε κλικ στο κουμπί Προσθήκη (Add).
  6. Στο πλαίσιο Διεύθυνση προέλευσης (Source address) στην καρτέλα Διευθύνσεις (Addresses) του παραθύρου διαλόγου Ιδιότητες φίλτρου ΙΡ (IP Filter Properties) που εμφανίζεται, κάντε κλικ στην επιλογή Κάθε διεύθυνση IP (Any IP address). Στο πλαίσιο Διεύθυνση προορισμού (Destination address) κάντε κλικ στην επιλογή Η διεύθυνση IP (My IP Address). Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Δημιουργία ειδώλου. Συμφωνία επίσης των πακέτων με τις ακριβώς αντίθετες διευθύνσεις προέλευσης και προορισμού. (Mirrored. Match pockets with the exact opposite source and destination addresses).
  7. Κάντε κλικ στην καρτέλα Πρωτόκολλο (Protocol). Στο πλαίσιο Επιλέξτε έναν τύπο πρωτοκόλλου (Select a protocol type) κάντε κλικ στο στοιχείο UDP. Στο πλαίσιο Ορισμός της θύρας πρωτοκόλλου IP (Set the IP protocol port) κάντε κλικ στην επιλογή Από αυτήν τη θύρα (From this port), και πληκτρολογήστε 161 στο πλαίσιο. Κάντε κλικ στην επιλογή Σε αυτήν τη θύρα (To this port), και πληκτρολογήστε 161 στο πλαίσιο.
  8. Κάντε κλικ στο κουμπί OK.
  9. Στο παράθυρο διαλόγου Λίστα φίλτρων IP (IP Filter List) κάντε κλικ στο κουμπί Προσθήκη (Add).
  10. Στο πλαίσιο Διεύθυνση προέλευσης (Source address) στην καρτέλα Διευθύνσεις (Addresses) του παραθύρου διαλόγου Ιδιότητες φίλτρου ΙΡ (IP Filter Properties) που εμφανίζεται, κάντε κλικ στην επιλογή Κάθε διεύθυνση IP (Any IP address). Στο πλαίσιο Διεύθυνση προορισμού (Destination address) κάντε κλικ στην επιλογή Η διεύθυνση IP (My IP Address). Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Δημιουργία ειδώλου. Συμφωνία επίσης των πακέτων με τις ακριβώς αντίθετες διευθύνσεις προέλευσης και προορισμού. (Mirrored. Match pockets with the exact opposite source and destination addresses).
  11. Κάντε κλικ στην καρτέλα Πρωτόκολλο (Protocol). Στο πλαίσιο Επιλέξτε έναν τύπο πρωτοκόλλου (Select a protocol type) κάντε κλικ στο στοιχείο TCP. Στο πλαίσιο Ορισμός της θύρας πρωτοκόλλου IP (Set the IP protocol port), κάντε κλικ στην επιλογή Από αυτήν τη θύρα (From this port), και πληκτρολογήστε 161 στο πλαίσιο. Κάντε κλικ στην επιλογή Σε αυτήν τη θύρα (To this port), και πληκτρολογήστε 161 στο πλαίσιο.
  12. Κάντε κλικ στο κουμπί OK.
  13. Στο παράθυρο διαλόγου Λίστα φίλτρων IP (IP Filter List) κάντε κλικ στο κουμπί Προσθήκη (Add).
  14. Στο πλαίσιο Διεύθυνση προέλευσης (Source address) στην καρτέλα Διευθύνσεις (Addresses) του παραθύρου διαλόγου Ιδιότητες φίλτρου ΙΡ (IP Filter Properties) που εμφανίζεται, κάντε κλικ στην επιλογή Κάθε διεύθυνση IP (Any IP address). Στο πλαίσιο Διεύθυνση προορισμού (Destination address) κάντε κλικ στην επιλογή Η διεύθυνση IP (My IP Address). Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Δημιουργία ειδώλου. Συμφωνία επίσης των πακέτων με τις ακριβώς αντίθετες διευθύνσεις προέλευσης και προορισμού. (Mirrored. Match pockets with the exact opposite source and destination addresses).
  15. Κάντε κλικ στην καρτέλα Πρωτόκολλο (Protocol). Στο πλαίσιο Επιλέξτε έναν τύπο πρωτοκόλλου (Select a protocol type) κάντε κλικ στο στοιχείο UDP. Στο πλαίσιο Ορισμός της θύρας πρωτοκόλλου IP (Set the IP protocol port), κάντε κλικ στην επιλογή Από αυτήν τη θύρα (From this port), και πληκτρολογήστε 162 στο πλαίσιο. Κάντε κλικ στην επιλογή Σε αυτήν τη θύρα (To this port), και πληκτρολογήστε 162 στο πλαίσιο.
  16. Κάντε κλικ στο κουμπί OK.
  17. Στο παράθυρο διαλόγου Λίστα φίλτρων IP (IP Filter List) κάντε κλικ στο κουμπί Προσθήκη (Add).
  18. Στο πλαίσιο Διεύθυνση προέλευσης (Source address) στην καρτέλα Διευθύνσεις (Addresses) του παραθύρου διαλόγου Ιδιότητες φίλτρου ΙΡ (IP Filter Properties) που εμφανίζεται, κάντε κλικ στην επιλογή Κάθε διεύθυνση IP (Any IP address). Στο πλαίσιο Διεύθυνση προορισμού (Destination address) κάντε κλικ στην επιλογή Η διεύθυνση IP (My IP Address). Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Δημιουργία ειδώλου. Συμφωνία επίσης των πακέτων με τις ακριβώς αντίθετες διευθύνσεις προέλευσης και προορισμού. (Mirrored. Match pockets with the exact opposite source and destination addresses).
  19. Κάντε κλικ στην καρτέλα Πρωτόκολλο (Protocol). Στο πλαίσιο Επιλέξτε έναν τύπο πρωτοκόλλου (Select a protocol type) κάντε κλικ στο στοιχείο TCP. Στο πλαίσιο Ορισμός της θύρας πρωτοκόλλου IP (Set the IP protocol port), κάντε κλικ στην επιλογή Από αυτήν τη θύρα (From this port), και πληκτρολογήστε 162 στο πλαίσιο. Κάντε κλικ στην επιλογή Σε αυτήν τη θύρα (To this port), και πληκτρολογήστε 162 στο πλαίσιο.
  20. Κάντε κλικ στο κουμπί OK.
  21. Κάντε κλικ στο κουμπί OK στο παράθυρο διαλόγου Λίστα φίλτρων IP (IP Filter List) και κάντε κλικ στο κουμπί OK στο παράθυρο διαλόγου Διαχείριση λίστας φίλτρων IP και ενεργειών φίλτρου (Manage IP filter lists and filter actions).

Δημιουργία πολιτικής IPSec

Για να δημιουργήσετε την πολιτική IPSec και να την εξαναγκάσετε σε επικοινωνίες SNMP, ακολουθήστε τα εξής βήματα:
  1. Κάντε δεξιό κλικ στην επιλογή Πολιτικές ασφαλείας IP στον τοπικό υπολογιστή (IP Security Policies on Local Computer) στην αριστερή πλευρά του παραθύρου και κάντε κλικ στην επιλογή Δημιουργία πολιτικής ασφαλείας IP (Create IP Security Policy).

    Ο Οδηγός πολιτικής ασφαλείας IP ξεκινά.
  2. Κάντε κλικ στο κουμπί Επόμενο (Next).
  3. Στη σελίδα "Όνομα πολιτικής ασφαλείας IP" (IP Security Policy Name), πληκτρολογήστε Ασφαλές SNMP (Secure SNMP) στο πλαίσιο Όνομα (Name). Στο πλαίσιο Περιγραφή (Description) πληκτρολογήστε Επιβολή επικοινωνιών SNMP στην πολιτική IPSec (Force IPSec for SNMP Communications), και κάντε κλικ στο κουμπί Επόμενο (Next).
  4. Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Ενεργοποίηση του προεπιλεγμένου κανόνα απόκρισης (Activate the default response rule) και κάντε κλικ στο κουμπί Επόμενο (Next).
  5. Στη σελίδα Ολοκλήρωση του "Οδηγού πολιτικής ασφαλείας IP" (Completing the IP Security Policy Wizard) επαληθεύστε ότι το πλαίσιο ελέγχου Επεξεργασία ιδιοτήτων (Edit properties) είναι επιλεγμένο και κάντε κλικ στο κουμπί Τέλος (Finish).
  6. Στο παράθυρο διαλόγου Ιδιότητες ασφαλούς SNMP (Secure SNMP Properties) κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Χρήση του "Οδηγού προσθήκης" (Use Add Wizard) και κάντε κλικ στο κουμπί Προσθήκη (Add).
  7. Κάντε κλικ στην καρτέλα Λίστα φίλτρων IP (IP Filter List) και κάντε κλικ στην επιλογή Μηνύματα SNMP (161/162) (SNMP Messages (161/162)).
  8. Κάντε κλικ στην καρτέλα Ενέργεια φίλτρου (Filter Action) και κάντε κλικ στην επιλογή Απαίτηση ασφαλείας (Require Security).
  9. Κάντε κλικ στην καρτέλα Μέθοδοι ελέγχου ταυτότητας (Authentication Methods). Το Kerberos είναι η προεπιλεγμένη μέθοδος ελέγχου ταυτότητας. Αν ζητάτε εναλλακτικές μεθόδους ελέγχου ταυτότητας, κάντε κλικ στο κουμπί Προσθήκη (Add). Στο παράθυρο διαλόγου Ιδιότητες νέας μεθόδου ελέγχου ταυτότητας (New Authentication Method Properties), επιλέξτε τη μέθοδο ελέγχου ταυτότητας που θέλετε από την ακόλουθη λίστα και κάντε κλικ στο κουμπί OK:
    • Προεπιλογή του Active Directory (πρωτόκολλο Kerberos V5) (Active Directory default (Kerberos V5 protocol))
    • Χρήση πιστοποιητικού από αυτήν την αρχή έκδοσης πιστοποιητικών (CA) (Use a certificate from the certification authority (CA))
    • Χρήση της παρακάτω συμβολοσειράς (ήδη κοινόχρηστο κλειδί) (Use this string (preshared key))
  10. Στο παράθυρο διαλόγου Ιδιότητες νέου κανόνα (New Rule Properties) κάντε κλικ στην επιλογή Εφαρμογή (Apply), και κάντε κλικ στο κουμπί OK.
  11. Στο παράθυρο διαλόγου Ιδιότητες του SNMP (SNMP Properties) επαληθεύστε αν είναι επιλεγμένο το πλαίσιο ελέγχου Μηνύματα SNMP (161/162) (SNMP Messages (161/162)) και κάντε κλικ στο κουμπί OK.
  12. Στο δεξιό τμήμα του παραθύρου της κονσόλας των τοπικών ρυθμίσεων ασφαλείας, κάντε δεξιό κλικ στον κανόνα Ασφαλές SNMP (Secure SNMP) και κάντε κλικ στην επιλογή Αντιστοίχιση (Assign).
Ολοκληρώστε τη διαδικασία αυτή σε όλους του υπολογιστές που βασίζονται στα Windows και εκτελούν την υπηρεσία SNMP. Οι παράμετροι αυτής της πολιτικής IPSec πρέπει να ρυθμιστούν και στο σταθμό διαχείρισης SNMP.

Αναφορές

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
324263 ΔΙΑΔΙΚΑΣΙΕΣ: Ρύθμιση των παραμέτρων της υπηρεσίας Simple Network Management Protocol (SNMP) στον Windows Server 2003

Ιδιότητες

Αναγν. άρθρου: 324261 - Τελευταία αναθεώρηση: Δευτέρα, 3 Δεκεμβρίου 2007 - Αναθεώρηση: 7.6
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Λέξεις-κλειδιά: 
kbnetwork kbenv kbhowtomaster KB324261

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com