Comment faire pour configurer la sécurité réseau pour le service SNMP dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 324261 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit étape par étape comment configurer la sécurité réseau pour le service SNMP (Simple Network Management Protocol) dans Windows Server 2003.

Le service SNMP fonctionne comme un agent qui collecte des informations pouvant être rapportées aux stations ou consoles de gestion SNMP. Le service SNMP vous permet de collecter des données et de gérer des ordinateurs Windows Server 2003, Microsoft Windows XP et Windows 2000 sur l'ensemble du réseau d'entreprise.

Les communications entre les agents SNMP et les stations de gestion SNMP sont généralement sécurisées par l'attribution d'un nom de communauté partagé à tous les agents et stations de gestion. Lorsqu'une station de gestion SNMP transmet une demande au service SNMP, le nom de la communauté du demandeur est comparé à celui de l'agent. S'ils correspondent, la station de gestion SNMP est authentifiée. Dans le cas contraire, l'agent SNMP considère la demande comme une tentative « d'accès avortée » et peut envoyer un message d'interception SNMP.

Les messages SNMP sont envoyés en texte clair. Ces messages sont facilement interceptés et décodés par des analyseurs réseau tels que le Moniteur réseau Microsoft. Les noms de communauté peuvent être capturés et exploités par un personnel non autorisé en vue de se procurer des informations importantes concernant les ressources du réseau.

Le protocole IPSec (IP Security Protocol) peut être utilisé pour protéger les communications SNMP. Vous pouvez créer des stratégies IPSec pour protéger les communications sur les ports TCP et UDP 161 et 162 et sécuriser les transactions SNMP.

Création d'une liste de filtres

Pour créer une stratégie IPSec afin de sécuriser les messages SNMP, créez tout d'abord la liste de filtres. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Stratégie de sécurité locale.
  2. Développez Paramètres de sécurité, cliquez avec le bouton droit sur Stratégies de sécurité IP sur l'ordinateur local, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.
  3. Cliquez sur l'onglet Gestion de listes de filtres IP, puis cliquez sur Ajouter.
  4. Dans la boîte de dialogue Liste de filtres IP, tapez Messages SNMP (161/162) dans la zone Nom, puis tapez Filtre pour les ports TCP et UDP 161 dans la zone Description.
  5. Désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter.
  6. Dans la zone Adresse source, sous l'onglet Adresses de la boîte de dialogue Propriétés de Filtre IP qui s'affiche, cliquez sur Toute adresse IP. Dans la zone Adresse de destination, cliquez sur Mon adresse IP. Activez la case à cocher Miroir. Faire coïncider les paquets possédant des adresses source et cible exactement opposées.
  7. Cliquez sur l'onglet Protocole. Dans la zone Sélectionnez un type de protocole, cliquez sur UDP. Dans la zone Définissez le port du protocole IP, cliquez sur À partir de ce port, puis tapez 161 dans la zone. Cliquez sur Vers ce port, puis tapez 161 dans la zone.
  8. Cliquez sur OK.
  9. Dans la boîte de dialogue Liste de filtres IP, cliquez sur Ajouter.
  10. Dans la zone Adresse source, sous l'onglet Adresses de la boîte de dialogue Propriétés de Filtre IP qui s'affiche, cliquez sur Toute adresse IP. Dans la zone Adresse de destination, cliquez sur Mon adresse IP. Activez la case à cocher Miroir. Faire coïncider les paquets possédant des adresses source et cible exactement opposées.
  11. Cliquez sur l'onglet Protocole. Dans la zone Sélectionnez un type de protocole, cliquez sur TCP. Dans la zone Définissez le port du protocole IP, cliquez sur À partir de ce port, puis tapez 161 dans la zone. Cliquez sur Vers ce port, puis tapez 161 dans la zone.
  12. Cliquez sur OK.
  13. Dans la boîte de dialogue Liste de filtres IP, cliquez sur Ajouter.
  14. Dans la zone Adresse source, sous l'onglet Adresses de la boîte de dialogue Propriétés de Filtre IP qui s'affiche, cliquez sur Toute adresse IP. Dans la zone Adresse de destination, cliquez sur Mon adresse IP. Activez la case à cocher Miroir. Faire coïncider les paquets possédant des adresses source et cible exactement opposées.
  15. Cliquez sur l'onglet Protocole. Dans la zone Sélectionnez un type de protocole, cliquez sur UDP. Dans la zone Définissez le port du protocole IP, cliquez sur À partir de ce port, puis tapez 162 dans la zone. Cliquez sur Vers ce port, puis tapez 162 dans la zone.
  16. Cliquez sur OK.
  17. Dans la boîte de dialogue Liste de filtres IP, cliquez sur Ajouter.
  18. Dans la zone Adresse source, sous l'onglet Adresses de la boîte de dialogue Propriétés de Filtre IP qui s'affiche, cliquez sur Toute adresse IP. Dans la zone Adresse de destination, cliquez sur Mon adresse IP. Activez la case à cocher Miroir. Faire coïncider les paquets possédant des adresses source et cible exactement opposées.
  19. Cliquez sur l'onglet Protocole. Dans la zone Sélectionnez un type de protocole, cliquez sur TCP. Dans la zone Définissez le port du protocole IP, cliquez sur À partir de ce port, puis tapez 162 dans la zone. Cliquez sur Vers ce port, puis tapez 162 dans la zone.
  20. Cliquez sur OK.
  21. Cliquez sur OK dans la boîte de dialogue Liste de filtres IP, puis cliquez sur OK dans la boîte de dialogue Gérer les listes de filtres IP et les actions de filtrage.

Création d'une stratégie IPSec

Pour créer la stratégie IPSec afin de forcer IPSec pour les communications SNMP, procédez comme suit :
  1. Cliquez avec le bouton droit sur Stratégies de sécurité IP sur l'ordinateur local dans le volet gauche, puis cliquez sur Créer une stratégie de sécurité IP.

    L'Assistant Stratégie de sécurité IP démarre.
  2. Cliquez sur Suivant.
  3. Sur la page Nom de stratégie de sécurité IP, tapez SNMP sécurisé dans la zone Nom. Dans la zone Description, tapez Forcer IPSec pour les communications SNMP, puis cliquez sur Suivant.
  4. Désactivez la case à cocher Activer la règle de réponse par défaut, puis cliquez sur Suivant.
  5. Sur la page Fin de l'Assistant Stratégie de sécurité IP, vérifiez que la case à cocher Modifier les propriétés est activée, puis cliquez sur Terminer.
  6. Dans la boîte de dialogue Propriétés SNMP sécurisées, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur le bouton Ajouter.
  7. Cliquez sur l'onglet Liste de filtres IP, puis cliquez sur Messages SNMP (161/162).
  8. Cliquez sur l'onglet Action de filtrage, puis cliquez sur Sécurité requise.
  9. Cliquez sur l'onglet Méthodes d'authentification. Kerberos est la méthode d'authentification par défaut. Si vous souhaitez utiliser d'autres méthodes d'authentification, cliquez sur Ajouter. Dans la boîte de dialogue Propriétés de Nouvelle méthode d'authentification, sélectionnez la méthode d'authentification de votre choix dans la liste, puis cliquez sur OK :
    • Authentification Active Directory par défaut (protocole Kerberos v.5)
    • Utiliser un certificat émis par cette Autorité de certification
    • Utiliser cette chaîne (clé pré-partagée)
  10. Dans la boîte de dialogue Propriétés de Nouvelle règle, cliquez sur Appliquer, puis sur OK.
  11. Dans la boîte de dialogue Propriétés de SNMP, vérifiez que la case à cocher Messages SNMP (161/162) est activée, puis cliquez sur OK.
  12. Dans le volet droit de la console Paramètres de sécurité locaux, cliquez avec le bouton droit sur la règle SNMP sécurisé, puis cliquez sur Attribuer.
Répétez cette procédure sur tous les ordinateurs Windows exécutant le service SNMP. Cette stratégie IPSec doit également être configurée sur la station de gestion SNMP.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
324263 Comment faire pour configurer le service SNMP (Simple Network Management Protocol) dans Windows Server 2003

Propriétés

Numéro d'article: 324261 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 7.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Mots-clés : 
kbnetwork kbenv kbhowtomaster KB324261
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com