[HOWTO] Windows Server 2003 で SNMP サービスのネットワーク セキュリティを構成する方法

文書番号: 324261 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows Server 2003 で SNMP (Simple Network Management Protocol) サービスのネットワーク セキュリティを構成する方法を順を追って説明します。

SNMP サービスは、SNMP 管理ステーションやコンソールに報告されることがある情報を収集するエージェントとして機能します。SNMP サービスを使用して、企業内ネットワーク全体でデータの収集や Windows Server 2003、Microsoft Windows XP、および Microsoft Windows 2000 ベースのコンピュータの管理を行うことができます。

SNMP エージェントと SNMP 管理ステーションの間の通信は、共有のコミュニティ名をエージェントと管理ステーションに割り当てることによりセキュリティで保護されます。SNMP 管理ステーションが SNMP サービスにクエリを送信すると、要求元のコミュニティ名がエージェントのコミュニティ名と比較されます。両者が一致した場合、SNMP 管理ステーションは認証されます。一致しない場合、SNMP エージェントはその要求をアクセスの試行の失敗と見なし、SNMP トラップ メッセージを送信することがあります。

SNMP メッセージはクリア テキストで送信されます。このクリア テキストのメッセージは Microsoft Network Monitor などのネットワーク アナライザで容易に読み取られたり、解読されたりします。認証されていない人物がコミュニティ名を捕捉および使用し、ネットワーク リソースについての重要な情報を入手できます。

SNMP 通信の保護には IPSec (IP Security Protocol) を使用できます。IPSec ポリシーを作成すると、SNMP トランザクションをセキュリティで保護するために TCP および UDP のポート 161 および 162 での通信をセキュリティで保護できます。

フィルタ一覧の作成

IPSec ポリシーを作成して SNMP メッセージをセキュリティで保護するには、最初に次の手順を実行してフィルタ一覧を作成します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ローカル セキュリティ ポリシー] をクリックします。
  2. [セキュリティの設定] を展開し、[IP セキュリティ ポリシー (ローカル コンピュータ)] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] をクリックします。
  3. [IP フィルタ一覧の管理] タブをクリックし、[追加] をクリックします。
  4. [IP フィルタ一覧] ダイアログ ボックスで、[名前] ボックスに SNMP メッセージ (161/162) と入力し、[説明] ボックスに TCP および UDP のポート 161 用のフィルタと入力します。
  5. [追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  6. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  7. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [UDP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 161 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 161 と入力します。
  8. [OK] をクリックします。
  9. [IP フィルタ一覧] ダイアログ ボックスで、[追加] をクリックします。
  10. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  11. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [TCP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 161 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 161 と入力します。
  12. [OK] をクリックします。
  13. [IP フィルタ一覧] ダイアログ ボックスで、[追加] をクリックします。
  14. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  15. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [UDP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 162 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 162 と入力します。
  16. [OK] をクリックします。
  17. [IP フィルタ一覧] ダイアログ ボックスで、[追加] をクリックします。
  18. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  19. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [TCP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 162 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 162 と入力します。
  20. [OK] をクリックします。
  21. [IP フィルタ一覧] ダイアログ ボックスで [OK] をクリックします。次に、[IP フィルタ一覧とフィルタ操作の管理] ダイアログ ボックスで [閉じる] をクリックします。

IPSec ポリシーの作成

IPSec ポリシーを作成し、SNMP 通信で強制的に IPSec を使用するには次の手順を実行します。
  1. ローカル セキュリティ ポリシーの左側のウィンドウで [IP セキュリティ ポリシー (ローカル コンピュータ)] を右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。

    IP セキュリティ ポリシー ウィザードが起動します。
  2. [次へ] をクリックします。
  3. [IP セキュリティ ポリシー名] の [名前] ボックスに Secure SNMP と入力します。[説明] ボックスに SNMP 通信で強制的に IPSec を使用しますと入力し、[次へ] をクリックします。
  4. [既定の応答規則をアクティブにする] チェック ボックスをオフにし、[次へ] をクリックします。
  5. [IP セキュリティ ポリシー ウィザードの完了] で、[プロパティを編集する] チェック ボックスがオンになっていることを確認し、[完了] をクリックします。
  6. [Secure SNMP のプロパティ] ダイアログ ボックスの [追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  7. [IP フィルタ一覧] タブをクリックし、[SNMP メッセージ (161/162)] をクリックします。
  8. [フィルタ操作] タブをクリックし、[セキュリティが必要] をクリックします。
  9. [認証方法] タブをクリックします。デフォルトの認証方法は Kerberos です。認証方法を変更する必要がある場合は、[追加] をクリックします。[新しい認証方法のプロパティ] ダイアログ ボックスで以下の一覧のいずれかの認証方法を選択し、[OK] をクリックします。
    • Active Directory 既定値 (Kerberos V5 プロトコル)
    • 次の証明機関 (CA) からの証明書を使う
    • 次の文字列 (事前共有キー) を使う
  10. [新しい規則のプロパティ] ダイアログ ボックスの [適用] をクリックし、[OK] をクリックします。
  11. [SNMP プロパティ] ダイアログ ボックスで [SNMP メッセージ (161/162)] チェック ボックスがオンになっていることを確認し、[OK] をクリックします。
  12. [ローカル セキュリティの設定] コンソールの右側のウィンドウで [Secure SNMP] 規則を右クリックし、[割り当て] をクリックします。
この手順を、SNMP サービスを実行しているすべての Windows ベースのコンピュータに対して実行します。IPSec ポリシーは、SNMP 管理ステーションでも構成する必要があります。

先頭へ戻る | フィードバック

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
324263
(http://support.microsoft.com/kb/324263/ )
[HOWTO] Windows Server 2003 で簡易ネットワーク管理プロトコル (SNMP) サービスを構成する方法
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 324261
(http://support.microsoft.com/kb/324261/EN-US/ )
(最終更新日 2004-04-05) を基に作成したものです。
先頭へ戻る | フィードバック

プロパティ

文書番号: 324261 - 最終更新日: 2007年12月3日 - リビジョン: 7.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbnetwork kbenv kbhowtomaster KB324261
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る