ID do artigo: 324261 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 7.6

Como configurar a Segurança de Rede para o serviço SNMP no Windows Server 2003

Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

Este artigo descreve detalhadamente como configurar a segurança de rede para o serviço de protocolo SNMP no Windows Server 2003.

O serviço SNMP age como um agente que coleta informações que podem ser relatados para as estações de gerenciamento ou de consoles. É possível usar o serviço SNMP para coletar dados e gerenciar o Windows Server 2003, o Microsoft Windows XP e computadores com base em Microsoft Windows 2000 a toda uma rede corporativa.

Comunicações entre os agentes SNMP e as estações de gerenciamento SNMP são normalmente protegidos pela assinatura do nome da comunidade compartilhada para os agentes e estações de gerenciamentos. Quando uma estação de gerenciamento SNMP envia uma consulta para o serviço SNMP, o nome da comunidade do solicitador é comparado ao nome da comunidade do agente. Se coincidirem, isso significa que a estação de gerenciamento do SNMP foi autenticado. Se não coincidirem, significa que o agente SNMP considerou a solicitação uma "falha de acesso" e pode enviar uma mensagem de intercepção SNMP.

As mensagens SNMP são enviadas em um texto não criptografado. Essas mensagens de texto não criptografado são facilmente interceptadas e decodificadas pelo analisador de rede, como o Monitor de Rede Microsoft. Nomes de comunidades podem ser capturadas e usada sem autorização pessoal para obter informações relevantes sobre recursos de rede.

O protocolo IPSec pode ser usado para proteger comunicações SNMP. É possível criar diretivas IPSec para garantir comunicações em portas TCP e UDP 161 e162 e garantir transações SNMP.

Voltar para o início

Crie uma Lista de Filtros

Para criar uma diretiva IPSec para garantir mensagens SNMP, primeiro crie a lista de filtros. Para fazer isto, execute as seguintes etapas:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em Diretiva de segurança local.
  2. Expanda Configurações de segurança, clique com o botão direito do mouse em Diretivas de segurança IP em Máquina local e em Gerenciar listas de filtros IP e ações de filtro.
  3. Clique na guia Gerenciar listas de filtros IP e em Adicionar.
  4. Na caixa de diálogo Lista de filtros IP digite SNMP Messages (161/162) na caixa Nome e digiteFilter for TCP and UDP ports 161 na caixa Descrição.
  5. Desmarque a caixa de seleção Assistente para adicionar e clique em OK.
  6. Na caixa Endereço de origem na guia Endereços da caixa de diálogo Propriedades do filtro IP que é exibida clique em Qualquer endereço IP. Na caixa Endereço de destino, clique em Meu endereço IP. Selecione a caixa Espelhado. Coincidir pacotes com os endereços de origem e de destino exatamente opostos.
  7. Clique na guia Protocolos. Na caixa Selecione um tipo de protocolo e clique em UDP. Na caixa Defina a porta do protocolo IP clique em Desta porta e digite 161. Clique emPara esta porta e digite 161.
  8. Clique em OK.
  9. Na caixa de diálogo Lista de filtros IP, clique em Adicionar.
  10. Na caixa Endereço de origem na guia Endereços da caixa de diálogo Propriedades do filtro IP que é exibida clique em Qualquer endereço IP. Na caixa Endereço de destino, clique em Meu endereço IP. Selecione a caixa Espelhado. Coincidir pacotes com os endereços de origem e de destino exatamente opostos.
  11. Clique na guia Protocolos. Na caixa Selecione um tipo de protocolo, clique em TCP. Na caixa Defina o protocolo IP clique em Desta porta e digite 161. Clique emPara esta porta e digite 161.
  12. Clique em OK.
  13. Na caixa de diálogo Lista de filtros IP, clique em Adicionar.
  14. Na caixa Endereço de origem na guia Endereços da caixa de diálogo Propriedades do filtro IP que é exibida clique em Qualquer endereço IP. Na caixa Endereço de destino, clique em Meu endereço IP. Selecione a caixa Espelhado. Coincidir pacotes com os endereços de origem e de destino exatamente opostos.
  15. Clique na guia Protocolos. Na caixa Selecione um tipo de protocolo e clique em UDP. Na caixa Defina o protocolo IP clique em Desta porta e digite 162. Clique emPara esta porta e digite 162.
  16. Clique em OK.
  17. Na caixa de diálogo Lista de filtros IP, clique em Adicionar.
  18. Na caixa Endereço de origem na guia Endereços da caixa de diálogo Propriedades do filtro IP que é exibida clique em Qualquer endereço IP. Na caixa Endereço de destino, clique em Meu endereço IP. Selecione a caixa Espelhado. Coincidir pacotes com os endereços de origem e de destino exatamente opostos.
  19. Clique na guia Protocolos. Na caixa Selecione um tipo de protocolo, clique em TCP. Na caixa Defina o protocolo IP clique em Desta porta e digite 162. Clique emPara esta porta e digite 162.
  20. Clique em OK.
  21. Clique em OK na caixa de diálogo Lista de filtros IP e em OK na caixa de diálogo Manage IP filters lists and filter actions.
Voltar para o início

Crie uma Diretiva IPSec

Para criar a Diretiva IPSec e forçar o IPSec para comunicações SNMP, execute as seguintes etapas:
  1. Clique com o botão direito do mouse em Diretivas de segurança IP em Máquina local no painel esquerdo e clique em Criar diretiva de segurança IP.

    O Assistente de diretiva de segurança IP será iniciado.
  2. Clique em Avançar.
  3. Na página Nome da diretiva de segurança IP digite Secure SNMP na caixa Nome. Na caixa Descrição digite Force IPSec for SNMP Communications e clique em Avançar.
  4. Desmarque a caixa de seleção Ativar a regra de resposta padrão. e clique em Avançar.
  5. Na página Concluindo o Assistente de diretiva de segurança IP verifique se a caixa de seleção Editar propriedades está selecionada e clique em Concluir.
  6. Na caixa de diálogo Propriedades seguras NSMP desmarque a caixa de diálogo Usar o Assistente para adicionar e clique em Adicionar.
  7. Clique na guia Listas de filtros IP e em SNMP Messages (161/162).
  8. Clique na guia Ação de filtro e em Exigir segurança.
  9. Clique na guia Métodos de autenticação. O Kerberos é o método de autenticação padrão. Se você necessita de métodos de autenticação alternativos, clique em Adicionar. Na caixa de diálogo Nova propriedade de método de autenticação selecione o método de autenticação que deseja na seguinte lista e clique em OK:
    • Padrão do Active Directory (protocolo V5 Kerberos)
    • Use um certificado da Autoridade de certificação (CA)
    • Use essa cadeia de caracteres (Chave pré-compartilhada)
  10. Na caixa de diálogo Novas propriedades de regra clique em Aplicar e em OK.
  11. Na caixa de diálogo Propriedades SNMP verifique se a caixa de seleção SNMP Messages (161/162) está selecionada e clique em OK.
  12. No painel direito do console de Configurações locais de segurança, clique com o botão direito do mouse na regra SNMP Seguro e clique em Atribuir.
Conclua esse procedimento em todos os computadores com base em Windows que estão executando o serviço SNMP. Essa Diretiva IPSec também deverá ser configurada na estação de gerenciamento SNMP.

Voltar para o início

Referências

Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
324263  (http://support.microsoft.com/kb/324263/ ) COMO: Configure o serviço do protocolo SNMP no Windows Server 2003
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Voltar para o início
Palavras-chave: 
kbnetwork kbenv kbhowtomaster KB324261
Voltar para o início