ИНСТРУКЦИИ: Как настроить сетевую безопасность для службы SNMP в Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 324261 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье приведены пошаговые указания по настройке сетевой безопасности для службы протокола SNMP в Windows Server 2003.

Служба SNMP действует как агент, собирающий данные, которые можно передать на станции управления и консоли SNMP. Службу SNMP можно использовать для сбора данных и управления компьютерами с системами Windows Server 2003, Microsoft Windows XP и Microsoft Windows 2000 через сеть организации.

Для обеспечения безопасности связи между агентами SNMP и станциями управления SNMP обычно используются имена сообщества, назначаемые агентам и станциям управления. Когда станция управления SNMP отправляет запрос службе SNMP, имя сообщества этой станции управления сравнивается с именем сообщества агента. Если эти имена совпадают, проверка подлинности станции управления SNMP завершается успешно. Если они не совпадают, то агент SNMP считает этот запрос неудачной попыткой доступа и может отправить сообщение ловушки SNMP.

Сообщения SNMP передаются в незашифрованном виде. Такие сообщения легко перехватываются и обрабатываются сетевыми анализаторами, например сетевым монитором Майкрософт. Имена сообществ могут использоваться для получения несанкционированного доступа к важным сведениям о ресурсах сети.

Для защиты связи SNMP используется протокол IPSec (IP Security). Чтобы обеспечить безопасность службы SNMP, политики IPSec создаются для защиты обмена данным между портами протокола TCP и портами 161 и 162 протокола UDP.

Создание списка фильтров

Чтобы создать политику IPSec для защиты сообщений SNMP, необходимо сначала создать список фильтров. Для этого выполните следующие действия.
  1. Нажмите кнопку Пуск и последовательно выберите команды Администрирование и Локальная политика безопасности.
  2. Раскройте узел Параметры безопасности, щелкните правой кнопкой мыши элемент Политики безопасности IP на «Локальный компьютер» и выберите пункт Управление списками фильтра IP и действиями фильтра.
  3. Откройте вкладку Управление списками фильтров IP и нажмите кнопку Добавить.
  4. В окне Список фильтров IP введите имя SNMP Messages (161/162) в поле Имя, и текст Фильтр для портов TCP и UDP 161 в поле Описание.
  5. Снимите флажок Использовать мастер и нажмите кнопку Добавить.
  6. В поле Адрес источника пакетов на вкладке Адреса окна Свойства: IP-фильтр выберите вариант Любой IP-адрес. В поле Адрес назначения пакетов выберите вариант Мой IP-адрес. Установите флажок Отраженный. Распространяется на пакеты с полностью противоположными адресами источника и назначения.
  7. Перейдите на вкладку Протокол. Из списка Выберите тип протокола выберите вариант UDP. В группе Установка порта для протокола IP выберите вариант Пакеты из этого порта и введите в поле значение 161. Выберите вариант Пакеты на этот порт и введите значение 161.
  8. Нажмите кнопку ОК.
  9. В окне Список фильтров IP нажмите кнопку Добавить.
  10. В поле Адрес источника пакетов на вкладке Адреса окна Свойства: IP-фильтр выберите вариант Любой IP-адрес. В поле Адрес назначения пакетов выберите вариант Мой IP-адрес. Установите флажок Отраженный. Распространяется на пакеты с полностью противоположными адресами источника и назначения.
  11. Перейдите на вкладку Протокол. Из списка Выберите тип протокола выберите вариант TCP. В группе Установка порта для протокола IP выберите вариант Пакеты из этого порта и введите в поле значение 161. Выберите вариант Пакеты на этот порт и введите значение 161.
  12. Нажмите кнопку ОК.
  13. В окне Список фильтров IP нажмите кнопку Добавить.
  14. В поле Адрес источника пакетов на вкладке Адреса окна Свойства: IP-фильтр выберите вариант Любой IP-адрес. В поле Адрес назначения пакетов выберите вариант Мой IP-адрес. Установите флажок Отраженный. Распространяется на пакеты с полностью противоположными адресами источника и назначения.
  15. Перейдите на вкладку Протокол. Из списка Выберите тип протокола выберите вариант UDP. В группе Установка порта для протокола IP выберите вариант Пакеты из этого порта и введите в поле значение 162. Выберите вариант Пакеты на этот порт и введите значение 162.
  16. Нажмите кнопку ОК.
  17. В окне Список фильтров IP нажмите кнопку Добавить.
  18. В поле Адрес источника пакетов на вкладке Адреса окна Свойства: IP-фильтр выберите вариант Любой IP-адрес. В поле Адрес назначения пакетов выберите вариант Мой IP-адрес. Установите флажок Отраженный. Распространяется на пакеты с полностью противоположными адресами источника и назначения.
  19. Перейдите на вкладку Протокол. Из списка Выберите тип протокола выберите вариант TCP. В группе Установка порта для протокола IP выберите вариант Пакеты из этого порта и введите в поле значение 162. Выберите вариант Пакеты на этот порт и введите значение 162.
  20. Нажмите кнопку ОК.
  21. В окне Список фильтров IP нажмите кнопку ОК. Нажмите кнопку OK в окне Управление списками IP-фильтра и действиями фильтра.

Создание политики IPSec

Чтобы создать политику IPSec для службы SNMP, выполните следующие действия.
  1. Щелкните правой кнопкой мыши узел Политики безопасности IP на «Локальный компьютер» на левой панели и выберите команду Создать политику безопасности IP.

    Запускается «Мастер политики IP-безопасности».
  2. Нажмите кнопку Далее.
  3. В окне «Имя политики безопасности IP» введите имя Secure SNMP в поле Имя. В поле Описание введите текст IPSec для службы SNMP нажмите кнопку Далее.
  4. Снимите флажок Использовать правило по умолчанию и нажмите кнопку Добавить.
  5. В окне Завершение мастера политики IP-безопасности убедитесь, что флажок Изменить свойства установлен, и нажмите кнопку Готово.
  6. В диалоговом окне Свойства: Secure SNMP снимите флажок Использовать мастер и нажмите кнопку Добавить.
  7. Откройте вкладку Список фильтров IP и выберите список SNMP Messages (161/162).
  8. Откройте вкладку Действия фильтра и выберите пункт Требуется безопасность.
  9. Перейдите к вкладке Методы проверки подлинности. По умолчанию используется метод проверки подлинности Kerbreros. Если требуются дополнительные методы, нажмите кнопку Добавить. В окне Свойства: создать способ проверки подлинности выберите из списка нужный способ и нажмите кнопку ОК.
    • Стандарт службы каталогов.
    • Использовать сертификат данного центра сертификации
    • Использовать данную строку (предварительный ключ)
  10. В окне Свойства: новое правило нажмите кнопки Применить и ОК.
  11. В окне Свойства: Secure SNMP убедитесь, что флажок SNMP Messages (161/162) установлен, и нажмите кнопку OK.
  12. В правой панели консоли «Локальные параметры безопасности» щелкните правой кнопкой мыши правило Secure SNMP и выберите команду Назначить.
Выполните эту процедуру на всех компьютерах с ОС Windows, на которых используется служба SNMP. Политику IPSec необходимо также настроить на станции управления SNMP.

Ссылки

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
324263 ИНСТРУКЦИИ: Настройка службы Simple Network Management Protocol (SNMP) в Windows Server 2003 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 324261 - Последний отзыв: 3 декабря 2007 г. - Revision: 7.5
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Ключевые слова: 
kbnetwork kbenv kbhowtomaster KB324261

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com