如何在 Windows Server 2003 中設定 SNMP 服務的網路安全性

文章翻譯 文章翻譯
文章編號: 324261 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何在 Windows Server 2003 中設定「簡易網路管理通訊協定」(Simple Network Management Protocol,SNMP) 服務的網路安全性。

SNMP 服務是一種代理程式,負責收集可以回報給 SNMP 管理站或主控台的資訊。您可以透過企業網路,使用 SNMP 服務收集資料並管理 Windows Server 2003、Microsoft Windows XP 和 Microsoft Windows 2000 電腦。

SNMP 代理程式和 SNMP 管理站通常會指派共用的群體名稱給彼此,藉此保護兩者之間的通訊安全。當 SNMP 管理站傳送查詢至 SNMP 服務時,要求者的群體名稱會與代理程式的群體名稱進行比對。如果比對相符,表示 SNMP 管理站已通過驗證。如果不符,SNMP 代理程式會將該要求視為「失敗的存取」嘗試,並且傳送 SNMP 陷阱訊息。

SNMP 訊息是以純文字格式傳送。這些純文字訊息很容易遭到如 Microsoft Network Monitor 等網路分析器攔截並解碼。未經授權的人員可能會擷取並使用群體名稱,以取得有關網路資源的有用資訊。

IP 安全性通訊協定 (IPSec) 可以用於保護 SNMP 通訊的安全。您可以建立 IPSec 原則,保護 TCP 及 UDP 連接埠 161 和 162 上的通訊,以確保 SNMP 交易的安全。

建立篩選器清單

如果要建立 IPSec 原則以保護 SNMP 訊息的安全,請先建立篩選器清單。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [本機安全性原則]
  2. 展開 [安全性設定],用滑鼠右鍵按一下 [在本機電腦上的 IP 安全性原則],然後按一下 [管理 IP 篩選器清單和篩選器動作]
  3. 按一下 [管理 IP 篩選器清單] 索引標籤,然後按一下 [新增]
  4. [IP 篩選器清單] 對話方塊的 [名稱] 方塊中輸入 SNMP 訊息 (161/162),然後在 [描述] 方塊中輸入篩選 TCP 和 UDP 連接埠 161
  5. 按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  6. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  7. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [UDP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 161。按一下 [到這個連接埠],然後在方塊中輸入 161
  8. 按一下 [確定]
  9. [IP 篩選器清單] 對話方塊中,按一下 [新增]
  10. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  11. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [TCP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 161。按一下 [到這個連接埠],然後在方塊中輸入 161
  12. 按一下 [確定]
  13. [IP 篩選器清單] 對話方塊中,按一下 [新增]
  14. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  15. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [UDP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 162。按一下 [到這個連接埠],然後在方塊中輸入 162
  16. 按一下 [確定]
  17. [IP 篩選器清單] 對話方塊中,按一下 [新增]
  18. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  19. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [TCP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 162。按一下 [到這個連接埠],然後在方塊中輸入 162
  20. 按一下 [確定]
  21. 按一下 [IP 篩選器清單] 對話方塊中的 [確定],然後按一下 [管理 IP 篩選器清單和篩選器動作] 對話方塊中的 [確定]

建立 IPSec 原則

如果要建立 IPSec 原則以強制將 IPSec 套用至 SNMP 通訊,請依照下列步驟執行:
  1. 用滑鼠右鍵按一下左邊窗格中的 [在本機電腦上的 IP 安全性原則],然後按一下 [建立 IP 安全性原則]

    [IP 安全性原則精靈] 隨即啟動。
  2. 按一下 [下一步]
  3. 在 [IP 安全性原則名稱] 頁面上,在 [名稱] 方塊中輸入保護 SNMP 安全。在 [描述] 方塊中,輸入強制將 IPSec 套用至 SNMP 通訊,然後按一下 [下一步]
  4. 按一下以清除 [啟動預設的回應規則] 核取方塊,然後按一下 [下一步]
  5. [正完成 IP 安全性原則精靈] 頁面上,確認已選取 [編輯內容] 核取方塊,然後按一下 [完成]
  6. [保護 SNMP 安全內容] 對話方塊中,按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  7. 按一下 [IP 篩選器清單] 索引標籤,然後按一下 [SNMP 訊息 (161/162)]
  8. 按一下 [篩選器動作] 索引標籤,然後按一下 [需要安全性]
  9. 按一下 [驗證方法] 索引標籤。Kerberos 是預設的驗證方法。如果您需要替代的驗證方法,請按一下 [新增]。在 [新驗證方法內容] 對話方塊中,從下列清單選取您想要使用的驗證方法,然後按一下 [確定]
    • [Active Directory 預設值 (Kerberos V5 通訊協定)]
    • [使用以下憑證授權 (CA) 的憑證]
    • [使用這個字串 (預先共用金鑰)]
  10. [新增規則內容] 對話方塊中,按一下 [套用],然後按一下 [確定]
  11. [SNMP 內容] 對話方塊中,確認已選取 [SNMP 訊息 (161/162)] 核取方塊,然後按一下 [確定]
  12. 在 [本機安全性設定值] 的右邊窗格中,用滑鼠右鍵按一下 [保護 SNMP 安全] 規則,然後按一下 [指派]
在執行 SNMP 服務的所有 Windows 電腦上完成這個程序。SNMP 管理站也必須設定這個 IPSec 原則。

?考

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
324263 HOW TO:Configure the Simple Network Management Protocol (SNMP) Service in Windows Server 2003

屬性

文章編號: 324261 - 上次校閱: 2007年12月3日 - 版次: 7.6
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
關鍵字:?
kbnetwork kbenv kbhowtomaster KB324261
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com