Konfigurace zabezpečení sítě pro službu SNMP v systému Windows Server 2003

Tento článek pojednává o verzi beta produktu společnosti Microsoft. Informace v tomto článku jsou poskytovány tak, jak jsou, a mohou se změnit bez předchozího upozornění.

Společnost Microsoft neposkytuje k tomuto produktu verze beta žádnou oficiální podporu. Informace o možnostech získání podpory k verzi beta naleznete v dokumentaci, která je součástí souborů produktu verze beta, nebo na webu, z nějž jste tuto verzi stáhli.

OBSAH ÚLOHY

Souhrn

Tento článek krok za krokem popisuje konfiguraci zabezpečení sítě pro službu SNMP (Simple Network Management Protocol) v systému Windows Server 2003.

Služba SNMP slouží jako agent shromažďující informace, které jsou hlášeny řídící stanici nebo konzole SNMP. V rámci podnikové sítě lze službu SNMP použít ke shromažďování dat a správě počítačů se systémem Windows Server 2003, Microsoft Windows XP a Microsoft Windows 2000.

Komunikace mezi agenty SNMP a řídicími stanicemi SNMP je obvykle zabezpečená tak, že se agentům a řídicím stanicím přiřadí sdílený název komunity. Když řídicí stanice SNMP odešle dotaz službě SNMP, název komunity žadatele je porovnán s názvem komunity agenta. Pokud se shodují, je řídicí stanice SNMP úspěšně ověřena. Pokud se názvy neshodují, agent SNMP považuje žádost za neúspěšný pokus o přístup a může odeslat zprávu depeše.

Zprávy SNMP jsou odesílány jako prostý text. Síťové analyzátory, jako je například nástroj Sledování sítě od společnosti Microsoft, dokáží takovéto zprávy v prostém textu snadno zachytit a dekódovat. Názvy komunit mohou být zachyceny a použity neoprávněným uživatelem k získání cenných informací o síťových prostředcích.

K ochraně komunikací SNMP lze použít protokol IPSec (Internet Protocol Security). Můžete vytvořit zásady protokolu IPSec, které zabezpečí komunikaci na portech 161 a 162 protokolů TCP a UDP, a tím zabezpečit transakce SNMP.

Vytvoření seznamu filtrů

Před vytvořením zásady protokolu IPSec k zabezpečení zpráv SNMP nejprve vytvořte seznam filtrů. Postupujte následujícím způsobem:
 1. Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na příkaz Místní zásady zabezpečení.
 2. Rozbalte položku Nastavení zabezpečení, klepněte pravým tlačítkem myši na položku Zásady zabezpečení protokolu IP – Místní počítač a poté klepněte na příkaz Spravovat seznamy filtrů IP a akcí filtrů.
 3. Klepněte na kartu Správa seznamů filtrů IP a klepněte na tlačítko Přidat.
 4. V dialogovém okně Seznam filtrů IP do pole Název zadejte Zprávy SNMP (161/162) a poté zadejte Filtr pro protokoly TCP a UDP na portech 161 do pole Popis.
 5. Zrušte zaškrtnutí políčka Použít průvodce a klepněte na tlačítko Přidat.
 6. V zobrazeném dialogovém okně Vlastnosti filtrů IP na kartě Adresy v seznamu Zdrojová adresa klepněte na položku Jakákoli adresa IP. V seznamu Cílová adresa klepněte na položku Adresa IP tohoto počítače. Klepnutím zaškrtněte políčko Zrcadlený – použít i pro pakety se vzájemně zaměněnou zdrojovou a cílovou adresou.
 7. Klepněte na kartu Protokol. V seznamu Vyberte typ protokolu klepněte na položku UDP. V seznamu Nastavení portu protokolu IP klepněte na položku Z portu tohoto počítače a poté do pole zadejte 161. Klepněte na položku Do portu tohoto počítače a poté do pole zadejte 161.
 8. Klepněte na tlačítko OK.
 9. V dialogovém okně Seznam filtrů IP klepněte na tlačítko Přidat.
 10. V zobrazeném dialogovém okně Vlastnosti filtrů IP na kartě Adresy v seznamu Zdrojová adresa klepněte na položku Jakákoli adresa IP. V seznamu Cílová adresa klepněte na položku Adresa IP tohoto počítače. Klepnutím zaškrtněte políčko Zrcadlený – použít i pro pakety se vzájemně zaměněnou zdrojovou a cílovou adresou.
 11. Klepněte na kartu Protokol. V seznamu Vyberte typ protokolu klepněte na položku TCP. V seznamu Nastavení portu protokolu IP klepněte na položku Z portu tohoto počítače a poté do pole zadejte 161. Klepněte na položku Do portu tohoto počítače a poté do pole zadejte 161.
 12. Klepněte na tlačítko OK.
 13. V dialogovém okně Seznam filtrů IP klepněte na tlačítko Přidat.
 14. V zobrazeném dialogovém okně Vlastnosti filtrů IP na kartě Adresy v seznamu Zdrojová adresa klepněte na položku Jakákoli adresa IP. V seznamu Cílová adresa klepněte na položku Adresa IP tohoto počítače. Klepnutím zaškrtněte políčko Zrcadlený – použít i pro pakety se vzájemně zaměněnou zdrojovou a cílovou adresou.
 15. Klepněte na kartu Protokol. V seznamu Vyberte typ protokolu klepněte na položku UDP. V seznamu Nastavení portu protokolu IP klepněte na položku Z portu tohoto počítače a poté do pole zadejte 162. Klepněte na položku Do portu tohoto počítače a poté do pole zadejte 162.
 16. Klepněte na tlačítko OK.
 17. V dialogovém okně Seznam filtrů IP klepněte na tlačítko Přidat.
 18. V zobrazeném dialogovém okně Vlastnosti filtrů IP na kartě Adresy v seznamu Zdrojová adresa klepněte na položku Jakákoli adresa IP. V seznamu Cílová adresa klepněte na položku Adresa IP tohoto počítače. Klepnutím zaškrtněte políčko Zrcadlený – použít i pro pakety se vzájemně zaměněnou zdrojovou a cílovou adresou.
 19. Klepněte na kartu Protokol. V seznamu Vyberte typ protokolu klepněte na položku TCP. V seznamu Nastavení portu protokolu IP klepněte na položku Z portu tohoto počítače a poté do pole zadejte 162. Klepněte na položku Do portu tohoto počítače a poté do pole zadejte 162.
 20. Klepněte na tlačítko OK.
 21. V dialogovém okně Seznam filtrů IP klepněte na tlačítko OK a poté klepněte na tlačítko OK v dialogovém okně Spravovat seznamy filtrů IP a akcí filtrů.

Vytvoření zásad protokolu IPSec

Chcete-li vytvořit zásady protokolu IPSec a vynutit jejich použití při komunikacích protokolu IPSec a služby SNMP, postupujte takto:
 1. V levém podokně klepněte pravým tlačítkem myši na položku Zásady zabezpečení protokolu IP v Místním počítači a poté klepněte na příkaz Vytvořit zásadu zabezpečení protokolu IP.

  Spustí se Průvodce zásadami zabezpečení protokolu IP.
 2. Klepněte na tlačítko Další.
 3. Do pole Název na stránce Název zásady zabezpečení protokolu IP zadejte Zabezpečená služba SNMP. Do pole Popis zadejte Vynucení protokolu IPSec pro komunikace služby SNMP a klepněte na tlačítko Další.
 4. Zrušte zaškrtnutí políčka Zapnout výchozí pravidlo odpovídání a klepněte na tlačítko Další.
 5. Na stránce Dokončení Průvodce zásadami zabezpečení protokolu IP ověřte, zda je zaškrtnuté políčko Upravit vlastnosti, a klepněte na tlačítko Dokončit.
 6. V dialogovém okně Zabezpečená služba SNMP – vlastnosti zrušte zaškrtnutí políčka Použít průvodce a klepněte na tlačítko Přidat.
 7. Klepněte na kartu Seznam filtrů IP a poté klepněte na položku Zprávy SNMP (161/162).
 8. Klepněte na kartu Akce filtru a poté klepněte na položku Vyžadovat zabezpečení.
 9. Klepněte na kartu Metody ověřování. Výchozí metoda ověřování je Kerberos. Vyžadujete-li alternativní metodu ověřování, klepněte na tlačítko Přidat. V dialogovém okně Nový způsob ověření – vlastnosti vyberte v seznamu požadovanou metodu ověřování a klepněte na tlačítko OK:
  • Protokol Kerberos V5 (výchozí protokol služby Active Directory)
  • Použít certifikát od tohoto certifikačního úřadu
  • Použít tento řetězec (předsdílený klíč)
 10. V dialogovém okně Nové pravidlo – vlastnosti klepněte na tlačítko Použít a poté klepněte na tlačítko OK.
 11. V dialogovém okně Služba SNMP – vlastnosti ověřte, zda je zaškrtnuté políčko Zprávy SNMP (161/162), a klepněte na tlačítko OK.
 12. V pravém podokně konzoly Místní nastavení zabezpečení klepněte pravým tlačítkem myši na pravidlo Zabezpečená služba SNMP a poté klepněte na příkaz Přiřadit.
Postup opakujte ve všech počítačích se systémem Windows, ve kterých běží služba SNMP. Tuto zásadu IPSec je nutné nakonfigurovat také v řídicí stanici SNMP.

Odkazy

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

324263 POSTUPY: Konfigurace služby SNMP (Simple Network Management Protocol) v systému Windows Server 2003 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Vlastnosti

ID článku: 324261 - Poslední kontrola: 14. 5. 2009 - Revize: 1

Váš názor