Konfigurieren der Netzwerksicherheit für den SNMP-Dienst in Windows Server 2003

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
324261 How to configure Network Security for the SNMP Service in Windows Server 2003
Dieser Artikel beschreibt die Betaversion eines Microsoft-Produkts. Die Informationen in diesem Artikel werden ohne Gewähr weitergegeben und können sich ohne vorherige Ankündigung ändern.

Microsoft gewährt keine formelle Produktunterstützung für diese Betaversion. Weitere Informationen dazu, wie Sie Unterstützung für eine Betaversion erhalten, finden Sie in der Dokumentation der Betaversion oder auf der Website, von der Sie diese Version heruntergeladen haben.

Inhalt

Zusammenfassung
Der vorliegende Artikel beschreibt Schritt für Schritt, wie Sie die Netzwerksicherheit für den SNMP (Simple Network Management Protocol)-Dienst unter Windows Server 2003 konfigurieren können.

Der SNMP-Dienst fungiert als Agent, der Informationen zur Weitermeldung an SNMP-Verwaltungsstationen oder -konsolen sammelt. Mit dem SNMP-Dienst können Sie Daten sammeln und Windows Server 2003-, Microsoft Windows XP- sowie Windows 2000-Computer in einem Firmennetzwerk verwalten.

Die Kommunikation zwischen SNMP-Agenten und SNMP-Verwaltungsstationen wird i. d. R. durch einen gemeinsam verwendeten Communitynamen für Agenten und Verwaltungsstationen gesichert. Wenn eine SNMP-Verwaltungsstation eine Abfrage an den SNMP-Dienst sendet, wird der Communityname des Anfordernden mit dem Communitynamen des Agenten verglichen. Wenn diese übereinstimmen, wurde die SNMP-Verwaltungsstation authentifiziert. Falls sie nicht übereinstimmen, geht der SNMP-Agent von einem fehlgeschlagen Zugriffsversuch aus und sendet unter Umständen eine SNMP-Trap-Nachricht.

SNMP-Nachrichten werden in Klartext gesendet. Diese Klartextnachrichten können von Netzwerkanalyseprogrammen wie Microsoft Netzwerkmonitor abgefangen und decodiert werden. Communitynamen können von nicht autorisierten Personen ermittelt und zum Abfragen wichtiger Informationen über Netzwerkressourcen verwendet werden.

Zum Schutz der SNMP-Kommunikation kann das IPSec (IP Security Protocol)-Protokoll verwendet werden. Sie können IPSec-Richtlinien erstellen, um die Kommunikation über die TCP- und UDP-Ports 161 und 162 zu sichern. Auf diese Weise werden auch SNMP-Transaktionen gesichert.

Zurück zum Anfang

Erstellen einer Filterliste

Zum Erstellen einer IPSec-Richtlinie für sichere SNMP-Nachrichten erstellen Sie zunächst eine Filterliste. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie Sicherheitseinstellungen, klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf Lokaler Computer, und klicken Sie anschließend auf IP-Filterlisten und Filteraktionen verwalten.
  3. Klicken Sie auf die Registerkarte IP-Filterlisten verwalten und dann auf Hinzufügen.
  4. Geben Sie im Dialogfeld IP-Filterliste im Feld Name den Namen SNMP-Nachrichten (161/162) ein, und geben Sie anschließend Filter für TCP- und UDP-Port 161 im Feld Beschreibung ein.
  5. Deaktivieren Sie das Kontrollkästchen Assistent verwenden. Klicken Sie dann auf Hinzufügen.
  6. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  7. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 161 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 161 in das Eingabefeld ein.
  8. Klicken Sie auf OK.
  9. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  10. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  11. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 161 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 161 in das Eingabefeld ein.
  12. Klicken Sie auf OK.
  13. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  14. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  15. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf UDP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 162 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 162 in das Eingabefeld ein.
  16. Klicken Sie auf OK.
  17. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  18. Klicken Sie im eingeblendeten Dialogfeld Eigenschaften von IP-Filter auf der Registerkarte Adressen im Feld Quelladresse auf Beliebige IP-Adresse. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Aktivieren Sie das Kontrollkästchen Gespiegelt. Diese Filterangabe wird auf Pakete mit entgegengesetzten Quell- und Zieladressen angewendet.
  19. Klicken Sie auf die Registerkarte Protokoll. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP. Klicken Sie im Feld Legen Sie den Port des IP-Protokolls fest auf Von diesem Port, und geben Sie dann 162 in das Eingabefeld ein. Klicken Sie auf Zu diesem Port, und geben Sie dann 162 in das Eingabefeld ein.
  20. Klicken Sie auf OK.
  21. Klicken Sie im Dialogfeld IP-Filterliste auf OK, und klicken Sie anschließend im Dialogfeld IP-Filterlisten und Filteraktionen verwalten ebenfalls auf OK.
Zurück zum Anfang

Erstellen einer IPSec-Richtlinie

Gehen Sie folgendermaßen vor, um eine IPSec-Richtlinie zu erstellen, mit der für die SNMP-Kommunikation IPSec erzwungen wird:
  1. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf Lokaler Computer, und klicken Sie anschließend auf IP-Sicherheitsrichtlinie erstellen.

    Der IP-Sicherheitsrichtlinien-Assistent wird gestartet.
  2. Klicken Sie auf Weiter.
  3. Geben Sie auf der Seite "IP-Sicherheitsrichtlinienname" im Feld Name die Bezeichnung Secure SNMP ein. Geben Sie im Feld Beschreibung den erläuternden Text IPSec für SNMP-Kommunikation erzwingen ein, und klicken Sie anschließend auf Weiter.
  4. Deaktivieren Sie das Kontrollkästchen Die Standardantwortregel aktivieren, und klicken Sie anschließend auf Weiter.
  5. Aktivieren Sie im Dialogfeld Fertigstellen des Assistenten das Kontrollkästchen Eigenschaften bearbeiten (falls es nicht bereits aktiviert ist), und klicken Sie anschließend auf Fertig stellen.
  6. Deaktivieren Sie im Dialogfeld Eigenschaften von Secure SNMP das Kontrollkästchen Assistent verwenden, und klicken Sie dann auf die Schaltfläche Hinzufügen.
  7. Klicken Sie auf die Registerkarte IP-Filterliste und dann auf SNMP-Nachrichten (161/162).
  8. Klicken Sie auf die Registerkarte Filteraktion und dann auf Sicherheit erforderlich.
  9. Klicken Sie auf die Registerkarte Authentifizierungsmethoden. Die Standardauthentifizierungsmethode ist Kerberos. Falls eine andere Authentifizierungsmethode benötigt wird, klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Eigenschaften von Neue Authentifizierungsmethode die gewünschte Authentifizierungsmethode aus der nachfolgenden Liste, und klicken Sie anschließend auf OK:
    • Active Directory-Standard (Kerberos V5-Protokoll)
    • Ein Zertifikat von folgender Zertifizierungsstelle verwenden
    • Diese Zeichenfolge (vorinstallierter Schlüssel) verwenden
  10. Klicken Sie im Dialogfeld Eigenschaften von Neue Regel auf Übernehmen, und klicken Sie anschließend auf OK.
  11. Vergewissern Sie sich, dass im Dialogfeld Eigenschaften von SNMP das Kontrollkästchen SNMP-Nachrichten (161/162) aktiviert ist, und klicken Sie anschließend auf OK.
  12. Klicken Sie im rechten Fensterbereich der Konsole "Lokale Sicherheitseinstellungen" mit der rechten Maustaste auf die Regel Secure SNMP, und klicken Sie anschließend auf Zuweisen.
Führen Sie dieses Verfahren auf allen Windows-Computern durch, die den SNMP-Dienst ausführen. Die IPSec-Richtlinie muss auch auf der SNMP-Verwaltungsstation konfiguriert werden.

Zurück zum Anfang
Informationsquellen
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
324263 SO WIRD'S GEMACHT: Konfigurieren des SNMP-Dienstes (Simple Network Management Protocol) in Windows Server 2003
Zurück zum Anfang
kbsecurity
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 324261 – Letzte Überarbeitung: 12/03/2007 03:05:44 – Revision: 7.6

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbnetwork kbenv kbhowtomaster KB324261
Feedback