SNMP-palvelun verkkosuojauksen määrittäminen Windows Server 2003:ssa

Tässä artikkelissa käsitellään Microsoft-tuotteen beetaversiota. Tämän artikkelin tiedot koskevat nykytilannetta, ja niihin voidaan tehdä muutoksia ilman erillistä ilmoitusta.

Tälle beetatuotteelle ei ole muodollista Microsoft-tukea. Lisätietoja beetaversion tuesta saat beetatuotetiedostojen mukana tulleista ohjeista tai mahdollisesti verkko-osoitteesta, josta latasit version.

TÄSSÄ TEHTÄVÄSSÄ

Yhteenveto

Tässä vaiheittaiset ohjeet sisältävässä artikkelissa kuvataan, miten verkkosuojaus määritetään SNMP (Simple Network Management Protocol) -palvelulle Windows Server 2003:ssa.

SNMP-palvelu toimii agenttina, joka kerää SNMP-hallinta-asemille tai -konsoleille raportoitavat tiedot. SNMP-palvelun avulla voit kerätä tietoja sekä hallita yritysverkon Windows Server 2003-, Microsoft Windows XP- ja Microsoft Windows 2000 -tietokoneita.

SNMP-agenttien ja SNMP-hallinta-asemien välinen tietoliikenne suojataan yleensä määrittämällä agenteille ja hallinta-asemille yhteinen yhteisönimi. Kun SNMP-hallinta-asema lähettää kyselyn SNMP-palvelulle, pyytäjän yhteisönimeä verrataan agentin yhteisönimeen. Jos ne vastaavat toisiaan, SNMP-hallinta-aseman käyttöoikeus on tarkistettu. Jos ne eivät vastaa toisiaan, SNMP-agentti pitää pyyntöä epäonnistuneena käyttöyrityksenä ja saattaa lähettää SNMP-keskeytyssanoman.

SNMP-sanomat lähetetään tekstimuodossa. Verkon analysointiohjelmat, kuten Microsoftin Verkonvalvonta, voivat kaapata nämä tekstimuotoiset sanomat helposti ja purkaa niiden koodauksen. Luvattomat käyttäjät voivat kaapata yhteisönimiä saadakseen arvokasta tietoa verkkoresursseista.

SNMP-tietoliikenne voidaan suojata IPSec (IP Security) -protokollan avulla. Voit suojata SNMP-tapahtumat luomalla IPSec-käytäntöjä TCP- ja UDP-porttien 161 ja 162 tietoliikenteen suojaamista varten.

Suodatinluettelon luominen

Jos haluat luoda IPSec-käytännön SNMP-sanomien suojaamista varten, luo ensin suodatinluettelo. Voit tehdä tämän seuraavasti:
 1. Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten Paikallinen suojauskäytäntö.
 2. Laajenna Suojausasetukset, napsauta hiiren kakkospainikkeella IP-suojauskäytännöt kohteessa Paikallinen tietokone ja valitse sitten Hallitse IP-suodatinluetteloita ja suodatustoimintoja.
 3. Valitse Hallitse IP-suodatinluetteloita -välilehti ja valitse sitten Lisää.
 4. Kirjoita IP-suodatinluettelo-valintaikkunassa Nimi-ruutuun SNMP-sanomat (161/162) ja kirjoita sitten Kuvaus-ruutuun Suodatin TCP- ja UDP-porteille 161.
 5. Poista Käytä ohjattua lisäämistä -valintaruudun valinta ja valitse sitten Lisää.
 6. Valitse näyttöön tulevan Ominaisuudet: IP-suodatin -valintaikkunan Osoitteet-välilehden Lähdeosoite-ruudussa Mikä tahansa IP-osoite. Valitse Kohdeosoite-ruudussa Oma IP-osoite. Valitse Peilattu. Vastaa myös paketteja, joiden lähde- ja kohdeosoitteet ovat päinvastaiset. -valintaruutu.
 7. Valitse Protokolla-välilehti. Valitse Valitse protokollalaji -ruudussa UDP. Valitse Aseta IP-protokollaportti -ruudussa Tästä portista ja kirjoita sitten ruutuun 161. Valitse Tähän porttiin ja kirjoita sitten ruutuun 161.
 8. Valitse OK.
 9. Valitse IP-suodatinluettelo-valintaikkunassa Lisää.
 10. Valitse näyttöön tulevan Ominaisuudet: IP-suodatin -valintaikkunan Osoitteet-välilehden Lähdeosoite-ruudussa Mikä tahansa IP-osoite. Valitse Kohdeosoite-ruudussa Oma IP-osoite. Valitse Peilattu. Vastaa myös paketteja, joiden lähde- ja kohdeosoitteet ovat päinvastaiset. -valintaruutu.
 11. Valitse Protokolla-välilehti. Valitse Valitse protokollalaji -ruudussa TCP. Valitse Aseta IP-protokollaportti -ruudussa Tästä portista ja kirjoita sitten ruutuun 161. Valitse Tähän porttiin ja kirjoita sitten ruutuun 161.
 12. Valitse OK.
 13. Valitse IP-suodatinluettelo-valintaikkunassa Lisää.
 14. Valitse näyttöön tulevan Ominaisuudet: IP-suodatin -valintaikkunan Osoitteet-välilehden Lähdeosoite-ruudussa Mikä tahansa IP-osoite. Valitse Kohdeosoite-ruudussa Oma IP-osoite. Valitse Peilattu. Vastaa myös paketteja, joiden lähde- ja kohdeosoitteet ovat päinvastaiset. -valintaruutu.
 15. Valitse Protokolla-välilehti. Valitse Valitse protokollalaji -ruudussa UDP. Valitse Aseta IP-protokollaportti -ruudussa Tästä portista ja kirjoita sitten ruutuun 162. Valitse Tähän porttiin ja kirjoita sitten ruutuun 162.
 16. Valitse OK.
 17. Valitse IP-suodatinluettelo-valintaikkunassa Lisää.
 18. Valitse näyttöön tulevan Ominaisuudet: IP-suodatin -valintaikkunan Osoitteet-välilehden Lähdeosoite-ruudussa Mikä tahansa IP-osoite. Valitse Kohdeosoite-ruudussa Oma IP-osoite. Valitse Peilattu. Vastaa myös paketteja, joiden lähde- ja kohdeosoitteet ovat päinvastaiset. -valintaruutu.
 19. Valitse Protokolla-välilehti. Valitse Valitse protokollalaji -ruudussa TCP. Valitse Aseta IP-protokollaportti -ruudussa Tästä portista ja kirjoita sitten ruutuun 162. Valitse Tähän porttiin ja kirjoita sitten ruutuun 162.
 20. Valitse OK.
 21. Valitse IP-suodatinluettelo-valintaikkunassa OK ja valitse sitten Hallitse IP-suodatinluetteloita ja suodatustoimintoja -valintaikkunassa OK.

IPSec-käytännön luominen

Jos haluat pakottaa IPSecin käytön SNMP-tietoliikenteelle luomalla IPSec-käytännön, toimi seuraavasti:
 1. Napsauta vasemmanpuoleisessa ruudussa hiiren kakkospainikkeella IP-suojauskäytännöt kohteessa Paikallinen tietokone ja valitse sitten Luo IP-suojauskäytäntö.

  Ohjattu IP-suojauskäytännön määrittäminen käynnistyy.
 2. Valitse Seuraava.
 3. Kirjoita IP-suojauskäytännön nimi -sivulla Nimi-ruutuun Suojattu SNMP. Kirjoita Kuvaus-ruutuun Pakota IPSec SNMP-tietoliikenteelle ja valitse sitten Seuraava.
 4. Poista Ota käyttöön oletusvastaussääntö -valintaruudun valinta ja valitse sitten Seuraava.
 5. Varmista Viimeistellään ohjattua IP-suojauskäytännön määrittämistä -sivulla, että Muokkaa ominaisuuksia -valintaruutu on valittuna ja valitse sitten Valmis.
 6. Poista Ominaisuudet: Suojattu SNMP -valintaikkunassa Käytä ohjattua lisäämistä -valintaruudun valinta ja valitse sitten Lisää.
 7. Valitse IP-suodatinluettelo-välilehti ja valitse sitten SNMP-sanomat (161/162).
 8. Valitse Suodatustoiminto-välilehti ja valitse sitten Vaadi suojaus.
 9. Valitse Käyttöoikeuden tarkistusmenetelmä -välilehti. Kerberos on oletusarvon mukainen käyttöoikeuden tarkistusmenetelmä. Jos tarvitset vaihtoehtoisia käyttöoikeuden tarkistusmenetelmiä, valitse Lisää. Valitse Ominaisuudet: Uusi käyttöoikeuksien tarkistusmenetelmä -valintaikkunassa haluamasi käyttöoikeuksien tarkistusmenetelmä seuraavasta luettelosta ja valitse sitten OK:
  • Active Directory -oletus (Kerberos V5 -protokolla)
  • Käytä tämän sertifikaattien myöntäjän sertifikaattia
  • Suojaa tällä merkkijonolla (jaettu avain).
 10. Valitse Ominaisuudet: Uusi sääntö -valintaikkunassa Käytä ja valitse sitten OK.
 11. Varmista, että Ominaisuudet: SNMP -valintaikkunan SNMP-sanomat (161/162) -valintaruutu on valittuna, ja valitse sitten OK.
 12. Napsauta Paikalliset suojausasetukset -konsolin oikeanpuoleisessa ruudussa hiiren kakkospainikkeella Suojattu SNMP -sääntöä ja valitse sitten Lisää.
Tee nämä toimet kaikissa Windows-tietokoneissa, joissa SNMP-palvelu on käynnissä. Tämä IPSec-käytäntö on määritettävä myös SNMP-hallinta-asemassa.

Suositukset

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

324263 SNMP (Simple Network Management Protocol) -palvelun määrittäminen Windows Server 2003:ssa (tämä artikkeli saattaa olla englanninkielinen)
Ominaisuudet

Artikkelin tunnus: 324261 – Viimeisin tarkistus: 14.5.2009 – Versio: 1

Palaute