Al momento sei offline in attesa che la connessione Internet venga ristabilita

HOW TO: Configurare la protezione della rete per il servizio SNMP in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "così come sono" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto formale. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web da cui la versione del prodotto è stata scaricata.

Per la versione di questo articolo relativa a Microsoft Windows 2000, vedere 313381.

CONTENUTO DELL'ATTIVITÀ

Sommario
In questo articolo vengono descritte le procedure dettagliate per configurare la protezione di rete per il servizio SNMP (Simple Network Management Protocol) in Windows Server 2003.

Il servizio SNMP funge da agente di raccolta delle informazioni che possono essere riferite a stazioni di gestione o console SNMP. È possibile utilizzare il servizio SNMP per raccogliere informazioni e gestire computer basati su Windows Server 2003, Microsoft Windows XP e Microsoft Windows 2000 in una rete aziendale.

Solitamente le comunicazioni tra agenti SNMP e stazioni di gestione SNMP vengono protette mediante assegnazione agli agenti e alle stazioni di un nome di comunità condiviso. Quando una stazione di gestione SNMP invia una query al servizio SNMP, il nome di comunità del richiedente viene confrontato con il nome di comunità dell'agente. Se corrispondono, la stazione di gestione SNMP viene autenticata. Se non corrispondono, l'agente SNMP considera la richiesta come un "accesso non riuscito" e può inviare un messaggio trap SNMP.

I messaggi SNMP vengono inviati in formato non crittografato. Tali messaggi non crittografati vengono facilmente intercettati e decodificati dagli analizzatori di rete, come Microsoft Network Monitor. I nomi di comunità possono essere acquisiti e utilizzati da personale non autorizzato per ricavare informazioni preziose sulle risorse di rete.

Per proteggere le comunicazioni SNMP è possibile utilizzare il protocollo di protezione IP (IPSec). È possibile creare criteri IPSec per proteggere le comunicazioni sulle porte TCP e UDP 161 e 162 e rendere sicure le transazioni SNMP.

Torna all'inizio

Creazione di un elenco filtri

Per creare un criterio IPSec e proteggere i messaggi SNMP, creare innanzitutto l'elenco filtri. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Scegliere Start, quindi Strumenti di amministrazione e infine Criteri di protezione locali.
  2. Espandere Impostazioni protezione, fare clic con il pulsante destro del mouse su Criteri di protezione IP su Computer locale, quindi scegliere Gestisci elenchi filtri IP e azioni filtro.
  3. Scegliere la scheda Gestisci elenchi filtri IP, quindi Aggiungi.
  4. Nella finestra di dialogo Elenco filtri IP digitare Messaggi SNMP (161/162) nella casella Nome, quindi digitare Filtro per le porte TCP e UDP 161 nella casella Descrizione.
  5. Deselezionare la casella di controllo Utilizza Aggiunta guidata e scegliere Aggiungi.
  6. Nella casella Indirizzo origine della scheda Indirizzi della finestra di dialogo Proprietà visualizzata per il filtro IP scegliere Qualsiasi indirizzo IP. Nella casella Indirizzo di destinazione scegliere Indirizzo IP. Selezionare la casella di controllo Speculare. Individua i pacchetti con indirizzi IP di origine e destinazione invertiti.
  7. Scegliere la scheda Protocollo. Nella casella Selezionare un tipo di protocollo fare clic su UDP. Nella casella Impostare la porta di protocollo IP scegliere Da questa porta, quindi digitare 161 nella casella. Fare clic su A questa porta, quindi digitare 161 nella casella.
  8. Scegliere OK.
  9. Nella finestra di dialogo Elenco filtri IP scegliere Aggiungi.
  10. Nella casella Indirizzo origine della scheda Indirizzi della finestra di dialogo Proprietà visualizzata per il filtro IP scegliere Qualsiasi indirizzo IP. Nella casella Indirizzo di destinazione scegliere Indirizzo IP. Selezionare la casella di controllo Speculare. Individua i pacchetti con indirizzi IP di origine e destinazione invertiti.
  11. Scegliere la scheda Protocollo. Nella casella Selezionare un tipo di protocollo scegliere TCP. Nella casella Impostare protocollo IP scegliere Da questa porta, quindi digitare 161 nella casella. Fare clic su A questa porta, quindi digitare 161 nella casella.
  12. Scegliere OK.
  13. Nella finestra di dialogo Elenco filtri IP scegliere Aggiungi.
  14. Nella casella Indirizzo origine della scheda Indirizzi della finestra di dialogo Proprietà visualizzata per il filtro IP scegliere Qualsiasi indirizzo IP. Nella casella Indirizzo di destinazione scegliere Indirizzo IP. Selezionare la casella di controllo Speculare. Individua i pacchetti con indirizzi IP di origine e destinazione invertiti.
  15. Scegliere la scheda Protocollo. Nella casella Selezionare un tipo di protocollo scegliere UDP. Nella casella Impostare protocollo IP scegliere Da questa porta, quindi digitare 162 nella casella. Fare clic su A questa porta, quindi digitare 162 nella casella.
  16. Scegliere OK.
  17. Nella finestra di dialogo Elenco filtri IP scegliere Aggiungi.
  18. Nella casella Indirizzo origine della scheda Indirizzi della finestra di dialogo Proprietà visualizzata per il filtro IP scegliere Qualsiasi indirizzo IP. Nella casella Indirizzo di destinazione scegliere Indirizzo IP. Selezionare la casella di controllo Speculare. Individua i pacchetti con indirizzi IP di origine e destinazione invertiti.
  19. Scegliere la scheda Protocollo. Nella casella Selezionare un tipo di protocollo scegliere TCP. Nella casella Impostare protocollo IP scegliere Da questa porta, quindi digitare 162 nella casella. Fare clic su A questa porta, quindi digitare 162 nella casella.
  20. Scegliere OK.
  21. Scegliere OK nella finestra di dialogo Elenco filtri IP, quindi scegliere OK nella finestra di dialogo Gestisci elenchi filtri IP e azioni filtro.
Torna all'inizio

Creazione di un criterio IPSec

Per creare un criterio IPSec che imponga la protezione IP per le comunicazioni SNMP, attenersi alla procedura seguente:
  1. Fare clic con il pulsante destro del mouse su Criteri di protezione IP su Computer locale nel riquadro sinistro e scegliere Crea criterio di protezione IP.

    Verrà avviata la Creazione guidata criteri di protezione IP.
  2. Scegliere Avanti.
  3. Nella pagina Nome criterio di protezione IP digitare Protezione SNMP nella casella Nome. Nella casella Descrizione digitare Applica IPSec a comunicazioni SNMP, quindi scegliere Avanti.
  4. Deselezionare la casella di controllo Attiva la regola di risposta predefinita e scegliere Avanti.
  5. Nella pagina Completamento della Creazione guidata criteri di protezione IP verificare che sia selezionata la casella di controllo Modifica proprietà, quindi scegliere Fine.
  6. Nella finestra di dialogo Proprietà della protezione SNMP deselezionare la casella di controllo Utilizza Aggiunta guidata, quindi scegliere Aggiungi.
  7. Scegliere la scheda Elenco filtri IP, quindi fare clic su Messaggi SNMP (161/162).
  8. Scegliere la scheda Operazione filtro, quindi Richiedi protezione.
  9. Scegliere la scheda Metodi di autenticazione. Kerberos è il metodo di autenticazione predefinito. Se sono necessari altri metodi di autenticazione, scegliere Aggiungi. Nella finestra di dialogo Proprietà del nuovo metodo di autenticazione selezionare il metodo di autenticazione desiderato dall'elenco seguente e scegliere OK:
    • Impostazione predefinita di Active Directory (protocollo V5 Kerberos)
    • Utilizza un certificato della seguente Autorità di certificazione (CA)
    • Utilizza la stringa (chiave già condivisa)
  10. Nella finestra di dialogo Proprietà della nuova regola scegliere Applica, quindi OK.
  11. Nella finestra di dialogo Proprietà della protezione SNMP verificare che sia selezionata la casella di controllo Messaggi SNMP (161/162), quindi scegliere OK.
  12. Nel riquadro destro della console Impostazioni protezione locale fare clic con il pulsante destro del mouse sulla regola Protezione SNMP, quindi scegliere Assegna.
Completare questa procedura in tutti i computer basati su Windows in cui il servizio SNMP è in esecuzione. Il criterio IPSec deve essere configurato anche nella stazione di gestione SNMP.

Torna all'inizio
Riferimenti
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
324263 HOW TO: Configurare il servizio SNMP (Simple Network Management Protocol) in Windows Server 2003
Torna all'inizio
kbSecurity
Proprietà

ID articolo: 324261 - Ultima revisione: 12/03/2007 06:26:26 - Revisione: 7.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbnetwork kbenv kbhowtomaster KB324261
Feedback