現在オフラインです。再接続するためにインターネットの接続を待っています

[HOWTO] Windows Server 2003 で SNMP サービスのネットワーク セキュリティを構成する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。



Microsoft Windows 2000 については、次の資料を参照してください。313381

この資料の内容

概要
この資料では、Windows Server 2003 で SNMP (Simple Network Management Protocol) サービスのネットワーク セキュリティを構成する方法を順を追って説明します。

SNMP サービスは、SNMP 管理ステーションやコンソールに報告されることがある情報を収集するエージェントとして機能します。SNMP サービスを使用して、企業内ネットワーク全体でデータの収集や Windows Server 2003、Microsoft Windows XP、および Microsoft Windows 2000 ベースのコンピュータの管理を行うことができます。

SNMP エージェントと SNMP 管理ステーションの間の通信は、共有のコミュニティ名をエージェントと管理ステーションに割り当てることによりセキュリティで保護されます。SNMP 管理ステーションが SNMP サービスにクエリを送信すると、要求元のコミュニティ名がエージェントのコミュニティ名と比較されます。両者が一致した場合、SNMP 管理ステーションは認証されます。一致しない場合、SNMP エージェントはその要求をアクセスの試行の失敗と見なし、SNMP トラップ メッセージを送信することがあります。

SNMP メッセージはクリア テキストで送信されます。このクリア テキストのメッセージは Microsoft Network Monitor などのネットワーク アナライザで容易に読み取られたり、解読されたりします。認証されていない人物がコミュニティ名を捕捉および使用し、ネットワーク リソースについての重要な情報を入手できます。

SNMP 通信の保護には IPSec (IP Security Protocol) を使用できます。IPSec ポリシーを作成すると、SNMP トランザクションをセキュリティで保護するために TCP および UDP のポート 161 および 162 での通信をセキュリティで保護できます。

先頭に戻る

フィルタ一覧の作成

IPSec ポリシーを作成して SNMP メッセージをセキュリティで保護するには、最初に次の手順を実行してフィルタ一覧を作成します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ローカル セキュリティ ポリシー] をクリックします。
  2. [セキュリティの設定] を展開し、[IP セキュリティ ポリシー (ローカル コンピュータ)] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] をクリックします。
  3. [IP フィルタ一覧の管理] タブをクリックし、[追加] をクリックします。
  4. [IP フィルタ一覧] ダイアログ ボックスで、[名前] ボックスに SNMP メッセージ (161/162) と入力し、[説明] ボックスに TCP および UDP のポート 161 用のフィルタと入力します。
  5. [追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  6. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  7. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [UDP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 161 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 161 と入力します。
  8. [OK] をクリックします。
  9. [IP フィルタ一覧] ダイアログ ボックスで、[追加] をクリックします。
  10. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  11. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [TCP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 161 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 161 と入力します。
  12. [OK] をクリックします。
  13. [IP フィルタ一覧] ダイアログ ボックスで、[追加] をクリックします。
  14. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  15. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [UDP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 162 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 162 と入力します。
  16. [OK] をクリックします。
  17. [IP フィルタ一覧] ダイアログ ボックスで、[追加] をクリックします。
  18. 表示された [IP フィルタのプロパティ] ダイアログ ボックスの [アドレス] タブで、[発信元アドレス] ボックスの一覧の [任意の IP アドレス] をクリックし、[宛先アドレス] ボックスの一覧の [このコンピュータの IP アドレス] をクリックします。[ミラー化。パケットを正反対の発信元アドレスおよび宛先アドレスと一致させます] チェック ボックスをオンにします。
  19. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスの一覧の [TCP] をクリックします。[IP プロトコル ポートの設定] で [次の発信ポート] をクリックし、テキスト ボックスに 162 と入力します。[次の宛先ポート] をクリックし、テキスト ボックスに 162 と入力します。
  20. [OK] をクリックします。
  21. [IP フィルタ一覧] ダイアログ ボックスで [OK] をクリックします。次に、[IP フィルタ一覧とフィルタ操作の管理] ダイアログ ボックスで [閉じる] をクリックします。
先頭に戻る

IPSec ポリシーの作成

IPSec ポリシーを作成し、SNMP 通信で強制的に IPSec を使用するには次の手順を実行します。
  1. ローカル セキュリティ ポリシーの左側のウィンドウで [IP セキュリティ ポリシー (ローカル コンピュータ)] を右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。

    IP セキュリティ ポリシー ウィザードが起動します。
  2. [次へ] をクリックします。
  3. [IP セキュリティ ポリシー名] の [名前] ボックスに Secure SNMP と入力します。[説明] ボックスに SNMP 通信で強制的に IPSec を使用しますと入力し、[次へ] をクリックします。
  4. [既定の応答規則をアクティブにする] チェック ボックスをオフにし、[次へ] をクリックします。
  5. [IP セキュリティ ポリシー ウィザードの完了] で、[プロパティを編集する] チェック ボックスがオンになっていることを確認し、[完了] をクリックします。
  6. [Secure SNMP のプロパティ] ダイアログ ボックスの [追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  7. [IP フィルタ一覧] タブをクリックし、[SNMP メッセージ (161/162)] をクリックします。
  8. [フィルタ操作] タブをクリックし、[セキュリティが必要] をクリックします。
  9. [認証方法] タブをクリックします。デフォルトの認証方法は Kerberos です。認証方法を変更する必要がある場合は、[追加] をクリックします。[新しい認証方法のプロパティ] ダイアログ ボックスで以下の一覧のいずれかの認証方法を選択し、[OK] をクリックします。
    • Active Directory 既定値 (Kerberos V5 プロトコル)
    • 次の証明機関 (CA) からの証明書を使う
    • 次の文字列 (事前共有キー) を使う
  10. [新しい規則のプロパティ] ダイアログ ボックスの [適用] をクリックし、[OK] をクリックします。
  11. [SNMP プロパティ] ダイアログ ボックスで [SNMP メッセージ (161/162)] チェック ボックスがオンになっていることを確認し、[OK] をクリックします。
  12. [ローカル セキュリティの設定] コンソールの右側のウィンドウで [Secure SNMP] 規則を右クリックし、[割り当て] をクリックします。
この手順を、SNMP サービスを実行しているすべての Windows ベースのコンピュータに対して実行します。IPSec ポリシーは、SNMP 管理ステーションでも構成する必要があります。

先頭に戻る
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
324263 [HOWTO] Windows Server 2003 で簡易ネットワーク管理プロトコル (SNMP) サービスを構成する方法
先頭に戻る
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 324261 (最終更新日 2004-04-05) を基に作成したものです。
kbsecurity
プロパティ

文書番号:324261 - 最終更新日: 12/03/2007 06:58:03 - リビジョン: 7.3

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbnetwork kbenv kbhowtomaster KB324261
フィードバック
rClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("