Jak skonfigurować zabezpieczenia sieciowe dla usługi SNMP w systemie Windows 2003

W tym artykule opisano wersję beta produktu firmy Microsoft. Informacje w tym artykule są udostępnione „tak jak są” i mogą ulec zmianie bez powiadomienia.

Dla tej wersji beta nie jest dostępna żadna oficjalna pomoc techniczna firmy Microsoft. Aby uzyskać informacje o pomocy dla wersji beta, zobacz w dokumentacji dostarczonej z plikami produktu w wersji beta lub odwiedź witrynę sieci Web, z której pobrano produkt.

W TYM ZADANIU

Streszczenie

W tym artykule opisano krok po kroku sposób konfigurowania zabezpieczeń sieciowych dla usługi SNMP (Simple Network Management Protocol) w systemie Windows Server 2003.

Usługa SNMP działa jako agent zbierający informacje, które następnie są przesyłane do stacji zarządzających lub konsol SNMP. Usługa SNMP umożliwia zbieranie danych oraz zarządzanie komputerami działającymi pod kontrolą systemów Windows Server 2003, Microsoft Windows XP i Microsoft Windows 2000 w sieci korporacyjnej.

Komunikacja między agentami SNMP i stacjami zarządzającymi SNMP jest najczęściej chroniona przez przypisanie agentom i stacjom zarządzającym współużytkowanej nazwy wspólnoty. Kiedy stacja zarządzająca SNMP wysyła zapytanie do usługi SNMP, przypisana jej nazwa wspólnoty jest porównywana z nazwą wspólnoty agenta. Jeżeli nazwy te są zgodne, stacja zarządzająca SNMP zostaje uwierzytelniona. W przeciwnym razie agent SNMP uznaje żądanie za nieudaną próbę dostępu i może wysłać wiadomość pułapki SNMP.

Wiadomości protokołu SNMP są przesyłane w zwykłym formacie tekstowym. Takie wiadomości mogą być w łatwy sposób przechwycone i zdekodowane przez analizatory sieci, jak na przykład Monitor sieci firmy Microsoft. Również nazwy wspólnot mogą zostać przechwycone i użyte przez osoby nieupoważnione do uzyskania cennych informacji o zasobach sieciowych.

Do ochrony komunikacji protokołu SNMP można użyć protokołu IPSec (IP Security Protocol). Można też utworzyć zasady zabezpieczeń IPSec, aby chronić komunikację przy użyciu portów TCP i UDP o numerach 161 i 162 i zabezpieczyć w ten sposób transakcje SNMP.

Tworzenie listy filtrów

Aby utworzyć zasady zabezpieczeń IPSec chroniące wiadomości protokołu SNMP, należy najpierw utworzyć listę filtrów. W tym celu wykonaj następujące kroki:
 1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń lokalnych.
 2. Rozwiń węzeł Ustawienia zabezpieczeń, kliknij prawym przyciskiem pozycję Zasady zabezpieczeń IP na komputerze lokalnym, a następnie kliknij Zarządzanie listami filtrów IP i akcjami filtrowania.
 3. Kliknij kartę Zarządzanie listami filtrów IP, a następnie kliknij przycisk Dodaj.
 4. W oknie dialogowym Lista filtrów IP wpisz tekst Wiadomości SNMP (161/162) w polu Nazwa, a następnie wpisz Filtr dla portów TCP i UDP (161) w polu Opis.
 5. Kliknij, aby wyczyścić pole wyboru Użyj kreatora dodawania, a następnie kliknij przycisk Dodaj.
 6. W polu Adres źródłowy, na karcie Adresy wyświetlonego okna dialogowego Właściwości filtru IP kliknij opcję Dowolny adres IP. W polu Adres docelowy kliknij opcję Mój adres IP. Kliknij, aby zaznaczyć pole wyboru Dublowane. Dopasuj pakiety do przeciwstawnych adresów źródłowych i docelowych.
 7. Kliknij kartę Protokół. W polu Wybierz typ protokołu kliknij pozycję UDP. W polu Ustawianie portu protokołu IP kliknij opcję Z tego portu, a następnie wpisz 161 w odpowiednim polu. Kliknij opcję Do tego portu, a następnie wpisz 161 w odpowiednim polu.
 8. Kliknij przycisk OK.
 9. W oknie dialogowym Lista filtrów IP kliknij przycisk Dodaj.
 10. W polu Adres źródłowy, na karcie Adresy wyświetlonego okna dialogowego Właściwości filtru IP kliknij opcję Dowolny adres IP. W polu Adres docelowy kliknij opcję Mój adres IP. Kliknij, aby zaznaczyć pole wyboru Dublowane. Dopasuj pakiety do przeciwstawnych adresów źródłowych i docelowych.
 11. Kliknij kartę Protokół. W polu Wybierz typ protokołu kliknij pozycję TCP. W polu Ustawianie protokołu IP kliknij opcję Z tego portu, a następnie wpisz 161 w odpowiednim polu. Kliknij opcję Do tego portu, a następnie wpisz 161 w odpowiednim polu.
 12. Kliknij przycisk OK.
 13. W oknie dialogowym Lista filtrów IP kliknij przycisk Dodaj.
 14. W polu Adres źródłowy, na karcie Adresy wyświetlonego okna dialogowego Właściwości filtru IP kliknij opcję Dowolny adres IP. W polu Adres docelowy kliknij opcję Mój adres IP. Kliknij, aby zaznaczyć pole wyboru Dublowane. Dopasuj pakiety do przeciwstawnych adresów źródłowych i docelowych.
 15. Kliknij kartę Protokół. W polu Wybierz typ protokołu kliknij pozycję UDP. W polu Ustawianie protokołu IP kliknij opcję Z tego portu, a następnie wpisz 162 w odpowiednim polu. Kliknij opcję Do tego portu, a następnie wpisz 162 w odpowiednim polu.
 16. Kliknij przycisk OK.
 17. W oknie dialogowym Lista filtrów IP kliknij przycisk Dodaj.
 18. W polu Adres źródłowy, na karcie Adresy wyświetlonego okna dialogowego Właściwości filtru IP kliknij opcję Dowolny adres IP. W polu Adres docelowy kliknij opcję Mój adres IP. Kliknij, aby zaznaczyć pole wyboru Dublowane. Dopasuj pakiety do przeciwstawnych adresów źródłowych i docelowych.
 19. Kliknij kartę Protokół. W polu Wybierz typ protokołu kliknij pozycję TCP. W polu Ustawianie protokołu IP kliknij opcję Z tego portu, a następnie wpisz 162 w odpowiednim polu. Kliknij opcję Do tego portu, a następnie wpisz 162 w odpowiednim polu.
 20. Kliknij przycisk OK.
 21. Kliknij przycisk OK w oknie dialogowym Lista filtrów IP, a następnie kliknij przycisk OK w oknie dialogowym Zarządzanie listami filtrów IP i akcjami filtrów.

Tworzenie zasad zabezpieczeń IPSec

Aby utworzyć zasady IPSec w celu wymuszenia zabezpieczeń IP dla komunikacji SNMP, wykonaj następujące kroki:
 1. Kliknij prawym przyciskiem myszy węzeł Zasady zabezpieczeń IP na komputerze lokalnym w lewym okienku, a następnie kliknij polecenie Utwórz zasadę zabezpieczeń IP.

  Uruchamiany jest Kreator zasad zabezpieczeń IP.
 2. Kliknij przycisk Dalej.
 3. Na stronie Nazwa zasad zabezpieczeń IP wpisz tekst Zabezpiecz SNMP w polu Nazwa. W polu Opis wpisz Wymusza zabezpieczenia IP dla komunikacji SNMP, a następnie kliknij przycisk Dalej.
 4. Kliknij, aby wyczyścić pole wyboru Włącz regułę odpowiedzi domyślnej, a następnie kliknij przycisk Dalej.
 5. Na stronie Kończenie pracy Kreatora zasad zabezpieczeń IP sprawdź, czy pole wyboru Edytuj właściwości jest zaznaczone, a następnie kliknij przycisk Zakończ.
 6. W oknie dialogowym Zabezpiecz SNMP – Właściwości wyczyść pole wyboru Użyj kreatora dodawania, a następnie kliknij przycisk Dodaj.
 7. Kliknij kartę Lista filtrów IP, a następnie kliknij pozycję Wiadomości SNMP (161/162).
 8. Kliknij kartę Akcja filtrowania, a następnie kliknij pozycję Wymagaj zabezpieczeń.
 9. Kliknij kartę Metody uwierzytelniania. Domyślną metodą uwierzytelniania jest protokół Kerberos. Jeżeli wymagane są inne metody uwierzytelniania, kliknij przycisk Dodaj. W oknie dialogowym Nowa metoda uwierzytelniania – właściwości wybierz żądaną metodę uwierzytelniania z poniższej listy, a następnie kliknij przycisk OK:
  • Domyślne ustawienie usługi Active Directory (protokół Kerberos V5)
  • Użyj certyfikatu z tego urzędu certyfikacji (UC)
  • Użyj tego ciągu (klucz wstępny)
 10. W oknie dialogowym Nowa reguła – właściwości kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
 11. Sprawdź, że w oknie dialogowym SNMP – właściwości jest zaznaczone pole wyboru Wiadomości SNMP (161/162), a następnie kliknij przycisk OK.
 12. W prawym okienku konsoli Ustawienia zabezpieczeń lokalnych kliknij prawym przyciskiem myszy regułę Zabezpiecz SNMP, a następnie kliknij przycisk Przypisz.
Wykonaj powyższą procedurę na wszystkich komputerach z systemem Windows, na których jest uruchomiona usługa SNMP. Opisane zasady IPSec muszą być również skonfigurowane na stacji zarządzającej SNMP.

Materiały referencyjne

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

324263 HOW TO: Configure the Simple Network Management Protocol (SNMP) Service in Windows Server 2003

Właściwości

Identyfikator artykułu: 324261 — ostatni przegląd: 14.05.2009 — zmiana: 1

Opinia