Konfigurera nätverkssäkerhet för SNMP-tjänsten i Windows Server 2003

I den här artikeln diskuteras en betaversion av en Microsoft-produkt. Informationen i artikeln tillhandahålls "i befintligt skick" och kan ändras utan föregående meddelande.

Microsoft ger ingen formell produktsupport på denna betaprodukt. Information om hur du får support på en betaversion finns i dokumentationen som medföljer betaproduktfilerna eller på den webbplats där du har hämtat versionen.

I DENNA ARTIKEL

Sammanfattning

I den här artikeln beskrivs steg för steg hur du konfigurerar nätverkssäkerhet för SNMP-tjänsten (Simple Network Management Protocol) i Windows Server 2003.

SNMP-tjänsten fungerar som en agent som samlar in information som kan rapporteras till stationer eller konsoler för SNMP-hantering. Du kan använda SNMP-tjänsten för att samla in data och hantera datorer med Windows Server 2003, Microsoft Windows XP eller Microsoft Windows 2000 i ett företagsnätverk.

Kommunikationen mellan SNMP-agenter och SNMP-hanteringsstationer säkerställs normalt genom att agenterna och hanteringsstationerna tilldelas ett gemensamt SNMP-gruppnamn. När en SNMP-hanteringsstation skickar en fråga till SNMP-tjänsten jämförs gruppnamnet på den som begärde åtgärden med agentens gruppnamn. Om de matchar har SNMP-hanteringsstationen autentiserats. Om de inte matchar identifierar SNMP-agenten begäran som ett "misslyckat åtkomstförsök" och skickar kanske ett SNMP-trap-meddelande.

SNMP-meddelandena skickas i klartext. De kan enkelt fångas upp och avkodas i nätverksanalysatorer som Microsoft Network Monitor. Namn på SNMP-grupper kan fångas upp och användas av obehöriga personer för att få fram värdefull information om nätverksresurser.

IPSec (IP Security Protocol) kan användas för att skydda SNMP-kommunikation. Du kan skapa IPSec-principer för att säkra kommunikationen på TCP- och UDP-portarna 161 och 162 och skydda SNMP-transaktioner.

Skapa en filterlista

När du ska skapa en IPSec-princip för att säkra SNMP-meddelanden skapar du först filterlistan. Gör så här:
 1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Lokal säkerhetsprincip.
 2. Expandera Säkerhetsinställningar, högerklicka på IP-säkerhetsprinciper - Lokal dator och klicka på Hantera IP-filterlistor och filteråtgärder.
 3. Klicka på fliken Hantera listor över IP-filter och sedan på Lägg till.
 4. I dialogrutan IP-filterlista skriver du SNMP-meddelanden (161/162) i rutan Namn. Skriv sedan Filter för TCP- och UDP-portar 161 i rutan Beskrivning.
 5. Avmarkera kryssrutan Använd guiden och klicka på Lägg till.
 6. I rutan Källadress på fliken Adresser i dialogrutan Egenskaper för IP-filter klickar du på Alla IP-adresser. I rutan Måladress klickar du på Min IP-adress. Markera kryssrutan Speglad. Matcha paket med exakt motsatta käll- och måladresser.
 7. Klicka på fliken Protokoll. Klicka på UDP i rutan Välj en protokolltyp. I rutan Ange IP-protokollsport klickar du på Från följande port och skriver 161 i rutan. Klicka på Till följande port och skriv 161 i rutan.
 8. Klicka på OK.
 9. Klicka på Lägg till i dialogrutan IP-filterlista.
 10. I rutan Källadress på fliken Adresser i dialogrutan Egenskaper för IP-filter klickar du på Alla IP-adresser. I rutan Måladress klickar du på Min IP-adress. Markera kryssrutan Speglad. Matcha paket med exakt motsatta käll- och måladresser.
 11. Klicka på fliken Protokoll. Klicka på TCP i rutan Välj en protokolltyp. I rutan Ange IP-protokoll klickar du på Från följande port och skriver 161 i rutan. Klicka på Till följande port och skriv 161 i rutan.
 12. Klicka på OK.
 13. Klicka på Lägg till i dialogrutan IP-filterlista.
 14. I rutan Källadress på fliken Adresser i dialogrutan Egenskaper för IP-filter klickar du på Alla IP-adresser. I rutan Måladress klickar du på Min IP-adress. Markera kryssrutan Speglad. Matcha paket med exakt motsatta käll- och måladresser.
 15. Klicka på fliken Protokoll. Klicka på UDP i rutan Välj en protokolltyp. I rutan Ange IP-protokoll klickar du på Från följande port och skriver 162 i rutan. Klicka på Till följande port och skriv 162 i rutan.
 16. Klicka på OK.
 17. Klicka på Lägg till i dialogrutan IP-filterlista.
 18. I rutan Källadress på fliken Adresser i dialogrutan Egenskaper för IP-filter klickar du på Alla IP-adresser. I rutan Måladress klickar du på Min IP-adress. Markera kryssrutan Speglad. Matcha paket med exakt motsatta käll- och måladresser.
 19. Klicka på fliken Protokoll. Klicka på TCP i rutan Välj en protokolltyp. I rutan Ange IP-protokoll klickar du på Från följande port och skriver 162 i rutan. Klicka på Till följande port och skriv 162 i rutan.
 20. Klicka på OK.
 21. Klicka på OK i dialogrutan IP-filterlista och sedan på OK i dialogrutan Hantera IP-filterlistor och filteråtgärder.

Skapa en IPSec-princip

Så här skapar du en IPSec-princip som tvingar fram IPSec för SNMP-kommunikation:
 1. Högerklicka på IP-säkerhetsprinciper - Lokal dator i den vänstra rutan och klicka på Skapa IP-säkerhetsprincip.

  Guiden IP-säkerhetsprincip startar.
 2. Klicka på Nästa.
 3. På sidan IP-säkerhetsprincipens namn skriver du Säker SNMP i rutan Namn. I rutan Beskrivning skriver du Tvinga fram IPSec för SNMP-kommunikation. Klicka sedan på Nästa.
 4. Avmarkera kryssrutan Aktivera standardsvarsregeln och klicka på Nästa.
 5. På sidan Slutför guiden IP-säkerhetsprincip kontrollerar du att kryssrutan Redigera egenskaper är markerad. Klicka sedan på Slutför.
 6. Avmarkera kryssrutan Använd guiden i dialogrutan för säkra SNMP-egenskaper och klicka på Lägg till.
 7. Klicka på fliken IP-filterlista och sedan på SNMP-meddelanden (161/162).
 8. Klicka på fliken Filteråtgärd och sedan på Kräv säkerhet.
 9. Klicka på fliken Autentiseringsmetoder. Kerberos är standardmetoden för autentisering. Om du kräver alternativa autentiseringsmetoder klickar du på Lägg till. Välj önskad autentiseringsmetod från följande lista i dialogrutan Egenskaper för ny autentiseringsmetod och klicka på OK:
  • Active Directory-standard (Kerberos V5-protokoll)
  • Använd ett certifikat från certifikatutfärdaren
  • Använd följande sträng (i förväg delad nyckel)
 10. Klicka på Verkställ i dialogrutan Egenskaper för ny regel och sedan på OK.
 11. I dialogrutan Egenskaper för SNMP kontrollerar du att kryssrutan SNMP-meddelanden (161/162) är markerad. Klicka sedan på OK.
 12. Högerklicka på regeln Säker SNMP i den högra rutan i konsolen Lokala säkerhetsinställningar, och klicka sedan på Tilldela.
Slutför den här proceduren på alla Windows-datorer där SNMP-tjänsten körs. Den här IPSec-principen måste också konfigureras på SNMP-hanteringsstationen.

Referenser

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

324263 Konfigurera SNMP-tjänsten (Simple Network Management Protocol) i Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Egenskaper

Artikel-id: 324261 – senaste granskning 14 maj 2009 – revision: 1

Feedback