Làm thế nào để cấu hình bảo mật mạng cho các dịch vụ SNMP trong Windows Server 2003

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:324261
TÓM TẮT
Bài từng bước này mô tả cách cấu hình an ninh mạng phục vụ Simple Network Management Protocol (SNMP) trong Windows Server 2003.

Các dịch vụ SNMP hoạt động như một đại lý mà thu thập thông tin có thể được báo cáo cho các trạm quản lý SNMP hoặc bàn giao tiếp. Bạn có thể sử dụng các dịch vụ SNMP để thu thập dữ liệu và quản lý Windows Server 2003, Microsoft Windows XP và Microsoft Windows 2000 dựa trên các máy tính trong suốt một mạng công ty.

Thông tin liên lạc giữa các đại lý SNMP và SNMP quản lý trạm thường được bảo đảm bằng cách chỉ định một tên chia sẻ cộng đồng các đại lý và quản lý trạm. Khi một trạm quản lý SNMP sẽ gửi một truy vấn dịch vụ SNMP, tên cộng đồng của requestor được so sánh với tên gọi cộng đồng của các đại lý. Nếu họ phù hợp, SNMP quản lý trạm có được xác thực. Nếu họ không phù hợp, các đại lý SNMP sẽ xem xét yêu cầu một "không thể truy cập" cố và có thể gửi tin nhắn cái bẫy SNMP.

Các SNMP thư sẽ được gửi trong văn bản rõ ràng. Các tin nhắn văn bản rõ ràng là một cách dễ dàng chặn và giải mã bởi học mạng, chẳng hạn như Microsoft mạng Giám sát. Cộng đồng tên có thể bị bắt và được sử dụng bởi nhân trái phép để có được thông tin giá trị về tài nguyên mạng.

IP Security Protocol (IPSec) có thể được sử dụng để bảo vệ thông tin liên lạc SNMP. Bạn có thể tạo ra các chính sách IPSec để bảo đảm giao tiếp trên UDP ports 161 và 162 để bảo đảm các giao dịch SNMP.

Tạo danh sách bộ lọc

Để tạo ra một chính sách IPSec để bảo đảm SNMP thư, lần đầu tiên tạo danh sách bộ lọc. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Nhấp vào Bắt đầu, điểm đến Công cụ quản trị, sau đó bấm Chính sách bảo mật cục bộ.
  2. Mở rộng Thiết đặt bảo mật, bấm chuột phải vào Chính sách bảo mật IP trên Local Máy tính, sau đó bấm Quản lý danh sách bộ lọc IP và bộ lọc hành động.
  3. Bấm vào các Quản lý danh sách bộ lọc IP tab, và sau đó bấm Thêm.
  4. Trong các Danh sách bộ lọc IP hộp thoại, loại SNMP thư (161/162)trong các Tên hộp, và sau đó gõ Bộ lọc cho cổng UDP 161 trong các Mô tả hộp.
  5. Nhấn vào đây để xóa các Sử dụng thuật sĩ thêm kiểm tra hộp và bấm Thêm.
  6. Trong các Nguồn địa chỉ hộp trên các Địa chỉ tab của các Thuộc tính bộ lọc IP hộp thoại hộp xuất hiện, nhấp vào Bất kỳ địa chỉ IP. Trong các Địa chỉ đích hộp, bấm vào Địa chỉ IP của tôi. Nhấn vào đây để chọn các Được nhân đôi. Phù hợp với các gói với chính xác đối diện với địa chỉ nguồn và điểm đến hộp kiểm.
  7. Bấm vào các Giao thức tab. Trong các Chọn loại giao thức hộp, bấm vào UDP. Trong các Đặt IP giao thức cổng hộp, bấm vàoTừ cảng này, rồi gõ 161 trong hộp. Nhấp vào Tới cảng này, rồi gõ161 trong hộp, và sau đó nhấp vào Ok.
  8. Trong các Danh sách bộ lọc IP hộp thoại hộp, bấm vào Thêm.
  9. Trong các Nguồn địa chỉ hộp trên các Địa chỉ tab của các Thuộc tính bộ lọc IP hộp thoại hộp, bấm vào Bất kỳ địa chỉ IP. Trong các Địa chỉ đích hộp, bấm vào Địa chỉ IP của tôi. Nhấn vào đây để chọn các Được nhân đôi. Phù hợp với túi với các chính xác đối diện với địa chỉ nguồn và điểm đến hộp kiểm.
  10. Bấm vào các Giao thức tab. Trong các Chọn loại giao thức hộp, bấm vào UDP. Trong các Đặt giao thức IP hộp, bấm vàoTừ cảng này, rồi gõ 162 trong hộp. Nhấp vào Tới cảng này, rồi gõ162 trong hộp, và sau đó nhấp vào Ok.
  11. Trong các Danh sách bộ lọc IP hộp thoại hộp, bấm vào Thêm.
  12. Trong các Nguồn địa chỉ hộp trên các Địa chỉ tab của các Thuộc tính bộ lọc IP hộp thoại hộp, bấm vào Bất kỳ địa chỉ IP. Trong các Địa chỉ đích hộp, bấm vào Địa chỉ IP của tôi. Nhấn vào đây để chọn các Được nhân đôi. Phù hợp với các gói với chính xác đối diện với nguồn và đích addressess kiểm tra hộp và bấm Ok.
  13. Nhấp vào Ok trong các Danh sách bộ lọc IP hộp thoại, và sau đó nhấp vào Ok trong các Quản lý danh sách các bộ lọc IP và bộ lọc hành động hộp thoại.

Tạo ra một chính sách IPSec

Để tạo ra các chính sách IPSec ép buộc IPSec cho SNMP thông tin liên lạc, hãy làm theo các bước sau:
  1. Nhấp chuột phải vào các Chính sách bảo mật IP trên Local Máy tính trong ngăn bên trái, và sau đó nhấp vào Tạo ra chính sách bảo mật IP.

    Thuật sĩ chính sách bảo mật IP bắt đầu.
  2. Nhấp vào Tiếp theo.
  3. IP Security Policy tên trang, gõ An toàn SNMP trong các Tên hộp. Trong các Mô tả hộp, loại Lực lượng IPSec cho SNMP Truyền thông, sau đó bấm Tiếp theo.
  4. Nhấn vào đây để xóa các Kích hoạt các phản ứng mặc định quy tắc kiểm tra hộp và bấm Tiếp theo.
  5. Trên các Hoàn thành các chính sách bảo mật IP Thuật sĩ Trang, xác minh rằng các Sửa thuộc tính kiểm tra hộp chọn và bấm Kết thúc.
  6. Trong các An toàn SNMP thuộc tính hộp thoại, Click vào để xóa các Sử dụng thuật sĩ thêm kiểm tra hộp và bấm Thêm.
  7. Bấm vào các Danh sách bộ lọc IP tab, và sau đó nhấp vào SNMP thư (161/162).
  8. Bấm vào các Hành động lọc tab, và sau đó nhấp vào Yêu cầu bảo mật.
  9. Bấm vào các Phương pháp xác thực tab. Kerberos là phương thức xác thực mặc định. Nếu bạn yêu cầu phương pháp xác thực khác, hãy nhấp vào Thêm. Trong các Thuộc tính phương pháp xác thực mới hộp thoại, chọn phương thức xác thực mà bạn muốn từ danh sách sau đây và sau đó nhấp vào Ok:
    • Hoạt động thư mục mặc định (giao thức Kerberos V5)
    • Sử dụng một giấy chứng nhận từ chứng nhận authority (CA)
    • Sử dụng chuỗi này (khoá)
  10. Trong các Mới quy tắc tài sản hộp thoại hộp, bấm vào Áp dụng, sau đó bấm Ok.
  11. Trong các SNMP Properties hộp thoại hộp, xác minh rằng các SNMP thư (161/162) hộp kiểm chọn và bấm Ok.
  12. Trong ngăn bên phải của giao diện điều khiển thiết đặt an ninh địa phương, Nhấp chuột phải vào các An toàn SNMP quy tắc, và sau đó nhấp vào Chỉ định.
Hoàn tất thủ tục này trên tất cả các Windows dựa trên máy tính đang chạy dịch vụ SNMP. Chính sách IPSec này cũng phải được cấu hình trên SNMP quản lý trạm.

Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
324263Làm thế nào để cấu hình mạng đơn giản Management Protocol (SNMP) trong Windows Server 2003
kbsecvulnerability

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 324261 - Xem lại Lần cuối: 08/27/2011 15:05:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbenv kbhowtomaster kbmt KB324261 KbMtvi
Phản hồi