您目前已離線,請等候您的網際網路重新連線

如何在 Windows Server 2003 中設定 SNMP 服務的網路安全性

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

本文說明 Beta 版的 Microsoft 產品。本文資訊係依「現況」提供,若有變更,恕不另行通知。

Microsoft 將不會為此 Beta 版產品提供正式版的產品支援。如需有關如何取得 Beta 版支援的詳細資訊,請參閱 Beta 版產品檔案隨附的文件,或者造訪先前下載此版本的網站。

本文內容

結論
本文將逐步告訴您,如何在 Windows Server 2003 中設定「簡易網路管理通訊協定」(Simple Network Management Protocol,SNMP) 服務的網路安全性。

SNMP 服務是一種代理程式,負責收集可以回報給 SNMP 管理站或主控台的資訊。您可以透過企業網路,使用 SNMP 服務收集資料並管理 Windows Server 2003、Microsoft Windows XP 和 Microsoft Windows 2000 電腦。

SNMP 代理程式和 SNMP 管理站通常會指派共用的群體名稱給彼此,藉此保護兩者之間的通訊安全。當 SNMP 管理站傳送查詢至 SNMP 服務時,要求者的群體名稱會與代理程式的群體名稱進行比對。如果比對相符,表示 SNMP 管理站已通過驗證。如果不符,SNMP 代理程式會將該要求視為「失敗的存取」嘗試,並且傳送 SNMP 陷阱訊息。

SNMP 訊息是以純文字格式傳送。這些純文字訊息很容易遭到如 Microsoft Network Monitor 等網路分析器攔截並解碼。未經授權的人員可能會擷取並使用群體名稱,以取得有關網路資源的有用資訊。

IP 安全性通訊協定 (IPSec) 可以用於保護 SNMP 通訊的安全。您可以建立 IPSec 原則,保護 TCP 及 UDP 連接埠 161 和 162 上的通訊,以確保 SNMP 交易的安全。

回到頁首

建立篩選器清單

如果要建立 IPSec 原則以保護 SNMP 訊息的安全,請先建立篩選器清單。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [本機安全性原則]
  2. 展開 [安全性設定],用滑鼠右鍵按一下 [在本機電腦上的 IP 安全性原則],然後按一下 [管理 IP 篩選器清單和篩選器動作]
  3. 按一下 [管理 IP 篩選器清單] 索引標籤,然後按一下 [新增]
  4. [IP 篩選器清單] 對話方塊的 [名稱] 方塊中輸入 SNMP 訊息 (161/162),然後在 [描述] 方塊中輸入篩選 TCP 和 UDP 連接埠 161
  5. 按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  6. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  7. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [UDP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 161。按一下 [到這個連接埠],然後在方塊中輸入 161
  8. 按一下 [確定]
  9. [IP 篩選器清單] 對話方塊中,按一下 [新增]
  10. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  11. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [TCP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 161。按一下 [到這個連接埠],然後在方塊中輸入 161
  12. 按一下 [確定]
  13. [IP 篩選器清單] 對話方塊中,按一下 [新增]
  14. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  15. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [UDP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 162。按一下 [到這個連接埠],然後在方塊中輸入 162
  16. 按一下 [確定]
  17. [IP 篩選器清單] 對話方塊中,按一下 [新增]
  18. 在出現的 [篩選器內容] 對話方塊的 [處理位址] 索引標籤上,按一下 [來源位址] 方塊中的 [任何 IP 位址]。在 [目的地位址] 方塊中,按一下 [我的 IP 位址]。按一下以選取 [已鏡像處理。也對應完全相反的來源及目的位址的封包] 核取方塊。
  19. 按一下 [通訊協定] 索引標籤。在 [請選取通訊協定的類型] 方塊中,按一下 [TCP]。在 [設定 IP 通訊協定連接埠] 方塊中,按一下 [從這個連接埠],然後在方塊中輸入 162。按一下 [到這個連接埠],然後在方塊中輸入 162
  20. 按一下 [確定]
  21. 按一下 [IP 篩選器清單] 對話方塊中的 [確定],然後按一下 [管理 IP 篩選器清單和篩選器動作] 對話方塊中的 [確定]
回到頁首

建立 IPSec 原則

如果要建立 IPSec 原則以強制將 IPSec 套用至 SNMP 通訊,請依照下列步驟執行:
  1. 用滑鼠右鍵按一下左邊窗格中的 [在本機電腦上的 IP 安全性原則],然後按一下 [建立 IP 安全性原則]

    [IP 安全性原則精靈] 隨即啟動。
  2. 按一下 [下一步]
  3. 在 [IP 安全性原則名稱] 頁面上,在 [名稱] 方塊中輸入保護 SNMP 安全。在 [描述] 方塊中,輸入強制將 IPSec 套用至 SNMP 通訊,然後按一下 [下一步]
  4. 按一下以清除 [啟動預設的回應規則] 核取方塊,然後按一下 [下一步]
  5. [正完成 IP 安全性原則精靈] 頁面上,確認已選取 [編輯內容] 核取方塊,然後按一下 [完成]
  6. [保護 SNMP 安全內容] 對話方塊中,按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  7. 按一下 [IP 篩選器清單] 索引標籤,然後按一下 [SNMP 訊息 (161/162)]
  8. 按一下 [篩選器動作] 索引標籤,然後按一下 [需要安全性]
  9. 按一下 [驗證方法] 索引標籤。Kerberos 是預設的驗證方法。如果您需要替代的驗證方法,請按一下 [新增]。在 [新驗證方法內容] 對話方塊中,從下列清單選取您想要使用的驗證方法,然後按一下 [確定]
    • [Active Directory 預設值 (Kerberos V5 通訊協定)]
    • [使用以下憑證授權 (CA) 的憑證]
    • [使用這個字串 (預先共用金鑰)]
  10. [新增規則內容] 對話方塊中,按一下 [套用],然後按一下 [確定]
  11. [SNMP 內容] 對話方塊中,確認已選取 [SNMP 訊息 (161/162)] 核取方塊,然後按一下 [確定]
  12. 在 [本機安全性設定值] 的右邊窗格中,用滑鼠右鍵按一下 [保護 SNMP 安全] 規則,然後按一下 [指派]
在執行 SNMP 服務的所有 Windows 電腦上完成這個程序。SNMP 管理站也必須設定這個 IPSec 原則。

回到頁首
参考
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
324263HOW TO:Configure the Simple Network Management Protocol (SNMP) Service in Windows Server 2003
回到頁首
kbsecurity
內容

文章識別碼:324261 - 最後檢閱時間:12/03/2007 07:18:38 - 修訂: 7.6

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbnetwork kbenv kbhowtomaster KB324261
意見反應