SIMATIC. Prozessleitsystem PCS 7 Konfiguration McAfee VirusScan (V8.5; V8.5i; V8.7) Virenscanner einsetzen 1. Konfiguration 2. Inbetriebnahmehandbuch

Transkript

1 SIMATIC Prozessleitsystem PCS 7 Virenscanner einsetzen 1 Konfiguration 2 SIMATIC Prozessleitsystem PCS 7 Konfiguration McAfee VirusScan (V8.5; V8.5i; V8.7) Inbetriebnahmehandbuch 08/2009 A5E

2 Rechtliche Hinweise Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND A5E P 08/2009 Copyright Siemens AG Änderungen vorbehalten

3 Inhaltsverzeichnis 1 Virenscanner einsetzen Vorwort Einsatz von Virenscannern Einleitung Definitionen und Hinweise Prinzipieller Aufbau der Virenscanner-Architektur Einsatz von Virenscannern Konfiguration Einleitung Konfiguration der Richtlinien Zentrale Einstellungen Register "Einstellungen" Tasks im Prozessbetrieb Verteilen der Virendefinitionsdateien Prüfen der Verteilung der Virendefinitionsdateien Allgemeine Richtlinien beim Zugriff Register "Allgemein" Register "ScriptScan" Register "Blockieren" Register "Nachrichten" Richtlinien bei Zugriff für Standardvorgänge Register "Erkennung" Register "Erweitert" Register "Aktionen" Register "Unerwünschte Programme" Richtlinien bei Zugriff für Vorgänge mit geringem Risiko Richtlinien bei Zugriff für Vorgänge mit hohem Risiko Richtlinien für das Scannen von s beim Empfang Richtlinien für die Benutzeroberfläche Register "Anzeigeoptionen" Register "Kennwortoptionen" Warnungsrichtlinien Richtlinien für den Zugriffsschutz Richtlinien für den Pufferüberlaufschutz Richtlinien für unerwünschte Programme Quarantänemanager-Richtlinien...25 Inbetriebnahmehandbuch, 08/2009, A5E

4

5 Virenscanner einsetzen Vorwort Wichtiger Hinweis zu diesem Whitepaper Die für PCS 7 und WinCC empfohlenen Virenscanner sind auf Verträglichkeit mit den Systemen getestet. Die empfohlenen Einstellungen dieser Virenscanner sind so gewählt, dass der zuverlässige Echtzeitbetrieb von PCS 7 durch die Virenscanner-Software nicht beeinträchtigt wird. Diese Empfehlungen beschreiben den aktuell bekannten, bestmöglichen Kompromiss zwischen dem Ziel, Viren und Schad-Software möglichst umfassend zu entdecken und unwirksam zu machen und dem Ziel, ein möglichst deterministisches Zeitverhalten des PCS 7 Leitsystems in allen Betriebsphasen zu gewährleisten. Die Wahl anderer Einstellungen der Virenscanner kann sich unter Umständen ungünstig auf das Echtzeitverhalten auswirken. Zweck der Dokumentation Diese Dokumentation beschreibt die für PCS 7 und WinCC empfohlenen Anpassungen der Virenscanner-Software nach der Installation des Virenscanners. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 bzw. WinCC tätig sind. Administrationskenntnisse und IT-Techniken für Microsoft Windows Betriebssysteme werden vorausgesetzt. Gültigkeitsbereich der Dokumentation Die Dokumentation ist gültig für prozessleittechnische Anlagen, die mit der jeweiligen Produktversion von PCS 7 bzw. WinCC realisiert sind. ACHTUNG Beachten Sie, dass bestimmte Virenscanner nur für bestimmte Produktversionen freigegeben sind. Weitere Informationen hierzu finden Sie im Internet unter folgender Adresse: Inbetriebnahmehandbuch, 08/2009, A5E

6 Virenscanner einsetzen 1.2 Einsatz von Virenscannern 1.2 Einsatz von Virenscannern Einleitung Der Einsatz von Virenscannern in einem Prozessleitsystem ist nur dann effektiv, wenn er Teil eines umfassenden Security-Konzeptes ist. Der alleinige Einsatz eines Virenscanners kann ein Prozessleitsystem nicht vor feindlichen Angriffen schützen. Das Sicherheitskonzept PCS 7 / WinCC ist im Internet verfügbar unter: Virenscanner sollten den Anforderungen entsprechen, wie sie in den Sicherheitskonzepten von PCS 7 / WinCC beschrieben sind Definitionen und Hinweise Grundsatz Der Einsatz eines Virenscanners darf den Prozessbetrieb einer Anlage nicht beeinträchtigen. Virenscanner Ein Virenscanner ist eine Software, die bekannte schädliche Programmroutinen (Computerviren, Würmer und Ähnliche) aufspürt, blockiert oder beseitigt. Scan-Engine (Scanmodul) Die Scan-Engine ist der Teil der Virenscanner-Software, der Daten auf schädliche Software untersuchen kann. Virensignaturdatei (Virenpatterndatei oder Virendefinitionsdatei) Diese Datei stellt der Scan-Engine die Virensignaturen bereit, mit deren Hilfe die Suche nach schädlicher Software in den Daten durchgeführt wird. Virenscan-Client Der Virenscan-Client ist ein Computer, der auf Viren überprüft wird und vom Virenscan- Server verwaltet wird. Virenscan-Server Der Virenscan-Server ist ein Computer, der Virenscan-Clients zentral verwaltet, Virensignaturdateien lädt und auf die Virenscan-Clients verteilt. 6 Inbetriebnahmehandbuch, 08/2009, A5E

7 Virenscanner einsetzen 1.2 Einsatz von Virenscannern Prinzipieller Aufbau der Virenscanner-Architektur Der Virenscan-Server erhält die Virensignaturen aus dem Internet vom Update-Server des jeweiligen Virenscanner-Herstellers oder von einem übergeordneten Virenscan-Server und verwaltet seine Virenscan-Clients. Der Remote-Zugriff auf den Virenscan-Server ist z. B. über eine Webkonsole möglich. Internet Virenscan-Server Webkonsole Virenscan-Client Virenscan-Client Virenscan-Client Inbetriebnahmehandbuch, 08/2009, A5E

8 Virenscanner einsetzen 1.2 Einsatz von Virenscannern Einsatz von Virenscannern Informationen für die Konfiguration von lokalen Virenscannern Integrierte Firewall der Virenscanner Ab PCS 7 V7.0 wird die lokale Windows-Firewall genutzt und mit der Komponente SIMATIC Security Control (SSC) parametriert. Deshalb wird die in den Virenscannern integrierte Firewall nicht installiert. Manueller Scan (Manuelle Prüfung, Scannen auf Anforderung) Ein manueller Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Dieser sollte in regelmäßigen Abständen, z. B. während eines Wartungsintervalls auf allen Computern der Anlage erfolgen. Automatischer Scan (Auto-Protect, Scannen bei Zugriff) Beim automatischen Scan ist es ausreichend, den eingehenden Datenverkehr zu prüfen. Zeitgesteuerter Scan (Geplante Prüfung, Scannen auf Anforderung) Der zeitgesteuerte Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Anzeigen von Meldungen Um den Prozessbetrieb nicht zu beeinträchtigen, darf auf den Virenscan-Clients keine Meldung angezeigt werden. Laufwerke Es werden ausschließlich die lokalen Laufwerke gescannt, um sich überschneidende Scans auf Netzwerklaufwerken zu verhindern. -Scan Der -Scan kann, außer auf einer Engineering Station, die s empfängt, deaktiviert werden. Einteilung in Gruppen Teilen Sie Ihre Virenscan-Clients in Gruppen ein. Verteilung der Virensignaturen (Patternupdate) Die Verteilung der Virensignaturen auf Virenscan-Clients wird vom übergeordneten Virenscan-Server durchgeführt. Der rückwirkungsfreie Einsatz der Virensignaturen ist vor dem Einsatz im Prozessbetrieb in einer Testanlage zu überprüfen. Die Virensignaturen sind manuell auf die jeweiligen Gruppen zu verteilen. Update der Virenscan-Engine Updates der Virenscan-Engine sind nicht während des Prozessbetriebes (Runtime) durchzuführen, da diese einen Neustart der Virenscan-Clients erfordern können. Hinweis zur Installation Die Installation von Software muss von einem virenfreien Ablageort durchgeführt werden (zum Beispiel von einem Dateiserver mit eigenem Virenscanner oder einer geprüften DVD). Bei der Installation von Software werden oft automatisch Änderungen im Betriebssystem durchgeführt. Ein aktivierter Virenscanner darf die Installation der Software nicht behindern oder verfälschen. 8 Inbetriebnahmehandbuch, 08/2009, A5E

9 2 2.1 Einleitung Für einige Versionen von PCS 7 sind vom Virenscanner "McAfee VirusScan" nur ausgewählte Versionen der Corperate Edition freigegeben. Die im Folgenden, gegenüber dem Standard, geänderten Einstellungen wurden für PCS 7 getestet. Freigabe der Virenscanner für folgende PCS 7 Versionen Eine aktuelle Übersicht der für eine PCS 7 Version freigegebenen Virenscanner finden Sie im Internet unter folgender Adresse: Konfiguration der Richtlinien Sämtliche nachfolgend aufgeführten Einstellungen für "Workstation" müssen immer auch für "Server" ausgeführt werden. Inbetriebnahmehandbuch, 08/2009, A5E

10 2.3 Zentrale Einstellungen 2.3 Zentrale Einstellungen Register "Einstellungen" Einstellung "Globale Aktualisierung aktivieren"; Optionsfeld "nein": aktiviert Bild 2-1 Dialogfeld epolicy Orchestrator, Register "Servereinstellungen" Tasks im Prozessbetrieb Im Prozessbetrieb wurde mit folgenden Tasks keine Beeinträchtigung festgestellt: Tasktyp Software Parameter Zweck Agentenreaktivierung Aktualisierung epolicy Orchestrator Agent epolicy Orchestrator Agent DAT, Extra.DAT, SuperDAT Damit wird der Agent auf einem Virenscan- Client aufgefordert, mit dem epolicy Orchestrator-Server Kontakt aufzunehmen. Aktualisieren der Virensignaturdateien 10 Inbetriebnahmehandbuch, 08/2009, A5E

11 2.3 Zentrale Einstellungen Verteilen der Virendefinitionsdateien Task und Planungseinstellungen Bild 2-2 Dialogfeld "epolicy Orchestrator-Planer", Register "Task" Inbetriebnahmehandbuch, 08/2009, A5E

12 2.3 Zentrale Einstellungen Stellen Sie sicher, dass für die Aktualisierungstask als Tasktyp "Aktualisierung" ausgewählt ist. Erst wenn die Virendefinitionsdateien verteilt werden sollen, aktivieren Sie das Optionskästchen "Aktivieren (geplante Task wird zu festgelegter Zeit ausgeführt"). Der Virenscan-Client aktualisiert die Virendefinitionsdateien entsprechend den Planungseinstellungen, wenn er die geänderte Richtlinie übernommen hat. Wählen Sie in der Klappliste "Task planen" die Einstellung "Sofort ausführen". Bild 2-3 Dialogfeld "epolicy Orchestrator-Planer", Register "Plan" 12 Inbetriebnahmehandbuch, 08/2009, A5E

13 2.3 Zentrale Einstellungen Prüfen der Verteilung der Virendefinitionsdateien Die Übersicht finden Sie über die Baumstruktur McAffee > Reporting > epo-datenbanken > <Datenbankname> > Abfragen > Ereignisse > Alle Produktaktualisierungsereignisse. Bild 2-4 Prüfen der Verteilung der Virendefinitionsdateien Inbetriebnahmehandbuch, 08/2009, A5E

14 2.4 Allgemeine Richtlinien beim Zugriff 2.4 Allgemeine Richtlinien beim Zugriff Register "Allgemein" Optionskästchen "Disketten beim Herunterfahren": deaktiviert Bild 2-5 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Allgemein" 14 Inbetriebnahmehandbuch, 08/2009, A5E

15 2.4 Allgemeine Richtlinien beim Zugriff Register "ScriptScan" Optionskästchen "ScriptScan aktivieren": aktiviert Bild 2-6 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "ScriptScan" SIMATIC Batch Server / BATCH Single Station Auf einem SIMATIC BATCH Server / BATCH Single Server muss im Feld "Auszuschließende Prozesse" die Applikation "bfmappersrvx.exe" eingetragen werden. Inbetriebnahmehandbuch, 08/2009, A5E

16 2.4 Allgemeine Richtlinien beim Zugriff Register "Blockieren" Optionskästchen "Die Verbindung blockieren": deaktiviert Bild 2-7 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Blockieren" BATCH-Server/ BATCH-Single Station Auf einem BATCH-Server/ BATCH-Single Station muss im Feld "Auszuschließende Prozesse" die Applikation "bfmappersrvx.exe" eingetragen sein. 16 Inbetriebnahmehandbuch, 08/2009, A5E

17 2.4 Allgemeine Richtlinien beim Zugriff Register "Nachrichten" Optionskästchen "Bei Auftreten einer Erkennung Nachrichtendialogfeld anzeigen": deaktivert Optionskästchen "Nachrichten aus der Liste entfernen": deaktiviert Optionskästchen "Dateien säubern": deaktiviert Optionskästchen "Dateien löschen": deaktiviert Bild 2-8 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Nachrichten" Inbetriebnahmehandbuch, 08/2009, A5E

18 2.5 Richtlinien bei Zugriff für Standardvorgänge 2.5 Richtlinien bei Zugriff für Standardvorgänge Register "Erkennung" Optionskästchen "Beim Lesen vom Datenträger": deaktiviert Optionskästchen "Auf Netzlaufwerken": deaktiviert Bild 2-9 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erkennung" 18 Inbetriebnahmehandbuch, 08/2009, A5E

19 2.5 Richtlinien bei Zugriff für Standardvorgänge Register "Erweitert" Optionskästchen "Inhalt von Archiven scannen (z. B. ZIP)": aktiviert Bild 2-10 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erweitert" Inbetriebnahmehandbuch, 08/2009, A5E

20 2.5 Richtlinien bei Zugriff für Standardvorgänge Register "Aktionen" Wichtiger Hinweis Im Sicherheitskonzept von PCS 7 ist ein folgendes Verhalten beim Auffinden eines Computer-Virus gefordert: Nach dem Auffindes des Virus: Warnmeldung Anschließend keine weiteren Dateioperationen ohne den Eingriff des Nutzers Damit soll sichergestellt werden, dass keine wichtigen Projektdaten zerstört werden. Im McAfee VirusScan 8.5i ist dieses Verhalten nicht konfigurierbar. Wählen Sie in der Klappliste "Primäre Aktion Wenn eine Bedrohung gefunden wird:" die Einstellung "Dateien automatisch säubern". Wählen Sie in der Klappliste "Sekundäre Aktion Wenn die erste Aktion fehlschlägt:" die Einstellung "Zugriff auf Dateien verweigern". Bild 2-11 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Aktionen" 20 Inbetriebnahmehandbuch, 08/2009, A5E

21 2.5 Richtlinien bei Zugriff für Standardvorgänge Register "Unerwünschte Programme" Wählen Sie in der Klappliste "Primäre Aktion Wenn ein unerwünschtes Programm gefunden wird:" die Einstellung "Zugriff auf Datei erlauben". Hinweis Damit soll erreicht werden, dass eine fälschlicherweise als "unerwünschtes Programm" identifizierte Software nicht in ihrer Funktion eingeschränkt wird. Bild 2-12 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Unerwünschte Programme" Inbetriebnahmehandbuch, 08/2009, A5E

22 2.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko 2.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 2.7 Richtlinien bei Zugriff für Vorgänge mit hohem Risiko Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 2.8 Richtlinien für das Scannen von s beim Empfang Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 22 Inbetriebnahmehandbuch, 08/2009, A5E

23 2.9 Richtlinien für die Benutzeroberfläche 2.9 Richtlinien für die Benutzeroberfläche Register "Anzeigeoptionen" Optionsfeld "Symbol in Systemablage mit minimalen Menüoptionen anzeigen": aktiviert Optionskästchen "Startbildschirm aktivieren": deaktiviert Bild 2-13 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Anzeigeoptionen" Inbetriebnahmehandbuch, 08/2009, A5E

24 2.10 Warnungsrichtlinien Register "Kennwortoptionen" Optionsfeld "Kennwortschutz für alle aufgelisteten Elemente:" aktiviert Bild 2-14 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Kennwortoptionen" 2.10 Warnungsrichtlinien Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 24 Inbetriebnahmehandbuch, 08/2009, A5E

25 2.11 Richtlinien für den Zugriffsschutz 2.11 Richtlinien für den Zugriffsschutz Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten Richtlinien für den Pufferüberlaufschutz Optionskästchen "Pufferüberlaufschutz aktivieren": deaktiviert Bild 2-15 Dialogfeld "Richtlinien für den Pufferüberlaufschutz": Register "Pufferüberlaufschutz" 2.13 Richtlinien für unerwünschte Programme Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten Quarantänemanager-Richtlinien Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. Inbetriebnahmehandbuch, 08/2009, A5E