Beitragstyp: FAQ Beitrags-ID: 18490004, Beitragsdatum: 29.04.2022
(38)
Bewerten

Welche Microsoft Updates sind bei SIMATIC PCS 7 auf Verträglichkeit getestet?

  • Beitrag
  • Betrifft Produkt(e)
Microsoft beseitigt regelmäßig Sicherheitslücken in seinen Produkten und stellt den Anwendern daraufhin Korrekturen über Produkt-Updates zur Verfügung.

Allgemeine Hinweise

Die neuesten Updates werden in der Regel an jedem zweiten Dienstag eines Monats von Microsoft veröffentlicht. Microsoft teilt die Updates in eine Vielzahl unterschiedlicher Klassifizierungen ein:

support.microsoft.com/help/824684

Um einen sicheren und stabilen Betrieb von SIMATIC PCS 7 zu gewährleisten, ist die Installation der Updates mit den Patch-Klassifizierungen "Sicherheitsupdates", "Wichtige Updates", "Update Rollups", "Updates" und "Definitionsupdates" notwendig. 

Aus diesem Grund wurde für die Verträglichkeitsprüfung der Updates mit der PCS 7-Software eine Testanlage aufgebaut, in der regelmäßige Verträglichkeitstests stattfinden. Diese Anlage enthält den jeweils aktuellen Stand der unterstützten PCS 7-Versionen und die, für den Betrieb dieser PCS 7-Versionen, freigegebenen Microsoft-Produkte. In dieser Anlage werden regelmäßig alle verfügbaren Microsoft-Updates der beschriebenen Klassifizierungen eingespielt, um einen konsistenten Update-Stand aller freigegebenen Microsoft Produkte zu gewährleisten.

Auskunft über die auf Verträglichkeit geprüften Microsoft Updates gibt die unten beigefügte tabellarische Auflistung im xls-Format. Diese wird nach Möglichkeit innerhalb von drei Wochen nach der Veröffentlichung neuer Updates der genannten Klassifizierungen aktualisiert.
Sie spiegelt die in der PCS 7-Testanlage installierten Microsoft-Produkte wider. Daher ist eine Diskrepanz zwischen dieser Liste und der im Projekt installierten Produkte nicht auszuschließen. Wenn ein System mehr Updates anfordert, als in der veröffentlichten Liste enthalten sind, sind dies Updates, die aufgrund von vorhandenen, zusätzlich installierten Produkten/Software-Komponenten, angefordert werden. Es obliegt in diesem Fall dem Anwender, diese Updates einzuspielen.

Wir empfehlen die regelmäßige Installation aller verfügbaren Updates der genannten Klassifizierungen, um den Schutz des Systems zu gewährleisten.

Wir können allerdings keine Aussage über die Verträglichkeit von uns nicht getesteten Updates treffen. Daher empfehlen wir, vor dem Ausrollen der Updates in die Produktivumgebung, die Installation aller Updates in einer projekteigenen Testumgebung.


Hinweis zu Härtungsmaßnahmen von Windows DCOM Server (KB5004442)

Im Juni 2021 veröffentlichte Microsoft einen Artikel zur Härtung der Windows DCOM Server Funktion. Als Folge dieser Ankündigung durch Microsoft wird die Verträglichkeit mit SIMATIC PCS 7 für die Versionen V8.2, V9.0 und V9.1 festgestellt.

Microsoft empfiehlt, die mit der Änderung verbundenen Updates zu installieren. Die durch das Update umgesetzte Änderung, sowie deren zeitliche Abfolge wird durch den Microsoft Beitrag KB5004442 – Verwalten von Änderungen für Windows DCOM Server Security Feature Bypass (CVE-2021-26414) ersichtlich.

Durch die Härtung von Windows DCOM Server werden Anpassungen für folgende SIMATIC PCS 7 Produkte nötig:

  • Open OS V9.1 Upd1 (entfällt, wird in Open OS V9.1 SP1 enthalten sein) 109794407 
  • Open OS V9.0 Upd2 (Update, geplant für Q1/2023) 109780528 
  • Open OS V8.2 Upd2 (Update, geplant für Q1/2023) 109757796 

Für alle nicht genannten SIMATIC PCS 7-Produkte sind uns zum jetzigen Zeitpunkt keine Auswirkungen durch die Härtung von Windows DCOM Server bekannt.
Bitte prüfen Sie diesen Abschnitt des FAQ regelmäßig auf Ergänzungen/Änderungen der SIMATIC PCS 7-Produktliste.

Damit die von Microsoft umgesetzte Härtungsmaßnahme von Windows DCOM Server zu keiner Unverträglichkeit mit den genannten SIMATIC PCS 7-Produkten führt, empfehlen wir den Projekten eine individuelle Planung ihres Patch Managements gemäß der Zeitachse zur Härtung von Windows DCOM Server.
Abhängig davon, ob die oben genannten SIMATIC PCS 7-Produkte eingesetzt werden und die anhand der Microsoft Zeitachse veröffentlichten Updates im SIMATIC PCS 7-Projekt installiert werden, muss die von Microsoft beschriebene Registrierungseinstellung zur Deaktivierung der Härtungsmaßnahme beachtet werden. Danach wird die Maßnahme durch ein weiteres Update von Microsoft standardmäßig aktiviert ohne Möglichkeit, diese deaktivieren zu können.
Sie können die Registrierungseinstellung rückgängig machen, sobald Updates für die oben genannten SIMATIC PCS 7-Produkte verfügbar sind und diese installiert wurden.
Für den zeitlichen Ablauf der von Microsoft definierten Veröffentlichungen informieren Sie sich bitte unter dem oben genannten Link des KB5004442. 

Hinweis
Für den Einsatz von bereitgestellten OPC Classic Clients, empfehlen wir den PCS 7 Projekten die Kompatibilität mit der Härtung von Windows DCOM Server sicherzustellen. OPC UA Anwendungen sind nach derzeitigem Stand von dieser Änderung nicht betroffen.


Hinweis zu Microsoft Produkten mit Status End of Extended Support

Microsoft Updates, die im Rahmen des Extended Security Update (ESU) Programms für Microsoft Software Produkte mit dem Status End of Extended Support veröffentlicht werden, werden nicht auf Verträglichkeit mit SIMATIC PCS 7 getestet.

Microsoft Produkte mit Status End of Extended Support zeigen evtl. durch Einblenden eines Popups das Ende des Lifecycles an. Dies kann sich über die WinCC-Runtime legen.
Beachten Sie Hinweise und Optionen innerhalb des angezeigten Popups zur dauerhaften Unterdrückung. Diese Einstellung muss u. U. für jeden Benutzer gesondert durchgeführt werden.

Liste der auf Verträglichkeit getesteten Microsoft Updates

BeschreibungDownload
Excel-Datei nach IEC 62443-2-3  security_patches_iec.xls (2,0 MB) 
gepackte XML- und Schema-Dateien nach IEC 62443-2-3  security_patches_iec.zip (244,0 KB)
Tabelle 1 

Es werden nur die aktuellen Patches aufgelistet. Diese sind kumulativ und beinhalten alle vorangegangenen Patches.

In seltenen Fällen kann es vorkommen, dass in unseren Tests ein Update negativen Einfluss auf unsere Software nimmt. Dies wird in der obigen Liste im Feld "Comment" vermerkt. Darüber hinaus kommunizieren wir die im Test möglicherweise auftretenden Indikationen und die daraus resultierenden Gegenmaßnahmen schnellstmöglich per Newsletter.

Empfohlene Vorgehensweise zum Patch Management mit dem Microsoft Windows Server Update Services (WSUS)

Diese Anleitung setzt voraus, dass Sie einen WSUS für Ihre PCS 7-Anlage eingerichtet haben. Die zu installierende WSUS-Version richtet sich nach dem neuesten in der Anlage verwendeten Betriebssystem. Es empfiehlt sich immer die neueste verfügbare WSUS-Version einzusetzen. Eine Beschreibung der empfohlenen Vorgehensweise mit dem WSUS finden Sie unter der Beitrags-ID 38621083.
    
Vorgehensweise 

  1. WSUS-Konfiguration
    Wählen Sie unter "Produkte und Klassifizierungen" alle für die Anlage relevanten Microsoft-Produkte im Register "Produkte" aus.

  2. WSUS-Konfiguration

    Wählen Sie unter "Produkte und Klassifizierungen" die "Definitionsupdates", "Sicherheitsupdates", "Update Rollups" "Updates" und "Wichtige Updates" im Register "Klassifizierungen" aus.




  3. WSUS Konfiguration
    Legen Sie projektspezifisch Gruppen für die Verteilung der Updates in der Anlage an.

  4. Laden Sie die obige Excel-Tabelle "security_patches_iec.xls" auf Ihren Rechner.

  5. Öffnen Sie die Tabelle. Die Tabelle ist nach der Spalte "ReleaseDate" sortiert. Das aktuelle Release Date entspricht dem obersten Eintrag.
    Dieses Datum ist im weiteren Verlauf (ab Punkt 7) relevant. Filtern Sie in der Spalte "FailedProducts" auf nur die Produkte, die Sie einsetzen.
    Für PCS 7 wählen Sie z.B. "PCS7Vxy" aus.


  6. Überprüfen und beachten Sie die Hinweise in der Spalte "Comments".

  7. WSUS-Administration

    Selektieren Sie alle verfügbaren und noch nicht genehmigten Updates (der o. g. Kategorien) bis zu dem unter Punkt 5 genannten Release Date.  Wählen Sie lediglich die gemäß obiger Excel-Tabelle nicht freigegebenen Patches ab.

    Geben Sie die Patches zur Installation in den angelegten Gruppen frei.

    Hinweis: Es sollen nur Updates selektiert werden, die nicht neuer sind, als das in der Spalte "ReleaseDate" genannte Datum. 

    Genehmigen Sie die selektierten Patches für die Installation in den angelegten Gruppen. 

  8. Loggen Sie sich auf den mit dem WSUS verbundenen Clients mit einem administrativen Account ein. Überprüfen Sie, ob Updates für den Client zur Verfügung stehen (die Clients wurden so konfiguriert, dass sie Updates vom WSUS erhalten).

  9. Stellen Sie sicher, dass die PCS 7-Runtime beendet ist. Installieren Sie alle angebotenen Updates. Prüfen Sie, ob nach einem Neustart des Rechners weitere Updates zur Installation angeboten werden.


Weiterführende Informationen

Weiterführende Erläuterungen zur benutzerdefinierten Installation und Aktualisierung von Microsoft Office ab Version 2019 finden Sie unter dem folgenden Link:

Weiterführende Erläuterungen zum MS Patch-Management und der WSUS Konfiguration finden Sie unter folgenden Links:

Weiterführende Erläuterungen zu Microsoft Updates und dem WSUS finden Sie auf den folgenden Microsoft-Seiten:

Hinweise

  • Wie Sie herausfinden können, welche Microsoft Patches auf dem PC installiert sind, finden Sie unter der Beitrags-ID: 48844294.
  • Diese Leitlinie gilt ab der Version PCS 7 V7.0 SP3.

Achtung
Das oben beschriebene Vorgehen gilt nicht für neue Microsoft Service Packs, deren Einsatz nach wie vor einer expliziten Freigabe bedarf. Sollten die Updates einen höheren Versionsstand der Microsoft Software voraussetzen, dann vergewissern Sie sich über die "PCS 7-Liesmich" oder die Beitrags-ID 64847781, dass diese höheren Software-Versionen oder Service Packs für SIMATIC PCS 7 freigegeben sind.


Letzte Änderung
Erweiterung des Abschnitts "Hinweis zu Härtungsmaßnahmen von Windows DCOM Server (KB5004442)"


Ergänzende Suchbegriffe
Windows Update Service, Security Patch

Securityhinweise
Um technische Infrastruktur, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches IT Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Weitergehende Informationen über Cyber Security finden Sie unter
https://www.siemens.com/cybersecurity#Ouraspiration.
Beitrag bewerten
keine Bewertung
Anfragen und Feedback
Was möchten Sie tun?
Hinweis: Das Feedback bezieht sich immer auf den vorliegenden Beitrag / das vorliegende Produkt. Ihre Nachricht wird an die Redakteure im Online Support gesendet. In einigen Tagen erhalten Sie von uns eine Antwort, wenn Ihr Feedback das erfordert. Ist für uns alles klar, werden wir Ihnen nicht mehr antworten.