×
Siemens Industry Online Support
Siemens AG
Tipo de artículo: FAQ, ID de artículo 18752994, Fecha del artículo: 30/06/2017
(3)
Evaluar

¿De qué parches de seguridad de Microsoft ("Security Patches" y "Critical Patches") se ha probado su compatibilidad con SIMATIC WinCC?

  • Artículo
  • Relacionado con producto(s)
Microsoft rectifica de manera regular los huecos de seguridad en sus productos y distribuye dichas soluciones a sus clientes bajo la forma de parches y actualizaciones oficiales.

Estas actualizaciones / parches suceden habitualmente el segundo martes de cada mes, en el denominado "Patch Tuesday". Microsoft divide las actualizaciones en numerosas clasificaciones diferentes:

http://support.microsoft.com/kb/824684/en

Sin embargo, sólo tendrá que instalar los "parches de seguridad" y los "parches críticos" para asegurar que el funcionamiento de SIMATIC WinCC sea seguro y estable. Por esta razón, se ha puesto en servicio una configuración de prueba de WinCC con el fin de comprobar la compatibilidad del software WinCC con las clasificaciones de parches mencionadas con anterioridad ("Security Patches" y "Critical Patches"). Este sistema siempre se caracteriza por tener las versiones liberadas más recientes de WinCC y de los productos de Microsoft liberados para el funcionamiento con estas versiones de WinCC. Manteniendo el ritmo de las actualizaciones publicadas por parte de Microsoft, se llevan a cabo comprobaciones de compatibilidad con esta versión de WinCC en el sistema de pruebas.
Se recomienda instalar todas las actualizaciones disponibles de ambas clasificaciones mencionadas para asegurar que el sistema se encuentra protegido.
A través de cualquier software adicional instalado en su sistema puede ocurrir que tenga más actualizaciones instaladas que las comprobadas en nuestras pruebas. Por supuesto, no podemos decir nada en relación con la compatibilidad de estas actualizaciones adicionales. En consecuencia, se recomienda instalar todas las actualizaciones en entornos de prueba independientes específicos de proyecto antes de desplegar las actualizaciones en el entorno productivo.

Hace algún tiempo en varios puntos Microsoft modificó el procedimiento con las actualizaciones de Windows para Windows 7 y Windows 8.1 y superior. Ya no se suministran las actualizaciones independientes (KBs), sino los paquetes enrollados acumulativos, los denominados "Rollups mensuales". Cada una de estas actualizaciones incluye las actualizaciones del mes anterior.
Igualmente se han modificado las opciones de ajuste para las actualizaciones de Windows: por defecto ahora se tienen que instalar los paquetes completos y no sólo las clasificaciones específicas.
Se tiene que usar el Microsoft Windows Server Update Service (WSUS) para instalar las clasificaciones individuales a voluntad.

Procedimiento recomendado para la gestión de parches con el WSUS
Ir a las páginas web de Microsoft para obtener las instrucciones detalladas de instalación y configuración del WSUS.

No.Procedimiento
1Configuración WSUS:
En el cuadro de diálogo "Products and Classifications" seleccionar la pestaña "Products" y después todos los productos de Microsoft relevantes para el sistema.
2Configuración WSUS:
En el cuadro de diálogo "Products and Classifications" seleccionar la pestaña "Classifications" y después "Definition Updates", "Security Updates" y "Critical Updates".


Fig. 01

3Configuración WSUS:
Crear los grupos específicos de proyecto para la distribución de las actualizaciones en el sistema.
4Administración del WSUS:
Seleccionar todas las actualizaciones disponibles en las categorías "Critical Updates" y "Security Updates" y deseleccionar después los parches no liberados como se muestra en la lista anterior. Liberar los parches para la instalación en los grupos creados.
5Registrarse en los clientes conectados al WSUS usando una cuenta de administración (los clientes se configuraron para recibir las actualizaciones desde el WSUS).
6Ejecutar las actualizaciones que se ofrecen.


Para una explicación más detallada sobre las actualizaciones de Microsoft y el WSUS se ruega visitar las siguientes páginas web.

Si desea seguir ejecutando su sistema WinCC sin tener que instalar un WSUS, puede hacerlo desconectando de internet. En este caso debe asegurar, no obstante, que los ordenadores reciben las actualizaciones necesarias.

Aviso
Podría experimentar las consecuencias indicadas más abajo si no usa el WSUS.

  • Podría darse una desconexión no programada del sistema WinCC.
  • Podría producirse una instalación no programada de todos los paquetes suministrados por Microsoft.

Estas son razones por las que no se recomienda la ejecución en una planta de producción continua sin el WSUS.

En casos excepcionales, podría ocurrir que en nuestras pruebas una actualización tenga una influencia negativa en nuestro software. Esto se considera en la siguiente lista en el campo "Resultado de prueba" (Test Result). Además, se informará tan rápido como sea posible a través de un boletín de cualquier indicación y de los remedios resultantes.

Descripción
Actualizaciones de fichero Excel con influencia negativa
Registration required security_patches_failed.xls (12.4 KB)

Consideración importante sobre SQL server 2014 SP2 (KB3171021)
No se recomienda instalar el Service Pack con WinCC versión V7.4 o inferior. El Service Pack 2 sólo se ha liberado para WinCC versión V7.4 SP1 y superior.

Consideraciones

  • Para averiguar qué parches de Microsoft están instalados en el PC, puede consultar en la entrada con ID: 48844294.
  • Estas directrices son válidas sólo para WinCC V6.0 SP4 y superior.

Advertencia
Este procedimiento descrito con anterioridad no es válido para los nuevos Service Packs de Microsoft que todavía no se han liberado para su uso conjunto de forma explicita. Si los parches precisan de una versión superior del software de Microsoft, entonces tendrá que consultar el archivo de "Notas de instalación de WInCC" o la información dada en la entrada con ID 64847781, para comprobar si estas versiones superiores del software o Service Packs se han liberado para SIMATIC WinCC.

Se puede encontrar información más detallada sobre la seguridad industrial en relación con el software de WinCC en el manual de conceptos de seguridad de WinCC bajo la entrada con ID: 60119725.

Palabras clave adicionales
Servicio de Actualización de Windows, Parche de Seguridad

Información de seguridad
Para proteger las instalaciones, los sistemas, las máquinas y las redes de amenazas cibernéticas, es necesario implementar (y mantener continuamente) un concepto de seguridad industrial integral que sea conforme a la tecnología más avanzada. Los productos y las soluciones de Siemens constituyen únicamente una parte de este concepto. Encontrará más información sobre seguridad industrial en
http://www.siemens.com/industrialsecurity.