×
Siemens Industry Online Support
Siemens AG
Beitragstyp: FAQ Beitrags-ID: 44443989, Beitragsdatum: 06.12.2017
(0)
Bewerten

Warum werden die DCOM-Einstellungen des WinCC OPC-Servers nach Aktivierung der OS Runtime zurückgesetzt?

  • Beitrag
  • Betrifft Produkt(e)
Dieser Beitrag gilt ab PCS 7 V7.1. In den Versionen PCS 7 V7.0 und PCS 7 V6.x bleiben benutzerspezifische DCOM-Einstellungen nach dem Aktivieren der OS Runtime unverändert.

Auf dem SIMATIC PCS 7 OS-Server werden die für den Betrieb des PCS 7 Systems und der OPC-Kommunikation (OPC-Server und OPC-Client) erforderlichen Sicherheitseinstellungen automatisch durch die SIMATIC Security Control Applikation (SSC) bzw. ab PCS 7 V8.0 durch die SIMATIC Security Controller Applikation (SC) festgelegt. Dazu gehören unter anderem die Konfiguration der lokalen Windows Firewall, diverser Registry-Einträge und DCOM-Berechtigungen.
  
DCOM Berechtigungen  
Die DCOM Berechtigungen der für die OPC Kommunikation benötigten Komponenten werden der lokalen Benutzergruppe "SIMATIC HMI" erteilt.
  
WinCC-Betriebsmodus
In Abhängigkeit vom Betriebsmodus des PCS 7 OS-Servers (WinCC - Standardmodus (Kompatibilitätsmodus) oder WinCC – Servicemodus) werden einige DCOM Komponenten, insbesondere der OPC Server, mit unterschiedlichen Benutzeridentitäten betrieben.      

  • Im Standardmodus wird der "Interaktive Benutzer" (eingeloggter Windows-Benutzer) verwendet.     

  • Im Service-Modus wird der in WinCC hinterlegte Service-Mode Benutzer verwendet. 

Hinweis
Sowohl der eingeloggte Benutzer als auch der Service-Mode Benutzer müssen Mitglied der Benutzergruppe "SIMATIC HMI" sein.
  
Rechtevergabe
Bei jedem Start des PCS 7 OS-Servers wird die Benutzer-Identität des OPC Servers entsprechend des WinCC Betriebsmodus angepasst. Um eine einheitliche Berechtigungskette sicherzustellen, sollte in diesen Prozess nicht manuell eingegriffen bzw. keine Änderungen an der Rechtevergabe vorgenommen werden, da hiervon weitere WinCC-Komponenten betroffen sind.
Insbesondere sollte bei erhöhten Sicherheitsanforderungen nicht das Recht "Verweigern" genutzt werden, sondern die gewünschte Berechtigungs-Einschränkung durch Entzug des entsprechenden Rechtes vorgenommen werden.
   
Weiterführende Informationen
Weitere Informationen finden Sie in den unten genannten Handbüchern unter "Hinweise zu OPC".
  
Vorgehensweise und Einstellungen bei unterschiedlichen Anmeldedaten von OPC-Client und OPC-Server
Werden vom OPC-Client für den Zugriff auf den WinCC OPC-Server andere Anmeldedaten (Benutzername, Passwort) verwendet, als die von der OS Runtime genutzten, muss, abhängig von der PCS 7 Version, folgendermaßen vorgegangen werden:
  
Bei PCS 7 V8.1 & V8.2 & V9.0

Nach dem Handbuch WinCC V7.4 SP1: Allgemeine Informationen und Installation.
Nach dem Handbuch WinCC V7.4 - Allgemeine Informationen und Installation.
Nach dem Handbuch WinCC V7.3 - Allgemeine Informationen und Installation.

Die relevanten Informationen finden Sie im Handbuch verteilt unter dem Stichwort "ServiceMode" und im Kapitel WinCC Installation Notes > Voraussetzung für die Installation > Zugriffsrechte im Betriebssystem (Hinweis auf die Gruppe SIMATIC HMI)

  
Bei PCS 7 V8.0 SP1

Nach dem Handbuch WinCC V7.2: Installation / Release Notes.
Die relevanten Informationen finden in den Kaptiteln:    

Bei PCS 7 V7.1 und PCS 7 V8.0
Nach dem Handbuch WinCC V7.0 - Konfigurationen.
Die relevanten Informationen finden Sie im Kapitel 4 WinCC ServiceMode 
Securityhinweise
Um technische Infrastruktur, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches IT Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Weitergehende Informationen über Cyber Security finden Sie unter
https://www.siemens.com/cybersecurity#Ouraspiration.