13_00_IpcSettings_DE-2015-11-02

Transcrição

Best Practice – Optimale IPC Konfiguration
Industrie Workshop PC-based Automation Nov. 2015
siemens.de/ipc
Der Auslieferungszustand von
SIMATIC IPCs ist für allgemeine
Anwendungen gedacht.
Für spezifische Applikationen gibt
eine Menge Optimierungspotential.
Seite 2
BIOS Einstellungen
Seite 4
Power-Saving Options
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Power-Saving Optionen deaktivieren um die Absenkung von Spannung und Frequenz der Prozessoren zu
verhindern
Seite 5
Hyperthreading
WinAC RTX / WinAC RTX F
• Für ausgewogene Leistung von SPS und Windows
 Hyperthreading aktivieren
• Für beste Deterministik der SPS
(WinAC RTX)
 Hyperthreading deaktivieren
S7-1500 Software Controller
Hypervisor reserviert einen physischen
Kern für SPS
 Hyperthreading kann aktiviert bleiben!
Seite 6
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Windows Konfigurationen
Seite 8
Empfohlene Windows-Konfigurationen
IPC
WinAC RTX
WinAC RTX F
S7-150xS
• Unterscheidung zwischen Administrator- und Benutzerkonto
• Einschränken von Windows-Funktionalität
(Keine System Änderungen z.B. Task- Manager, Systemsteuerung zu entfernen, Autoplay- Funktion
verbieten)
• Enhanced Write Filter (EWF) / File Based Write Filter (FBWF) aktivieren
• Windows-Firewall konfigurieren
• Remoteeinstellungen konfigurieren (z.B. VPN IPSec, Remotedesktop)
Seite 9
Empfehlung für Benutzerkonto
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Unterscheidung zwischen Administrator- und Benutzerkonto
Zusätzliches Benutzerkonto mit eingeschränkten Rechten neben Administratorkonto erstellen
Administrator Account
Standardbenutzerkonto
(“Standard User”, “Restricted User”)
Zielgruppe
PC-Experten
Mitarbeiter ohne detaillierte PCKenntnisse
Ziel
Zugriff auf alle Anwendungen,
Systemkonfiguration und
Eigenschaften möglich
Nur ausgewählte Anwendungen. Keine
SW-Installation oder Systemänderungen
Seite 10
Group Policy Object (GPO) – Beispiel (1)
Ausgewählte Systemfunktionen deaktivieren
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Berechtigung, Prozesse zu beenden und Systemeigenschaften zu ändern
Pfad
Policy
Administrative Templates » Start
Menu and Taskbar
Remove and prevent access to the Shut Down, Restart, Sleep and
Hibernate commands » Enabled
Remove Run menu from Start Menu
Remove programs on Properties menu
Administrative Templates » System
» Ctrl+Alt+Del Options
Remove Task Manager
Administrative Templates » Control
Panel
Prohibit access to the Control Panel
Seite 12
Group Policy Object (GPO) – Beispiel (2)
Wechseldatenträger Einschränken
IPC
WinAC RTX
WinAC RTX F
Verwendung von USB-Sticks unterbinden, z.B. Verhindern des unbeabsichtigten Ausführens von
Malware
Pfad
Policy
Administrative Templates » System »
Removable Storage Access
Removable Disks: Deny read access
Removable Disks: Deny write access
All Removable Storage classes Deny all access
Administrative Templates » Windows
Components » AutoPlay
Turn off Autoplay
Administrative Templates » Windows
Components » Windows Installer
Prevent removable media source for any install
Seite 13
S7-150xS
GPO Einstellungen – Was sonst?
IPC
WinAC RTX
WinAC RTX F
S7-150xS
See FAQ
Beitrags-ID: 109475014
Seite 14
Live Demo
• Zugriff auf Wechseldatenträger verhindern
Seite 15
Automatisches Einrichten der Gruppenrichtlinien
Empfohlenes Vorgehen von Microsoft
• Automatisches Einstellen von Benutzer- und Computerkonfiguration über zentralen Domänen Server
• ABER: Meist im Industrieumfeld nicht verfügbar
Option (1) - Manuell
• Alle erforderlichen Einstellungen manuell vornehmen
Option (2) - Images
• Einrichten eines „Master PC“ und klonen des PC auf andere
Option (3) - Ausführen eines Skriptes auf dem lokalen PC
• (Power Shell Skript auf Basis „Group Policy Management Console“ GPMC nicht möglich, da auf „Nicht
Server BS“ nichtverfügbar)
Seite 17
Microsoft Security Compliance Manager (SCM)
• Typische „Baselines“ werden von
Microsoft zur Verfügung gestellt
• „Baselines“ können kopiert und für
eigene Anforderungen angepasst werden
• Erzeugen einer Konfiguration für jedes
notwendige Profile (Admin, User, etc.)
Seite 18
Optimal IPC Settings – Workflow der Verteilung
Erzeugen der Konfiguration
basierend auf Microsoft Baselines
für die notwendigen User Profile
Export der Konfiguration in
„GPO Packs“ für jedes User Profil
Import der „GPO Packs“ auf dem
Zielrechner mit dem Local Policy
Tool für die User
ACHTUNG!
Bitte die aktuellste Version des Microsoft Security
Compliance Manager (SCM) verwenden!
Seite 19
Reduzieren CPU-Last durch Grafikeffekte
IPC
WinAC RTX
Windows‘ visuelle Effekte können deaktiviert/reduziert werden, um die CPU-Last
zu reduzieren
Wechsel vom SIMATIC Thema
zum Windows 7 Basic Thema
(Simatic-Hintergrund kann danach manuell
wieder gewählt werden)
Seite 20
WinAC RTX F
S7-150xS
Anlaufzeit
IPC
WinAC RTX
Für schnelleres Hochfahren des Windows Betriebssystems kann Wartezeit
verkleinert werden
msconfig.exe
Seite 23
WinAC RTX F
S7-150xS
Andere Punkte
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Windows Updates
• WES7 Image von Siemens IPCs enthält den Windows Update Service
• Installation von Windows-Updates könnte Stabilität beeinflussen
 Der Kunde ist verantwortlich!
Windows-Komponenten deaktivieren
• WES7 Image von Siemens IPCs enthält typische Komponenten und Dienste
•  Deinstallation von Komponenten oder Deaktivieren von Diensten in Verantwortung des Kunden!
Zusätzliche Sicherheits-Tools
• Einige Anwendungen können zusätzliche Sicherheits-Tools erfordern
• Virus Scanner  Siemens-Empfehlung: TREND MICRO OfficeScan
• ARP AntiSpoofer, CCleaner Portable, etc.
 Der Kunde ist verantwortlich!
Seite 24
Nützliche Windows Tools
Seite 25
Windows Firewall
Risiko ohne aktive Firewall!
Port-Scanner-Software könnte erster Schritt eines gezielten
Angriffs sein
Windows Firewall aktivieren!
 Standard Einstellung der Windows-Firewall ist
gute Konfiguration
 SIMATIC Software passt die benötigte
Einstellungen während Installation an
(z.B. SIMATIC NET oder DiagBase)
Optionale Einstellungen:
Echo-Request (ping) erlauben.
(siehe nächste Seite)
Seite 26
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Windows Firewall
„ping“ erlauben
Group Policy
WinAC RTX
WinAC RTX F
Pfad
Policy
Computer Konfigurationen » Administrative
Templates » Network » Network Connections
» Windows-Firewall » Domain Profile
Windows-Firewall: Allow ICMP
exceptions
Firewall Einstellungen
Seite 27
IPC
S7-150xS
Port für Webserver öffnen
IPC
WinAC RTX
WinAC RTX F
Webserver über Windows Ethernet erreichbar über Port 81 !
1
2
3
Seite 28
4
S7-150xS
Windows Embedded
Enhanced Write Filter / File Based Write Filter
Enhanced Write Filter (EWF) /
File Based Write Filter (FBWF)
• Integrität von Windows auch bei hartem Abschalten
(ohne USV)
• Schützt das Dateisystem vor bleibenden Änderungen
• Reduziert Schreibzugriffe auf CF Card / CFast Card
• EWF leitet alle Schreibzugriffe auf den RAM um
• Keine sichtbaren Einschränkungen für den Benutzer
• Vorteil: Ist das System z.B. durch Malware kompromittiert,
reicht ein Neustart für ein sauberes System
• ACHTUNG:
Kein Schutz von Malware durch EWF bei 365x24 Betrieb
Seite 29
IPC
WES7
WinAC RTX
WinAC RTX F
S7-150xS
WES2009 (XP Emb)
Enhanced Write Filter für Embedded Systeme
IPC
WinAC RTX
WinAC RTX F
S7-150xS
RAM
EWF enabled
Application
1
Application
1
r/w
User Mode
Application
2
2
r/w
EWFMGR
Application
2
Write „Y“ to disk
3
Read „Y“ from „disk“
Kernel Mode
EWF
EWF RAM
Read „X“ from disk
read
1
NTFS/Volume-System driver
Seite 30
CF Card
Partition C:
write / read
RTX
OS
EWF SPEICHERVERBRAUCH PRÜFEN !!
IPC
WinAC RTX
Kontrollieren, dass der EWF Speicher im Betrieb nicht kontinuierlich wächst!
• Unnötige Schreibzugriff auf geschütztes Laufwerk vermeiden
• Ggf. Speicherort Windows Event-Log ändern
• usw.
• Speicherort für Software-Controller ändern
• Ggf. Speicherort Windows Minidump ändern
Seite 31
WinAC RTX F
S7-150xS
SIMATIC PC Software
Seite 34
SIMATIC NET Optimierung
IPC
WinAC RTX
SIMATIC NET OPC-Server unterstützt verschiedene Schnittstellen/Protokolle zu
Clients
 Deaktivieren aller Protokolle die
nicht verwendet werden !!!
Seite 36
WinAC RTX F
SIMATIC NET V8.2
S7-150xS
Remote Konfiguration
Seite 37
Remote Desktop
Für Benutzer mit eingeschränkten Rechten
ACHTUNG
 Für die Verwendung von Remote Desktop
sollte ein Benutzer mit eingeschränkten
Rechten hinzugefügt werden !
 Jeder Benutzer muss ein Kennwort haben!
Pfad
Einstellung
Rechte Maustaste auf
Computer »
Eigenschafen >>
Remoteeinstellungen
Verbindung nur von
Computer zulassen,
auf denen
Remotedesktop mit
Authentifizierung…
Benutzer auswählen…
Seite 38
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Seite 51
EWF / FBWF aktiviert
IPC
WinAC RTX
WinAC RTX F
S7-150xS
Diagnose- und Konfigurations-Daten im „Station Manager“ muss passend konfiguriert werden, um nicht auf
einem EWF-geschützten Datenträger zu speichern.
1. Rechtsklick auf “PC-Station+” in der Taskleiste
Pfad für Konfigurationsdaten ändern >> Eigenschaften >> Konfigurationen Pfad ändern
2. EWF / FBWF aktivieren
Seite 52
Zusammenfassung
Seite 54
Weiterführende Quellen
“Industrial Security Sales Information Kit” (Video)
URL: http://support.automation.siemens.com/WW/view/de/90735056
“Industrial Security”
URL: www.siemens.de/industrialsecurity
“Security Leitfaden für PC-basierte Automatisierungssysteme mit Windows Embedded
Betriebssystemen“
“Optimale Sicherheitseinstellungen für PCs im Industrieumfeld“
Seite 55
Zusammenfassung (1)
IPC
WinAC RTX
WinAC RTX F
S7-150xS
1) BIOS
a) P-States und C-States deaktivieren
b) Hyperthreading: aktiviert: für ausgewogene Leistung von SPS und Windows
deaktiviert: für beste Deterministik des Verhaltens der SPS (WinAC RTX)
2) Windows Konfigurationen
a) Administrator- und Benutzerkonto Konzept
b) Zugriff auf Windows-Funktionalität beschränken mit Group Policy Object (GPO) (z.B. Task-Manager
entfernen)
c) Reduzieren CPU-Last durch Deaktivierung der Visuellen Effekte von Windows
d) Timeout von Windows Boot Manager für WinAC RTX (F) reduzieren
e) RDP-Protokolle Konfigurieren/Aktivieren für Remoteeinstellungen (Benutzerkonto-Passwort
erforderlich)
Seite 56
Zusammenfassung (2)
IPC
WinAC RTX
WinAC RTX F
S7-150xS
3) Nützliche Windows Tools
a) Enhanced Write Filter (EWF / FBWF) nutzen, um Dateisystem gegen Schreibvorgänge zu schützen
 Schreibzugriffe auf geschützte Laufwerke reduzieren (z.B. Log-Dateien, Rezepte, Konfigurationen, etc. )
b) Windows-Firewall konfigurieren (z.B. Webserver zugriffe via Port 81 für S7-1500 Software Controller
aktivieren)
4) SIMATIC NET
a) Deaktivieren aller nicht benötigten Protokolle
5) S7-1500 Software Controller
1) Webserver zugriffe via Port 81 für S7-1500 Software Controller durch Windows-Firewall aktivieren
2) PC -Station+ ermöglicht Download von Programm und Konfigurationen ohne die Notwendigkeit von
weiteren Konfigurationen auf dem Zielsystem
3) EWF / FBWF: SIMATIC Konfigurationen Pfad ändern zu ungeschütztem Laufwerk
Seite 57

13_00_IpcSettings_DE-2015-11-02

Transcrição

Documentos relacionados

13_00_IpcSettings_DE-2015-11-02_L

WinAC RTX (F) vs. S7-1500 SW

Projektleiter Automation (m/w)

Automation Newsletter abbestellen - SPS

13_45_S7_1500 Controller_L

Wir sind jetzt CG!

für Chip-on-Glas-Displays

Speccy - Winprint

reibungslose modernisierung - ETM professional control GmbH

7 Wochen Praktikum bei MSI - und was bleibt? Nun bin ich wieder