13_00_IpcSettings_DE-2015-11-02_L
Transcrição
13_00_IpcSettings_DE-2015-11-02_L
Best Practice – Optimale IPC Konfiguration Industrie Workshop PC-based Automation Nov. 2015 siemens.de/ipc Der Auslieferungszustand von SIMATIC IPCs ist für allgemeine Anwendungen gedacht. Für spezifische Applikationen gibt eine Menge Optimierungspotential. Industrie Workshop PC-based Automation Nov. 2015 Seite 2 BIOS Einstellungen Industrie Workshop PC-based Automation Nov. 2015 Seite 4 Power-Saving Options IPC WinAC RTX WinAC RTX F S7-150xS Power-Saving Optionen deaktivieren um die Absenkung von Spannung und Frequenz der Prozessoren zu verhindern Industrie Workshop PC-based Automation Nov. 2015 Seite 5 Hyperthreading WinAC RTX / WinAC RTX F • Für ausgewogene Leistung von SPS und Windows à Hyperthreading aktivieren • Für beste Deterministik der SPS (WinAC RTX) à Hyperthreading deaktivieren S7-1500 Software Controller Hypervisor reserviert einen physischen Kern für SPS à Hyperthreading kann aktiviert bleiben! Industrie Workshop PC-based Automation Nov. 2015 Seite 6 IPC WinAC RTX WinAC RTX F S7-150xS Windows Konfigurationen Industrie Workshop PC-based Automation Nov. 2015 Seite 8 Empfohlene Windows-Konfigurationen IPC WinAC RTX WinAC RTX F S7-150xS • Unterscheidung zwischen Administrator- und Benutzerkonto • Einschränken von Windows-Funktionalität (Keine System Änderungen z.B. Task- Manager, Systemsteuerung zu entfernen, Autoplay- Funktion verbieten) • Enhanced Write Filter (EWF) / File Based Write Filter (FBWF) aktivieren • Windows-Firewall konfigurieren • Remoteeinstellungen konfigurieren (z.B. VPN IPSec, Remotedesktop) Industrie Workshop PC-based Automation Nov. 2015 Seite 9 Empfehlung für Benutzerkonto IPC WinAC RTX WinAC RTX F S7-150xS Unterscheidung zwischen Administrator- und Benutzerkonto Zusätzliches Benutzerkonto mit eingeschränkten Rechten neben Administratorkonto erstellen Administrator Account Standardbenutzerkonto (“Standard User”, “Restricted User”) Zielgruppe PC-Experten Mitarbeiter ohne detaillierte PCKenntnisse Ziel Zugriff auf alle Anwendungen, Systemkonfiguration und Eigenschaften möglich Nur ausgewählte Anwendungen. Keine SW-Installation oder Systemänderungen Industrie Workshop PC-based Automation Nov. 2015 Seite 10 Group Policy Object (GPO) – Beispiel (1) Ausgewählte Systemfunktionen deaktivieren IPC WinAC RTX WinAC RTX F S7-150xS Berechtigung, Prozesse zu beenden und Systemeigenschaften zu ändern Pfad Policy Administrative Templates » Start Menu and Taskbar Remove and prevent access to the Shut Down, Restart, Sleep and Hibernate commands » Enabled Remove Run menu from Start Menu Remove programs on Properties menu Administrative Templates » System » Ctrl+Alt+Del Options Remove Task Manager Administrative Templates » Control Panel Prohibit access to the Control Panel Industrie Workshop PC-based Automation Nov. 2015 Seite 12 Group Policy Object (GPO) – Beispiel (2) Wechseldatenträger Einschränken IPC WinAC RTX WinAC RTX F Verwendung von USB-Sticks unterbinden, z.B. Verhindern des unbeabsichtigten Ausführens von Malware Pfad Policy Administrative Templates » System » Removable Storage Access Removable Disks: Deny read access Removable Disks: Deny write access All Removable Storage classes Deny all access Administrative Templates » Windows Components » AutoPlay Turn off Autoplay Administrative Templates » Windows Components » Windows Installer Prevent removable media source for any install Industrie Workshop PC-based Automation Nov. 2015 Seite 13 S7-150xS GPO Einstellungen – Was sonst? IPC WinAC RTX WinAC RTX F S7-150xS See FAQ Beitrags-ID: 109475014 Industrie Workshop PC-based Automation Nov. 2015 Seite 14 Live Demo • Zugriff auf Wechseldatenträger verhindern Industrie Workshop PC-based Automation Nov. 2015 Seite 15 Automatisches Einrichten der Gruppenrichtlinien Empfohlenes Vorgehen von Microsoft • Automatisches Einstellen von Benutzer- und Computerkonfiguration über zentralen Domänen Server • ABER: Meist im Industrieumfeld nicht verfügbar Option (1) - Manuell • Alle erforderlichen Einstellungen manuell vornehmen Option (2) - Images • Einrichten eines „Master PC“ und klonen des PC auf andere Option (3) - Ausführen eines Skriptes auf dem lokalen PC • (Power Shell Skript auf Basis „Group Policy Management Console“ GPMC nicht möglich, da auf „Nicht Server BS“ nichtverfügbar) Industrie Workshop PC-based Automation Nov. 2015 Seite 17 Microsoft Security Compliance Manager (SCM) • Typische „Baselines“ werden von Microsoft zur Verfügung gestellt • „Baselines“ können kopiert und für eigene Anforderungen angepasst werden • Erzeugen einer Konfiguration für jedes notwendige Profile (Admin, User, etc.) Industrie Workshop PC-based Automation Nov. 2015 Seite 18 Optimal IPC Settings – Workflow der Verteilung Erzeugen der Konfiguration basierend auf Microsoft Baselines für die notwendigen User Profile Export der Konfiguration in „GPO Packs“ für jedes User Profil Import der „GPO Packs“ auf dem Zielrechner mit dem Local Policy Tool für die User ACHTUNG! Bitte die aktuellste Version des Microsoft Security Compliance Manager (SCM) verwenden! Industrie Workshop PC-based Automation Nov. 2015 Seite 19 Reduzieren CPU-Last durch Grafikeffekte IPC WinAC RTX Windows‘ visuelle Effekte können deaktiviert/reduziert werden, um die CPU-Last zu reduzieren Wechsel vom SIMATIC Thema zum Windows 7 Basic Thema (Simatic-Hintergrund kann danach manuell wieder gewählt werden) Industrie Workshop PC-based Automation Nov. 2015 Seite 20 WinAC RTX F S7-150xS Anlaufzeit IPC WinAC RTX Für schnelleres Hochfahren des Windows Betriebssystems kann Wartezeit verkleinert werden msconfig.exe Industrie Workshop PC-based Automation Nov. 2015 Seite 23 WinAC RTX F S7-150xS Andere Punkte IPC WinAC RTX WinAC RTX F S7-150xS Windows Updates • WES7 Image von Siemens IPCs enthält den Windows Update Service • Installation von Windows-Updates könnte Stabilität beeinflussen à Der Kunde ist verantwortlich! Windows-Komponenten deaktivieren • WES7 Image von Siemens IPCs enthält typische Komponenten und Dienste • à Deinstallation von Komponenten oder Deaktivieren von Diensten in Verantwortung des Kunden! Zusätzliche Sicherheits-Tools • Einige Anwendungen können zusätzliche Sicherheits-Tools erfordern • Virus Scanner à Siemens-Empfehlung: TREND MICRO OfficeScan • ARP AntiSpoofer, CCleaner Portable, etc. à Der Kunde ist verantwortlich! Industrie Workshop PC-based Automation Nov. 2015 Seite 24 Nützliche Windows Tools Industrie Workshop PC-based Automation Nov. 2015 Seite 25 Windows Firewall Risiko ohne aktive Firewall! Port-Scanner-Software könnte erster Schritt eines gezielten Angriffs sein Windows Firewall aktivieren! à Standard Einstellung der Windows-Firewall ist gute Konfiguration à SIMATIC Software passt die benötigte Einstellungen während Installation an (z.B. SIMATIC NET oder DiagBase) Optionale Einstellungen: Echo-Request (ping) erlauben. (siehe nächste Seite) Industrie Workshop PC-based Automation Nov. 2015 Seite 26 IPC WinAC RTX WinAC RTX F S7-150xS Windows Firewall „ping“ erlauben Group Policy WinAC RTX WinAC RTX F Pfad Policy Computer Konfigurationen » Administrative Templates » Network » Network Connections » Windows-Firewall » Domain Profile Windows-Firewall: Allow ICMP exceptions Firewall Einstellungen Industrie Workshop PC-based Automation Nov. 2015 Seite 27 IPC S7-150xS S7-1500 Software Controller Port für Webserver öffnen IPC WinAC RTX WinAC RTX F Webserver über Windows Ethernet erreichbar über Port 81 ! 1 2 3 Industrie Workshop PC-based Automation Nov. 2015 Seite 28 4 S7-150xS Windows Embedded Enhanced Write Filter / File Based Write Filter Enhanced Write Filter (EWF) / File Based Write Filter (FBWF) • Integrität von Windows auch bei hartem Abschalten (ohne USV) • Schützt das Dateisystem vor bleibenden Änderungen • Reduziert Schreibzugriffe auf CF Card / CFast Card • EWF leitet alle Schreibzugriffe auf den RAM um • Keine sichtbaren Einschränkungen für den Benutzer • Vorteil: Ist das System z.B. durch Malware kompromitiert, reicht ein Neustart für ein sauberes System • ACHTUNG: Kein Schutz von Malware durch EWF bei 365x24 Betrieb Industrie Workshop PC-based Automation Nov. 2015 Seite 29 IPC WES7 WinAC RTX WinAC RTX F S7-150xS WES2009 (XP Emb) Enhanced Write Filter für Embedded Systeme IPC WinAC RTX WinAC RTX F S7-150xS RAM EWF enabled Application 1 Application 1 r/w User Mode Application 2 2 r/w EWFMGR Write „Y“ to disk 3 Kernel Mode Application 2 Read „Y“ from „disk“ EWF EWF RAM Read „X“ from disk read 1 NTFS/Volume-System driver Industrie Workshop PC-based Automation Nov. 2015 Seite 30 CF Card Partition C: write / read RTX OS EWF SPEICHERVERBRAUCH PRÜFEN !! IPC WinAC RTX Kontrollieren, dass der EWF Speicher im Betrieb nicht kontinuierlich wächst! • Unnötige Schreibzugriff auf geschütztes Laufwerk vermeiden • Ggf. Speicherort Windows Event-Log ändern • usw. • Speicherort für Software-Controller ändern • Ggf. Speicherort Windows Minidump ändern Industrie Workshop PC-based Automation Nov. 2015 Seite 31 WinAC RTX F S7-150xS SIMATIC PC Software Industrie Workshop PC-based Automation Nov. 2015 Seite 34 SIMATIC NET Optimierung IPC WinAC RTX SIMATIC NET OPC-Server unterstützt verschiedene Schnittstellen/Protokolle zu Clients è Deaktivieren aller Protokolle die nicht verwendet werden !!! Industrie Workshop PC-based Automation Nov. 2015 Seite 36 WinAC RTX F SIMATIC NET V8.2 S7-150xS Remote Konfiguration Industrie Workshop PC-based Automation Nov. 2015 Seite 37 Remote Desktop Für Benutzer mit eingeschränkten Rechten ACHTUNG Ø Für die Verwendung von Remote Desktop sollte ein Benutzer mit eingeschränkten Rechten hinzugefügt werden ! Ø Jeder Benutzer muss ein Kennwort haben! Pfad Einstellung Rechte Maustaste auf Computer » Eigenschafen >> Remoteeinstellungen Verbindung nur von Computer zulassen, auf denen Remotedesktop mit Authentifizierung… Benutzer auswählen… Industrie Workshop PC-based Automation Nov. 2015 Seite 38 IPC WinAC RTX WinAC RTX F S7-150xS S7-1500 Software Controller Industrie Workshop PC-based Automation Nov. 2015 Seite 51 EWF / FBWF aktiviert IPC WinAC RTX WinAC RTX F S7-150xS Diagnose- und Konfigurations-Daten im „Station Manager“ muss passend konfiguriert werden, um nicht auf einem EWF-geschützten Datenträger zu speichern. 1. Rechtsklick auf “PC-Station+” in der Taskleiste Pfad für Konfigurationsdaten ändern >> Eigenschaften >> Konfigurationen Pfad ändern 2. EWF / FBWF aktivieren Industrie Workshop PC-based Automation Nov. 2015 Seite 52 PC-Station+ und S7-1500 SW-Controller IPC WinAC RTX S7-1500 SW-Controller: Programm und Konfigurationen wird direkt aus TIA Portal heruntergeladen! Zielsystem: Industrie Workshop PC-based Automation Nov. 2015 Seite 53 Engineering: WinAC RTX F S7-150xS Zusammenfassung Industrie Workshop PC-based Automation Nov. 2015 Seite 54 Weiterführende Quellen “Industrial Security Sales Information Kit” (Video) URL: http://support.automation.siemens.com/WW/view/de/90735056 “Industrial Security” URL: www.siemens.de/industrialsecurity “Security Leitfaden für PC-basierte Automatisierungssysteme mit Windows Embedded Betriebssystemen“ URL: http://support.automation.siemens.com/WW/view/de/55390879 “Optimale Sicherheitseinstellungen für PCs im Industrieumfeld“ URL: http://support.automation.siemens.com/WW/view/de/109475014 Industrie Workshop PC-based Automation Nov. 2015 Seite 55 Zusammenfassung (1) IPC WinAC RTX WinAC RTX F S7-150xS 1) BIOS a) P-States und C-States deaktivieren b) Hyperthreading: aktiviert: für ausgewogene Leistung von SPS und Windows deaktiviert: für beste Deterministik des Verhaltens der SPS (WinAC RTX) 2) Windows Konfigurationen a) Administrator- und Benutzerkonto Konzept b) Zugriff auf Windows-Funktionalität beschränken mit Group Policy Object (GPO) (z.B. Task-Manager entfernen) c) Reduzieren CPU-Last durch Deaktivierung der Visuellen Effekte von Windows d) Timeout von Windows Boot Manager für WinAC RTX (F) reduzieren e) RDP-Protokolle Konfigurieren/Aktivieren für Remoteeinstellungen (Benutzerkonto-Passwort erforderlich) Industrie Workshop PC-based Automation Nov. 2015 Seite 56 Zusammenfassung (2) IPC WinAC RTX WinAC RTX F S7-150xS 3) Nützliche Windows Tools a) Enhanced Write Filter (EWF / FBWF) nutzen, um Dateisystem gegen Schreibvorgänge zu schützen § Schreibzugriffe auf geschützte Laufwerke reduzieren (z.B. Log-Dateien, Rezepte, Konfigurationen, etc. ) b) Windows-Firewall konfigurieren (z.B. Webserver zugriffe via Port 81 für S7-1500 Software Controller aktivieren) 4) SIMATIC NET a) Deaktivieren aller nicht benötigten Protokolle 5) S7-1500 Software Controller 1) Webserver zugriffe via Port 81 für S7-1500 Software Controller durch Windows-Firewall aktivieren 2) PC -Station+ ermöglicht Download von Programm und Konfigurationen ohne die Notwendigkeit von weiteren Konfigurationen auf dem Zielsystem 3) EWF / FBWF: SIMATIC Konfigurationen Pfad ändern zu ungeschütztem Laufwerk Industrie Workshop PC-based Automation Nov. 2015 Seite 57