Kompendium Teil F - Industrial Security (V8.1) - Service
Contents
1. 5 2 168 192 in addr arpa Active Direct Reverse Lookup Zones 5 2 168 192 in addr arpa Conditional Forwarders ZB File Services Features Diagnostics 7 Configuration Storage G e e Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 141 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Weitere Einstellungen und Kontrolle der DNS Namensaufl sung Um zu berpr fen ob die DNS Namensaufl sung richtig funktioniert steht das Tool nslookup Name Server look up zur Verf gung 1 ffnen Sie ein Eingabeaufforderungsfenster cmd und geben dort den Befehl nslookup ein cx Administrator C Windows system32 cmd exe nslookup Users Administrator gt ns lookup NS request timed out timeout was 2 seconds efault Server UnKnown ddress 1 gt Die Reaktion auf den Befehl nslookup zeigt dass der Server versucht die DNS Namensaufl sung ber das TCP IPv6 Protokoll zu bewerkstelligen Kompendium Teil F Industrial Security V8 1 142 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 2 Um die DNS Namensaufl sung auf das TCP IPv4 Protokoll umzustellen ffnen Sie die Eigenschaften des Internet Protocol Version 6 TCP IPv6 In diesem Eigenschaften2. Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 123 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 6 5 Einleitung 124 0SC4 Im SIMATIC S7 400 ocs vcs2 OS Client Firewall IE SCALANCE S li irewall 4 SCALANCES Domain Domain Controller Aus Verf gbarkeitsgr nden wird empfohlen einen Domain Controller redundant aufzubauen Des Weiteren soll ein redundantes Domain Controller Paar in jedem Subnetz bzw in jeder Sicherheitszelle implementiert werden F r die Musterkonfiguration ergibt sich dadurch die folgende nderung ZEN Enterprise Control Network OS Web Client Corporate Firewall E IT simatic TT O Suito Suite Web Publishing gA cs A ee Bm Ba ia ee oa im I It rs J cit E L T ap m p u MT T Domain UT IT SIMATIC IT Firewall os Virus Scan Server Domain Controller Server SQL Server TMG Web Server ePo Station Controller Manufacturing Perimeter Network Operations Network Microsoft Patch Server NN WSUS Server T hil Infrastructure Server Quarantine PC File Server a De a I 1 ZN TI os cient OS Client OS Client osci osc2 0803 C i a ad Back E Firewall 1 TMG Controller Process Control Network Engineering Station ES1 VPN a Tunnel Control System Net
3. Name Action Protocols From To 192 168 2 203 Perimeter WSUS to PCN2 OS Server Allow HTTP WSUS OS Server 1 HTTPS 192 168 2 201 192 168 2 141 192 168 2 142 PCN2 OS Server to Perimeter WSUS Allow HTTP OS Server WSUS 1 HTTPS 192 168 2 141 192 168 2 201 192 168 2 142 Perimeter Virenscan Server to PCN2 Allow HTTP PatternUpdate OS Server OS Server 1 HTTPS 192 168 2 204 192 168 2 141 192 168 2 142 PCN2 OS Server to Perimeter Vi Allow HTTP OS Server PatternUpdate renscan Server 1 HTTPS 192 168 2 141 192 168 2 204 192 168 2 142 PCN2 OS Server to Perimeter OS Allow IPSec OS Server OS WebNavigator WebNavigator 1 192 168 2 141 192 168 2 203 192 168 2 142 Allow Web Servers to access PCN1 1 Allow IPSec OS WebNavigator OS Server 192 168 2 141 192 168 2 142 1 Die Verwendung des Protokolltyps IPSec setzt voraus dass entsprechend dem Sicherheitskonzept zwischen den Komponenten in den verschiedenen Sicherheitszellen eine zertifikatsbasierte signierte Verbindung mittels IPSec besteht Besteht eine solche Verbindung nicht kann auch All outbund traffic eingestellt werden Allerdings verzichtet man bei einer solchen FW Regel auf die Portfilterung In der Musterkonfiguration ist nur eine Engineering Station in der Sicherheitszelle DCS1 vorhanden die auch f r die Projektierung der OS Server OSS3A und OSS3B eingese
4. is View the health of the roles installed on your server and add or remove roles and features 4 E A Windows Firewall with Adve An EEE ij WMI Control E de Local Users and Groups A Roles 1of 17 installed BB Add Roles E Users Remove Roles Groups File Services E3 Storage File Services File Services Help Provides technologies that help you manage storage enable file replication manage shared folders ensure fast file searching and enable access for UNIX dient computers Role Status E Go to File Services Messages None System Services All Running Events None in the last 24 hours Role Services 1 installed E Add Role Services Status o BR Remove Role Services Installed Not installed DFS Namespaces Not installed DFS Replication Not installed File Server Resource Manager Not installed Der Add Roles Wizard wird ge ffnet 3 Klicken Sie im ersten Dialog auf die Schaltflache Next Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 127 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 4 Aktivieren Sie im Dialog Select Server Roles die Option Active Directory Domain Services und klicken Sie auf die Schaltfl che Next Add Roles Wizard 5 Mit der Schaltfl che Next navigieren Sie durch weitere Einstellungen des Wizards F r PCS 7 m ssen dabei keine speziellen Einstellungen vorgeno
5. Klicken Sie im linken Navigationsbereich des Dialogs auf den Eintrag Adaptereinstellungen ndern Der Dialog Netzwerkverbindungen wird ge ffnet ffnen Sie die Statusanzeige der entsprechenden Netzwerkverbindung Process Control Netzwerk 1 oder 2 Perimeter Netzwerk oder Manufacturing Operations Netzwerk durch einen Doppelklick auf das entsprechende Symbol Die Statusanzeige der Netzwerkverbindung wird ge ffnet Klicken Sie auf die Schaltfl che Eigenschaften Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Eigenschaftsdialog der ausgew hlten Netzverbindung wird ge ffnet W hlen Sie das Element Internet Protocol Version 4 TCP IPv4 an und klicken auf die Schaltfl che Eigenschaften Der Eigenschaftendialog des Elements Internet Protocol Version 4 TCP IPv4 wird ge ffnet W hlen Sie die Option Folgende IP Adresse verwenden aus und geben Sie im Feld IP Adresse die IP Adresse des entsprechenden Computers an Geben Sie im Feld Subnetzmaske die Subnetzmaske des Computers ein Best tigen Sie die nderungen mit der Schaltfl che OK Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 23 Netzwerksicherheit 4 2 Adressierung und Segmentierung Beispiel In der folgenden Abbildung wird ein Rechner adressiert der sich im Pr
6. BranchCache Gehosteter Cacheclient HTTP ausgehend E berwachung BranchCache Gehosteter Cacheserver HTTP ausgehend E Firewall BranchCache Inhaltsabruf HTTP ausgehend u BranchCache Peerermittlung WSD ausgehend Hauptmodus Computernamen Registrierungsdienst von Windows Teamarbeit PNRP Schnellmodus Computernamen Registrierungsdienst von Windows Teamarbeit SSDP Datei und Druckerfreigabe Echoanforderung ICMPv4 ausgehend Datei und Druckerfreigabe Echoanforderung ICMPv4 ausgehend Datei und Druckerfreigabe Echoanforderung ICMPv4 ausgehend Datei und Druckerfreigabe Echoanforderung ICMPv6 ausgehend Datei und Druckerfreigabe Echoanforderung ICMPv6 ausgehend Datei und Druckerfreigabe Echoanforderung ICMPv6 ausgehend Datei und Druckerfreigabe LLMNR UDP ausgehend Datei und Druckerfreigabe LLMNR UDP ausgehend Datei und Druckerfreigabe NB Datagramm ausgehend Datei und Druckerfreigabe NB Datagramm ausgehend Datei und Druckerfreigabe NB Datagramm ausgehend 6 Datei und Druckerfreigabe NB Name ausgehend 4 Offnen Sie die Eigenschaften einer aktiven Datei und Druckerfreigabe Regel durch Doppelklick Der Eigenschaftsdialog dieser Regel wird ge ffnet Kompendium Teil F Industrial Security V8 1 80 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 4 Windows Firewall 5 ffnen Sie das Register Bereich Im Bere
7. Das Kompendium ist in die folgenden Teile gegliedert e Projektierungsleitfaden inkl Checkliste e Process Safety inkl zwei Checklisten e Technische Funktionen mit SFC Typen e Betriebsf hrung und Wartung inkl Checkliste e Hardware Aufbau inkl Checkliste e Industrial Security Dieses Handbuch ber cksichtigt die in der SIMATIC PCS 7 Dokumentation und im Speziellen die im Sicherheitskonzept PCS 7 amp WinCC enthaltenen Aussagen Es kann bei mit SIMATIC PCS 7 automatisierten Anlagen und Projekten genutzt werden Der Projektierungsleitfaden ist g ltig ab SIMATIC PCS 7 V8 1 SIMATIC PCS 7 Dokumentation Die Gesamtdokumentation von PCS 7 steht Ihnen kostenlos und mehrsprachig im PDF Format unter www siemens de pcs7 dokumentation zur Verf gung Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Vorwort Gegenstand von Teil F Industrial Security Im Produktions und Automatisierungsumfeld geht es in erster Linie um die Verf gbarkeit der Anlage Der Schutz von Informationen oder Daten stehen erst an zweiter Stelle Die Industrial Security darf im Automatisierungsumfeld nicht auf Informationssicherheit reduziert werden Die bermittelten Informationen steuern und berwachen unmittelbar und deterministisch physikalische und oder chemische Prozesse Aus diesem Grund ist bei einer Betrachtung der m glichen IT bedingten Sch den im Produktionsumfeld die eigentliche Information verg
8. Dies stellt ein gro es Problem f r die Sicherheit dar da Code ohne das Wissen des Benutzers ausgef hrt werden kann Das Standardverhalten von Windows Vista sieht daher vor den Benutzer zur Best tigung aufzufordern ob der AutoAusf hren Befehl ausgef hrt werden soll Der AutoAusf hren Befehl wird im Dialogfeld der automatischen Wiedergabe als Handler dargestellt Wenn Sie diese Richtlinie aktivieren kann ein Administrator das AutoAusf hren Standardverhalten von Windows Vista wie folgt ndern 7 Best tigen Sie die Einstellungen mit der Schaltfl che OK 8 Starten Sie anschlie end den Rechner neu Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 107 Systemh rtung 5 7 Whitelisting 5 7 Whitelisting Einleitung Der Ansatz des Whitelisting besteht darin dass auf dem Rechnersystem nur Anwendungen ausgef hrt werden die als vertrauensw rdig gelten Diese Anwendungen werden in einer Positivliste Whitelist gepflegt Aufgrund der Positivliste ist bei Withelisting ein standiges Anpassen an neue Bedrohungen in Form von Schadsoftware nicht notwendig McAfee Application Control Mit McAfee Application Control k nnen nicht autorisierte Anwendungen auf Servern und Workstations blockiert werden Dies bedeutet dass nach der Installation und Aktivierung von McAfee Application Control auf einem Rechnersystem alle ausf hrbaren Dateien vor Ver nderung gesch tzt sind und verhi
9. Network Intrusion Prevention Network Intrusion Detection System Ein Intrusion Detection bzw Intrusion Prevention System IDS IPS ist ein wesentlicher Bestandteil eines modernen sicheren Web Gateways Das Network Inspection System NIS in Microsoft Forefront TMG 2010 ist eine Umsetzung der IDS IPS Funktionalitat NIS ist speziell auf die Erkennung und Unterbindung von Angriffen auf Microsoft Betriebssystemen und Anwendungen konzipiert NIS basiert auf Signaturen die durch das Microsoft Malware Protection Center MMPC entwickelt und Uber Windows Update oder WSUS verteilt werden NIS in Microsoft Forefront TMG 2010 bietet diesen Schutz vor bekannten Angriffen durch die Low Level Netzwerkprotokoll Inspektion Jedes Datenpaket wird auf Protokollstatus Struktur und Inhalt der Nachricht analysiert Das NIS berpr ft das empfangene Datenpaket erst nachdem es durch die Firewall Policy und evtl zugeordnete Web bzw Anwendungsfilter berpr ft wurde Weitere Informationen 42 Das komplette Angebot zur Automation Firewall finden Sie im PCS 7 Add on Katalog Diesen Katalog k nnen Sie ber die SIMATIC PCS 7 Webseite https www automation siemens com mcms process control systems de simatic pcs 7 Pages simatic pcs 7 aspx herunterladen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 4 6 Sichere Kommunikatio
10. Verf gbare Zuweisungstypen Verf gbare Gruppen und Benutzer Gruppen und Benutzer Gruppen und Benutzer Dom ne Rechner Beschreibung E 89 ESo1vMO1 dieser Computer Administrator ES01VMO1 Built in account for Administrator B administrators ESO1VMO1 Administrators have Administrators Backup Operators ESO1VMO1 Backup Operators c Backup Operators Distributed COM ESOLvMOL Members are allowe amp on Esuser ESO1VMOL Engineering User Guest Guest ESO1YMO1 Built in account for ei Guests B Guests ESO1VMO1 Guests have the sa Hauptbenutzer Hauptbenutzer EsoivmMd1 Hauptbenutzer HelpServicesGroup HelpservicesGroup ESO1VMO1 Group For the Help Lannan Adminiekenkae B Logon_Administra ESO1VMOL SIMATIC Logon Ad b PB network Canfinr FSnivMint Members in thic arn zl Kompendium Teil F Industrial Security V8 1 170 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners Einstellung des Zugriffsschutzes Die folgenden Einstellungen f r den Zugriffschutz sind im SIMATIC Manger pro Projekt und Bibliothek vorzunehmen Der Abgleich ber ein gesamtes Multiprojekt ist m glich Netzadressbereich Beschreibung Ausf hrbar mit Benutzerrolle Zugriffsschutz aktivieren inklusive Projektpasswort festlegen e Schaltet den Zugriffsschutz f r ein bestimm
11. den Befehl FTP Site hinzuf gen Der Dialog FTP Site hinzuf gen wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 61 Netzwerksicherheit 62 4 6 Sichere Kommunikation zwischen Sicherheitszellen 5 Geben Sie im Dialog FTP Site hinzuf gen einen Namen f r die FTP Site und den physikalischen Pfad zum erstellten Verzeichnis D Datenaustausch ein FTP Site hinzufiigen wi Siteinformationen 6 Klicken Sie auf die Schaltflache Weiter Der Dialog Bindungs und SSL Einstellungen wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 7 Nehmen Sie im Dialog Bindungs und SSL Einstellungen die folgenden Einstellungen vor Bereich Bindung Feld IP Adresse W hlen Sie den Eintrag Keine zugewiesen aus der Klappliste aus Bereich SSL Aktivieren Sie die Option Kein FTP Site hinzuf gen wi Bindungs und SSL Einstellungen Za 8 Klicken Sie auf die Schaltflache Weiter Der Dialog Authentifizierungs und Autorisierungsinformationen wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 63 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 9 Nehmen Sie im Dialog Authentifizierungs und Autorisierun
12. 0 192 168 2 200 S612 V4 191 0 0 202 IP Adresse 191 0 0 201 255 255 0 0 192 163 1 200 255 255 255 0 Kompendium Teil F Industrial Security V8 1 50 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen VPN Gruppe projektieren Zwei Security Baugruppen k nnen einen IPSec Tunnel f r die gesicherte Kommunikation aufbauen wenn sie im Projekt der gleichen Gruppe zugeordnet sind Um eine Tunnelverbindung zu projektieren gehen Sie folgenderma en vor 1 Selektieren Sie im Security Configuration Tool den Eintrag VPN Gruppen und w hlen Sie im Kontextmen den Befehl Einf gen gt Gruppe Eine VPN Gruppe wird angelegt Die VPN Gruppe erh lt automatisch den Namen Gruppe 05 03 2037 612 V4 Baugruppel wird sich mit den stehenden Baugruppen ber diese IPSec Einstellungen verbinden unten Phase 1 Main Modus SHAN 3DES und Phase 2 SHA1 3DES Initiator Responder Baugruppe2 Extern 191 0 0 201 Extern 191 0 0 202 Aktueller Benutzer CMLener Aktuelle Rolle administrator Standard Modus Offline 2 Selektieren Sie im Navigationsbereich den Eintrag Alle Baugruppen 3 Selektieren Sie im Inhaltsbereich die erste Security Baugruppe und ziehen Sie sie auf die VPN Gruppe Gruppe1 im Navigationsbereich Die Security Baugruppe wird dieser VPN Gruppe zugeordnet Die Farbe des Schl sselsymbols wechselt von grau nach blau 4 Selekti
13. 2 W hlen Sie den Men befehl Bearbeiten gt Objekteigenschaften Das Dialogfeld Eigenschaften Planordner wird ge ffnet 3 Wechseln Sie zum Register Erweitert 4 Aktivieren Sie die Option ES Protokoll aktiv 5 Klicken Sie auf die Schaltfl che OK Kompendium Teil F Industrial Security V8 1 174 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners Im ES Protokoll wird Folgendes protokolliert e Jede Aktion wird in einer Hauptzeile gefolgt von den Zeilen des Grundes und dem Protokoll der Aktion z B Ladeprotokoll chronologisch fortlaufend protokolliert Die letzte Aktion steht in der obersten Zeile e Bei der Aktion Laden gesamtes Programm wird das ES Protokoll aus dem Protokoll gel scht gleichzeitig aber mit einer Datumskennung als Datei archiviert Die Archivierungsaktion und der verwendete Dateiname einschlie lich Pfad werden im Protokoll festgehalten e Bei der Aktion Testmodus ein werden alle folgenden Aktionen die zu einer Ver nderung Wert nderung in der CPU f hren protokolliert Als Aktion wird protokolliert welcher Wert wie ge ndert wurde Adresse alter Wert neuer Wert Das sind im Einzelnen ImCFC Parametrierung von Anschl ssen Forcen aktivieren deaktivieren und Force Wert nderungen Ein Ausschalten von Ablaufgruppen ImSFC Parametrierungen von Konstanten in Schritten Parametr
14. Aufl sungscache Adressenzuordnungen aus der lokalen HOSTS Datei enth lt sowie die Na men die ber DNS aufgel st werden sollen DNS Server Server der die Datenbanken mit Zuordnungen von IPv4 Adressen zu Host Namen verwalten Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 29 Netzwerksicherheit 4 3 Namensaufl sung NetBIOS Namensaufl sung mittels Verwendung der Lmhosts Datei Quelle Microsoft Support Center TCP IP Grundlagen f r Microsoft Windows Bei der Lmhosts Datei handelt es sich um eine statische Textdatei mit NetBIOS Namen und IPv4 Adressen NetBT verwendet die Lmhosts Datei um NetBIOS Namen f r NetBIOS Anwendungen aufzul sen die auf Remote Rechnern in einem Netzwerk ohne NBNS ausgef hrt werden Die Lmhosts Datei weist folgende Merkmale auf e Eintr ge bestehen aus einer IPv4 Adresse und einem NetBIOS Rechnernamen wie z B 131 107 7 29 OSSRVO1 e Bei den Eintr gen wird nicht zwischen Gro und Kleinschreibung unterschieden e Auf jedem Rechner befindet sich jeweils eine eigene Datei im Ordner windir system32 Drivers etc Dieser Ordner enth lt auch eine Lmhosts Beispieldatei Lmhosts sam Sie k nnen eine eigene Datei mit dem Namen Lmhosts erstellen oder Lmhosts sam aus diesem Ordner nach Lmhosts kopieren Um die Netzwerk Broadcasts zu vermeiden sollen die Eintr ge in der Lmhosts Datei mit dem Schl sselwort PRE erfolgen Das Schl sselwort
15. Die Kommunikation zu nicht konfigurierten Geraten oder zu anderen Subnetzen sowie die Nutzung durch nicht konfigurierte Benutzer sind nicht m glich oder stark eingeschr nkt Bei einer Anderung des Anlagenaufbaus oder einer Anderung der Zustandigkeit von Benutzern ist zu beachten dass die lokale Firewall Konfiguration bzw die lokalen Gruppenmitgliedschaften angepasst werden m ssen Durch den Security Controller werden die folgenden Einstellungen automatisch vorgenommen e Group Settings Benutzerverwaltung SIMATIC Logon e Registry Settings e Windows Firewall Exceptions e DCOM Settings e File and or Directory Permissions Kompendium Teil F Industrial Security V8 1 76 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 3 Security Controller Diese Einstellungen werden in Abhangigkeit von der Installation PCS 7 OS Server PCS 7 OS Client ES und f r folgende Software Pakete vorgenommen e Automation License Manager e File and Printer Sharing e SIMATIC Batch e SIMATIC Communication Services e SIMATIC Logon e SIMATIC Management Console e SIMATIC NET PC Software e SIMATIC PC Diagnosis Application e SIMATIC PCS 7 Engineering System e SIMATIC Route Control e SIMATIC SFC Visualization SFV e SIMATIC STEP 7 Components e SIMATIC WinCC e SIMATIC WinCC OPC e SIMATIC WinCC User Archive e SQL Server Version des SQL Servers ist abh ngig von der SIMATIC PCS 7 Version Hinweis Beachten Sie au
16. E Server Manager 1O x Ele Action View Heip 3 AmB View the status of features installed on this server and add or remove features Features Summary Id Features Summary Help A Features 4 of 41 installed ab Add Features 8 Remove Features Remote Server Administration Tools Role Administration Tools AD DS and AD LDS Tools AD DS Tools AD DS Snap Ins and Command Line Tools Active Directory Administrative Center Active Directory module for Windows PowerShell DNS Server Tools NET Framework 3 5 1 Features NET Framework 3 5 1 re Last Refresh Today at 09 48 Configure refresh Kompendium Teil F Industrial Security V8 1 146 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Der Dialog Add Features Wizard wird ge ffnet 3 Selektieren Sie im Dialog Select Features das Feature WINS Server und klicken Sie anschlie end auf die Schaltfl che Next Add Features Wizard C Subsystem for UNIX based Applications J Telnet Client O Telnet Server O TFP Client C Windows Biometric Framework C Windows Internal Database C Windows PowerShell Integrated Scripting Environment IE C Windows Process Activation Service E Windows Server Backup Features C Windows Server Migration Tools 4 Klicken Sie im darauffolgenden Dialog Confirm Installation Selections auf die Sc
17. More effici by the KCC Forest trust which allows organizations to easily share gt Ay Youwill be able to add only domain controllers that are running Windows Server 2003 or later to this forest More about domain and forest functional levels 6 Klicken Sie auf die Schaltflache Next Der Dialog Additional Domain Controller Options wird ge ffnet Kompendium Teil F Industrial Security V8 1 134 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 7 Aktivieren Sie die Option DNS server um den DNS Server zu installieren und klicken Sie auf die Schaltfl che Next F Active Directory Domain Services Installation Wizard MV Global catalag J Read only domain controller RODE 8 Mit der Schaltflache Next navigieren Sie durch weitere Einstellungen des Wizard Fur PCS 7 m ssen dabei keine speziellen Einstellungen vorgenommen werden Es k nnen die Standardeinstellungen bernommen werden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 135 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 9 Im Dialog Directory Services Restore Mode Administrator Password legen Sie das Passwort f r den Administrator DSRM fest wenn der Domain Controller im Directory Services Restore Mode gestartet wird Active Directory Domain Services Installation Wizard Directory Servi
18. Or yy v Systemsteuerung System und Sicherheit Windows Firewall v Systemsteuerung durchsuch Startseite der Systemsteuerung Den Computer mithilfe der Windows Firewall sch tzen Ein Programm oder Feature durch Mithilfe der Windows Firewall kann verhindert werden dass Hacker oder b swillige Software ber das Internet bzw ein die Windows Firewall zulassen Netzwerk Zugriff auf den Computer erhalten i Benachrichtigungs Wie tr gt eine Firewall zum Schutz des Computers bei _ einstellungen ndern Was sind Netzwerkstandorte Windows Firewall ein oder Da ausschalten m iv Heim oder Arbeitsplatznetzwerke privat Nicht verbunden Standard wiederherstellen 2 PAs a fa Erweiterte Einstellungen m a ffentliche Netzwerke Verbunden Problembehandlung f r Netzwerk Netzwerke an ffentlichen Orten beispielsweise Flugh fen oder Cafes Status der Windows Firewall Ein Eingehende Verbindungen Alle Verbindungen mit Programmen blockieren die nicht in der Liste zugelassener Programme vorhanden sind Aktive ffentliche Netzwerke Unidentified network Benachrichtigungsstatus Nicht benachrichtigen wenn ein neues Programm von der Windows Firewall blockiert wird Kompendium Teil F Industrial Security V8 1 78 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 4 Windows Firewall 2 Klicken Sie im linken Navigationsbereich auf Erweiterte Einstellungen Geben Sie das Administratorenpa
19. Um nicht ben tigte Windows Komponenten zu deinstallieren gehen Sie folgenderma en vor 1 W hlen Sie im Windows Startmen den Befehl Start gt Systemsteuerung gt Programme gt Programme und Funktionen Der Dialog Programme deinstallieren oder ndern wird ge ffnet ipl Programme und Funktionen ol x GU a Programme Programme und Funktionen X Programme und Funktionen durchsuchen Startseite der Systemsteuerung Programm deinstalli ies San Installierte Updates anzeigen Wahlen Sie ein Programm aus der Liste aus und klicken Sie auf Deinstallieren ndern oder Reparieren um es zu deinstallieren Windows Funktionen aktivieren oder deaktivieren Programm vom Netzwerk Organisieren v vy installieren N a 72 3 Microsoft NET Framework 4 Client Profile m Microsoft NET Framework 4 Extended Ga Microsoft Office 2003 Web Components jB Microsoft Report Viewer Redistributable 2008 SP1 a Microsoft ReportViewer 2010 SP1 Redistributable J Microsoft SQL Server 2005 J Microsoft SQL Server 2005 Backward compatibility 3 Microsoft SQL Server 2008 R2 64 bit J Microsoft SQL Server 2008 R2 Native Client J Microsoft SQL Server 2008 R2 Policies J Microsoft SQL Server 2008 R2 Setup English J Microsoft SQL Server 2008 Setup Support Files J Microsoft SQL Server Browser 5 Microsoft SQL Server Compact 3 5 SP2 ENU U5 Microsoft SQL Server Compact 3 5 SP2 Query Tools E J Microsoft SQL Server Nativ
20. ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon OSS1B Lokaler Windows Benutzer der standardm ig permanent am OS Server OSS1B angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon OSS2 Lokaler Windows Benutzer der standardm ig permanent am OS Server OSS2 angemeldet ist geratespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon OSS3A OSS3B Lokaler Windows Benutzer der standardm ig permanent am OS Server OSS3A angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon Lokaler Windows Benutzer der standardm ig permanent am OS Server OSS3B angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 119 Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern Die folgende Tabelle zeigt welchen unterschiedlichen Benutzergruppen die 0 g Benutzer zugeordnet werden m ssen Rechner ES1 OSC1 OSC2 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B Lokale Gruppe Administra ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 toren Benutzer E
21. ne Station den FTP Dienst zu aktivieren gehen Sie folgenderma en vor 1 W hlen Sie im Windows Startmen den Befehl Start gt Systemsteuerung gt Programme gt Programme und Funktionen Der Dialog Programme deinstallieren oder ndern wird ge ffnet 2 Klicken Sie im Navigationsbereich auf den Eintrag Windows Funktionen aktivieren oder deaktivieren Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie bereits als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Windows Funktionen wird ge ffnet 3 Aktivieren Sie im Bereich Internetinformationsdienste gt FTP Server die Funktion FTP Dienst 4 Aktivieren Sie im Bereich Webverwaltungstools die Funktionen IIS Verwaltungskonsole und IIS Verwaltungsdienst ip Programme und Funktionen 10 x GO TE a R29 Programme und Funktionen durchsuchen el Startseite der Systemsteuerung Programm deinstallieren oder ndern Installierte Updates anzeigen ein Programm Liste aus und patie ne E installieren ndern oder Reparieren um es zu deinstallieren Windows Funktionen aktivieren oder deaktivieren Programm vom Netzwerk Organisieren v de v installieren En Windows Funktionen 10 x Verwenden Sie die Kontrollk stchen um die entsprechenden Funktionen ein oder auszuschalten Ein ausgef lltes Kontrollk stchen bedeutet dass eine Funktion nur tei
22. 141 Engineering Control Station ES1 VPN System pam Tunnel Network SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H Firewall Firewall SCALANCE S SCALANCE S Kompendium Teil F Industrial Security V8 1 36 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen Um einen uneingeschr nkten Betrieb zu gew hrleisten ist ein Datenaustausch zwischen den unterschiedlichen Sicherheitszellen notwendig Um diesen Datenaustausch zu gew hrleisten m ssen in den Firewalls die als Zugangspunkt zu den Sicherheitszellen fungieren entsprechende Zugriffsregeln hinterlegt werden Der folgenden Tabelle kann der notwendige sicherheitszellen bergreifende Datenaustausch entnommen werden Sicherheitszelle Sicherheitszelle ber Zweck Perimeter DSC1 Back Firewall 1 e Verteilung der Windows Updates Sicherheitsupdates und kritische Updates mittels PCS7WSUS auf alle Rechner innerhalb des PCN1 e Verteilung der Virensignaturdateien mittels VSCAN auf alle Rechner innerhalb des PCN1 e Kommunikation zw PCS7WEBSRV1 und OSS1A B OSS2 und ES1 e Dateitibertragung zw QPC und ES1 Perimeter DCS2 Back Firewall 2 e Verteilung der Windows Updates Sicherheitsupdates und kritische Updates mittels PCS7WSUS auf alle Rechner innerhalb des PCN2 e Verteilung der Virensignaturdateien mittels VSCAN auf alle Rech
23. 2 91 192 168 2 142 PCN2 OS Server to PCN OS Client 2 Allow IPSec OS Server ES Client 192 168 2 141 192 168 2 92 192 168 2 142 PCN2 OS Server to PCN OS Client 3 Allow IPSec OS Server ES Client 192 168 2 141 192 168 2 93 192 168 2 142 PCN2 OS Server to PCN OS Client 4 Allow IPSec OS Server ES Client 192 168 2 141 192 168 2 94 192 168 2 142 PCN OS Client to PCN2 OS Server 1 Allow IPSec ES Client OS Server 192 168 2 91 192 168 2 141 192 168 2 142 PCN OS Client to PCN2 OS Server 2 Allow IPSec ES Client OS Server 192 168 2 92 192 168 2 141 192 168 2 142 PCN OS Client to PCN2 OS Server 3 Allow IPSec ES Client OS Server 192 168 2 93 192 168 2 141 192 168 2 142 PCN OS Client to PCN2 OS Server 4 Allow IPSec ES Client OS Server 192 168 2 94 192 168 2 141 192 168 2 142 1 Die Verwendung des Protokolltyps IPSec setzt voraus dass entsprechend dem Sicherheitskonzept zwischen den Komponenten in den verschiedenen Sicherheitszellen eine zertifikatsbasierte signierte Verbindung mittels IPSec besteht Besteht eine solche Verbindung nicht kann auch All outbund traffic eingestellt werden Allerdings verzichtet man bei einer solchen FW Regel auf die Portfilterung Kompendium Teil F Industrial Security V8 1 40 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 5 Zugangsp
24. 6 Sichere Kommunikation zwischen Sicherheitszellen In den von SCALANCE S gesch tzten internen Netzen stellen IPSec Tunnel den Knoten f r eine gesicherte Datenverbindung durch das unsichere externe Netz zur Verf gung Der Datenaustausch der Ger te ber die IPSec Tunnel im VPN hat dadurch folgende Eigenschaften e Die ausgetauschten Daten sind abh rsicher und somit ist die Vertraulichkeit der Daten gesichert e Die ausgetauschten Daten sind verf lschungssicher somit ist die Integrit t der Daten gesichert e Authentizit t SCALANCE S verwendet f r das Tunneling das IPSec Protokoll Tunnelmodus von IPSec Hinweis Weitere Informationen zu SCALANCE S finden Sie im Handbuch SIMATIC NET Industrial Ethernet Security Grundlagen und Anwendung https support industry siemens com cs ww de view 67437017 Kompendium Teil F Industrial Security V8 1 44 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 4 6 2 2 Musterkonfiguration Aufbau einer sicheren Kommunikation zwischen Sicherheitszellen mit SCALANCE S Einleitung In diesem Beispiel wird die Tunnelfunktion in der Projektierungssicht Standard Modus projektiert SCALANCE S Modul 1 und SCALANCE S Modul 2 bilden in diesem Beispiel die beiden Tunnelendpunkte f r die gesicherte Tunnelverbindung Die folgende Abbildung zeigt beispielsweise einen VPN Tunnel IPSec Tunnel mit zwei SCALANCE S Mo
25. 7 erfolgen Die Installation soll mit den tats chlichen Einstellungen bzgl Rechnername IP Adresse Subnetzmaske usw erfolgen Die gesamte Installation und Konfiguration der Domain soll durchgef hrt werden bevor der erste PCS 7 Rechner in die Domain aufgenommen wird Der erste Computer soll erst 24 Stunden nach Installation und Konfiguration der Domain in diese aufgenommen werden sodass sich alle Domain Controller komplett synchronisieren k nnen Vor der Aufnahme des ersten PCS 7 Rechners in die neue Domain sollen die Event Logs kontrolliert werden Beim Erkennen von Problemen Fehlern sollen diese zuerst gel st werden Rechnernamen der Domain Controller Zur Einstellung des Rechnernamens gehen Sie wie im Kapitel Namensaufl sung Seite 26 beschrieben vor Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 125 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Statische IP Adresse Die Domain Controller erhalten eine statische feste IP Adresse Gehen Sie daf r wie im Kapitel Musterkonfiguration Einstellung der IP Adressen und der Subnetzmaske Seite 23 beschrieben vor In dem Dialog in dem die IP Adresse und die Subnetzmaske eingestellt werden muss auch die IP Adresse des Bevorzugten DNS Servers eingestellt werden Geben Sie hier die gleiche IP Adresse ein die Sie f r den Domain Controller als statische IP Adresse eingestellt haben Die folgen
26. 8 xj DOEDE p Sloe doe MS Win PS 407 10A Eigenschaften GBIT R0 S6 1 Kurzbezeichnung GBIT f H Ger tename BIT Eigenschaften Ethernet Schnittstelle GBIT RO S6 1 x Algemein Parameter I MAC Adresse einstellen ISO Protokoll verwenden E MAC Adresse Ger tenummer 0 Adresse 192 168 1 1 IP Adresse fiz1s811 Pen T Subnetzmaske 255 255 2550 Router verwenden Adresse 1192 168 1 200 6ES7 410 5HX08 0ABO Se re If HSyneModl 2 6ES7 960 1AA06 0xA0 U omea Kiah OOT ACN AAAA AN Dr cken Sie F1 um Hilfe zu erhalten nn Pn jan YZ Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 47 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Projekt und Security Baugruppen anlegen 48 Die Module SCALANCE S werden mit dem Projektierungswerkzeug Security Configuration Tool konfiguriert Um das Projekt und die Module f r die Musterkonfiguration anzulegen gehen Sie folgenderma en vor 1 2 3 Starten Sie die Projektierungssoftware Security Configuration Tool Erstellen Sie ein neues Projekt ber den Befehl Projekt gt Neu Legen Sie einen neuen Benutzer mit Benutzernamen und dazugeh rigem Passwort an Dem Benutzer wird automatisch die Rolle Administrator zugewiesen Best tigen Sie die Eingaben mit OK Ein neues Projekt wird angelegt De
27. A5E35032081 AA Netzwerksicherheit 4 2 Adressierung und Segmentierung Beispiel Die vier Rechner mit den IP Adressen 192 168 2 10 192 168 2 100 192 168 2 149 und 192 168 2 201 befinden sich in unterschiedlichen Subnetzen zwischen denen kommuniziert werden muss Broadcast Adressen im Manufacturing Operations Netzwerk werden somit nicht in die anderen Subnetze bertragen St rungen in einzelnen Subnetzen bleiben lokal auf diese beschr nkt 192 168 2 1 192 168 2 62 192 168 2 193 192 168 2 254 Manufacturing Operations Network Perimeter Network Network 192 168 2 192 Broadcast 192 168 2 255 Network 192 168 2 0 Broadcast 192 168 2 63 192 168 2 65 192 168 2 126 192 168 2 129 192 168 2 190 Firewall 2 TMG Firewall 1 TMG Process Control Network Process Control Network Network 192 168 2 64 Network 192 168 2 128 Broadcast 192 168 2 127 Broadcast 192 168 2 191 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 21 Netzwerksicherheit 4 2 Adressierung und Segmentierung Das Routing zwischen den unterschiedlichen Netzwerken bernehmen in der 0 9 Konfiguration die zwei Back Firewalls Dazu ist die Erstellung einer entsprechenden Netzwerk Regel innerhalb der verwendeten Firewall erforderlich Das folgende Bild zeigt beispielhaft diese Regel im Microsoft Forefront TMG Management E Forefront TMG ald Ble Acton View Help es 2m Bm alarxQ
28. Adresse foo 1 B 1B 00 00 00 IP Adresse ext f191 0 0 201 Subnetzmaske ext 255 255 0 0 Schnittstellenrouting Extern Intern Routing Modus IP Adresse int f192 168 1 200 Subnetzmaske int Kurzbeschreibung ISCALANCE S612 Baugruppe 6GK5 612 0BA10 2AA3 zum Schutz von Ger ten und Netzen in der Automatisierungstechnik und zur Sicherung der industriellen Kommunikation Funktionen VPN 128 Tunnel parallel Stateful Inspection Firewall Routing Adressumsetzung NAT NAPT mame VPN Syslog symbolische Namen PPPoE DNS SNMP benutzerspezifische Firewall Regeln RADIUS ient Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 49 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 9 Wahlen Sie den Mentbefehl Einf gen gt Baugruppe Der Dialog Auswahl einer Baugruppe oder Softwarekonfiguration wird ge ffnet 10 Wiederholen Sie die Schritte f r die zweite Security Baugruppe Vergeben Sie dabei folgende Adressparameter an die Security Baugruppe IP Adresse extern 191 0 0 202 Subnetzmaske extern 255 255 0 0 Schnittstellenrouting Extern Intern Routing Modus IP Adresse intern 192 168 2 200 Subnetzmaske intern 255 255 255 0 Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hilfe Dell elel ce Cg a Subnetzmaske int gruppe ner 255 255 255 0 255 255 0
29. Aufbewahrungsort von Backups Projekt sowie auch System Backups m ssen an einem sicheren Ort aufbewahrt werden Welcher Ort als sicher gilt muss individuell vom Betreiber im Rahmen der organisatorischen Sicherheit IT Security Management Plan festgelegt werden Folgende Punkte sollen bei den berlegungen ber cksichtigt werden e Geb ude e Feuerzonen bzw Feuerbereiche 9 3 Archivierung Backups speziell Projekt Backups sollen archiviert werden Die Festlegungen zur Archivierung von Backups m ssen individuell vom Betreiber im Rahmen der organisatorischen Sicherheit IT Security Management Plan festgelegt werden Hinweis Informationen zum Thema Sichern und Wiederherstellen von Daten finden Sie in folgenden Dokumenten e Handbuch SIMATIC Prozessleitsystem PCS 7 Serviceunterst tzung und Diagnose http support automation siemens com W W view de 90682632 Kapitel Datensicherung e Handbuch SIMATIC Prozessleitsystem PCS 7 Kompendium Teil D Betriebsf hrung und Wartung e FAQ Wie kann im laufenden Betrieb eine Sicherung der OS Systeme erstellt werden http support automation siemens com W W view de 56897157 Kompendium Teil F Industrial Security V8 1 202 Projektierungshandbuch 04 2015 A5E35032081 AA Fernzugriff 10 1 Sichere Fernwartung auf Basis der SIEMENS Remote Service Platform Fernzugriff 1 0 10 1 Sichere Fernwartung auf Basis der SIEMENS Remote Service Platform Einleitung Op
30. Bereich den Dienst den Sie deaktivieren m chten und ffnen durch Doppelklick den Eigenschaftendialog des Dienstes 4 Klicken Sie auf die Schaltfl che Beenden um den Dienst zu beenden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 75 Systemh rtung 5 3 Security Controller 5 W hlen Sie als Starttyp Deaktiviert und best tigen Sie die nderungen durch die Schaltfl che OK Eigenschaften von Windows Farbsystem Lokaler Compute xj Allgemein Anmelden Wiederherstellung Abh ngigkeiten Dienstname WesPluginService Anzeigename Windows Farbsystem Beschreibung We InService Dienst werden In a Pfad zur EXE Datei C WINDOWS system32 svchost exe wessvc Starttyp Deaktiviert Unterst tzung beim Konfigurieren der Startoptionen f r Dienste Dienststatus Beendet Starten Beenden Anhalter Fortsetzen Sie k nnen die Startparameter angeben die Ubemommen werden sollen wenn der Dienst von hier aus gestartet wird Startparameter Fee Abbrechen bemehmen 5 3 Security Controller Der Security Controller ab PCS 7 V8 0 ist ein Programm das anwendungsspezifische Sicherheitseinstellungen vornimmt In SIMATIC PCS 7 und SIMATIC WinCC ist der Security Controller SC standardm ig integriert Die Option dass der SC die Einstellungen automatisch ausf hren darf muss bei der Installation der Programme explizit bestatigt werden
31. Der Verbindungsaufbau erfolgt vom SSL VPN Client zur SIEMENS Remote Service Platform Siemens Remote Service Platform fee ee ce ed IT Infrastructure SS of the Customer Internet Access Point Port 443 Enterprise Corporate Network VPN IPsec Tunnel Connection VPN IPsec Tunnel Connection Customer Process Control Production Network SSL I _______N VPN Client Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 ASE35032081 AA 209 Definitionen und Abk rzungen Die folgende Tabelle zeigt die im Dokument verwendeten Abk rzungen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Abk rzung Erl uterung AD Active Directory Verzeichnisdienst von Microsoft Windows Server CSN Control System Network Anlagenbus DC Domain Controller DMZ Demilitarisierte Zone DNS Domain Name System DSRM Directory Services Restore Mode ECN Enterprise Control Network ERP Enterprise Resource Planning ES PCS 7 Engineering Station FMSO Flexible Single Master Operations IANA Internet Assigned Numbers Authority MES Manufacturing Execution System MON Manufacturing Operations Network MS Microsoft OS Client PCS 7 Operator Station Ausf hrung Client OS Server PCS 7 Operator Station Ausf hrung Server PDC Primary Domain Controller PC
32. IPsec Tunnel Connection ADSL SDSL Modem u of the Internet Service Provider Customer Eee nn Siemens Service Router with Internet Access Data PPPoE with Static or Dynamic IP Address Process Control Production Network Enterprise Corporate Network e Nutzung eines bestehenden Internetzugangs Es wird ein Service Router geliefert der mittels eines vorhandenen Internet Access Point an das Breitbandnetz angebunden wird Diese Verbindung wird als sicherer Zugang zur SIEMENS Remote Service Plattform verwendet Hinter dem Internet Access Point des Kunden wird die VPN IPsec Tunnelverbindung terminiert Der SIEMENS Service Router bildet in diesem Fall den IPsec Tunnel Endpunkt dieser Verbindung F r die sichere Kompendium Teil F Industrial Security V8 1 206 Projektierungshandbuch 04 2015 A5E35032081 AA Fernzugriff 10 3 Anbindungsm glichkeiten an die SIEMENS Remote Service Platform bermittlung der Daten ist eine Weiterleitung der IPSec gesch tzten Daten vom Internet Access Point des Kunden zum SIEMENS Service Router erforderlich Portweiterleitung zum SIEMENS Service Router Siemens Remote Service Platform ADSL SDSL Modem of the Internet Service Provider Enterprise Corporate Network VPN IPsec Tunnel Connection Port Forwarding TCP 22 UDP 500 UDP 4500 IP 50 Customer Process Control Production Network Kompendium Teil F Industrial Security V8 1 Proj
33. In zu ffnen 3 W hlen Sie im darauffolgenden Dialog das Active Directory Users and Computers Snap In und klicken auf die Schaltfl che Add gt Best tigen Sie die Eingabe mit der Schaltfl che OK 4 Klicken Sie in der Management Konsole mit der rechten Maustaste auf den Punkt Active Directory Users and Computers und w hlen Sie im Kontextmen den Befehl Change Domain Controller Console1 Console Root Flle Action View Favorites Window Help 3 3 Gl C Console Root E E Active Directory Users apd Comoutors LANN okap OS TIE 67 oro DJ Active Directory Users and Compu E 1 Saved Queries 3 production 1 enterpr Domain ge All Tasks New Window from Here Refresh Help 5 W hlen Sie im Dialog Change Directory Server den Domain Controller auf den die Rolle transferiert wird und klicken Sie auf die Schaltfl che OK 6 Klicken Sie in der Management Konsole mit der rechten Maustaste auf den Eintrag Active Directory Users and Computers und w hlen Sie im Kontextmen den Befehl All Tasks und darauffolgend auf Operations Master Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 165 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Im Dialog Operations Masters gibt es je einen Register f r die Rollen Infrastruktur Master die RID Master und die PDC Emulator in dem Sie mit der Schaltf
34. Klassifikationen die Wichtige Updates und Sicherheitsupdates im Register Klassifikationen aus Produkte und Klassifizierungen x m Sie k nnen festlegen welche Klassifizierung von Updates _ synchronisiert werden soll Klassifizierungen O lle Klassifizierungen O Definitionsupdates O Feature Packs O Service Packs Sicherheitsupdates O Tools O Treiber O Updaterollups O Updates wichtige Updates Alle Klassifizierungen einschlie lich k nftig hinzugef gter Klassifizierungen Abbrechen bernehmen Kompendium Teil F Industrial Security V8 1 180 Projektierungshandbuch 04 2015 A5E35032081 AA Patchmanagement 7 2 Windows Server Update Service WSUS Hinweis Beim Einsatz einer Industrial Automation Firewall 200 1000 bzw Microsoft Forefront Threat Management Gateway TMG m ssen zus tzlich auch die Definitionsupdates unter Produkte und Klassifizierungen ausgew hlt werden 4 Legen Sie projektspezifische Gruppen f r die Verteilung der Updates in die Anlage entsprechend dem Redundanzkonzept an und weisen Sie diesen Rechnergruppen die einzelnen Rechnersysteme zu Computer Alle Computer amp Nicht zugewiesene Computer Infrastruktur Gruppe 1 Infrastruktur Gruppe 2 a MES Gruppe a PCS 7 Gruppe 1 a PCS 7 Gruppe 2 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 181 Patchmanagement 7 2 Windows
35. Komponenten der Produktionsplanungsanbindung SIMATIC IT werden wiederum in einer separaten Sicherheitszelle MES zusammengefasst Somit ergeben sich f r die Musterkonfiguration insgesamt vier verschiedene Sicherheitszellen DCS1 DCS2 MES und Perimeter die in der folgenden Abbildung gezeigt sind Enterprise Control Network OS Web Client Corporate Firewall z gt o LEa SIMATIC IT SIMATIC IT BATCH Production Production 6 Suite Suite ul I A we 2 Pcs7 i ill Front Firewall OS OS Client SIMATIC IT SIMATIC IT Virus Scan Server OSC4 Server SQL Server TMG Web Server ePo Station Manufacturing Perimeter Operations Network Microsoft Network Patch Server sa A WSUS Server I III ne Firewall d Ha SCALANCE S 1 if um En dein E C 5 Infrastructure Server Quarantine PC File Server r I r m a e ee g OS Client OS Client OS Client osc OSC2 OSC3 Back Back Process Firewall 1 Firewall 2 Control TMG TMG Network Engineering OS Server Control Station ES1 VPN OSS3A System Bsp Tunnel Bsasssasage Network Ar mm OS Server OSS2 OS Server OSS1B OS Server OSS1A TTI T wall Firewall Firewall IN SCALANCE S SCALANCE S iil SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H ocs1 mes 2 DCS 2 Perimeter Kompendium Teil F Industrial Security V8 1 Proje
36. Konfiguration in SCALANCE S laden Test Oa KR WD SCALANCE S und Netzwerke einrichten Um SCALANCE S und die Netzwerkverbindungen einzurichten gehen Sie folgenderma en vor 1 Nehmen Sie den SCALANCE S entsprechend der Betriebsanleitung in Betrieb 2 Stellen Sie die physikalischen Netzwerkverbindungen her indem Sie die Stecker der Netzwerkkabel in die Ports RJ45 Buchsen stecken Verbinden Sie das Control System Netzwerk 1 mit Port 2 von Modul 1 und das Control System Netzwerk 2 mit Port 2 von Modul 2 Verbinden Sie Port 1 von Modul 1 und Port 1 von Modul 2 mit einem Netzwerk Switch und bauen Sie somit das externe Netzwerk auf Schalten Sie die beteiligten Komponenten ein IP Einstellungen der Automatisierungssysteme einrichten Stellen Sie f r die Automatisierungssysteme folgende IPv4 Adresseinstellungen ein Automatisierungssystem IPv4 Adresse SubNet Maske Standardgateway AS 1 192 168 1 1 255 255 255 0 192 168 1 200 AS 2 192 168 2 1 255 255 255 0 192 168 2 200 Kompendium Teil F Industrial Security V8 1 46 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Die folgende Abbildung zeigt beispielhaft wie die IPv4 Adresse des Automatisierungssystems eingestellt wird zz HW Konfig SIMATIC H Station 1 Konfiguration S7Pro_1_Prj lolx GR Station Bearbeiten Einf gen Zielsystem Ansicht Extras Fenster Hilfe
37. OSClient_5 Bei der Verwendung von Autologon zur Anmeldung am Betriebssystem muss dieses Konto verwendet werden F r eine Engineering Station die nicht permanent in Betrieb ist aber von unterschiedlichen Benutzern Engineer zum Projektieren verwendet wird bieten sich personenbezogene Benutzerkonten pro Benutzer Engineer an Hinweis Die Mitgliedschaft in der Administratorengruppe ist nur f r die Installation von PCS 7 und die Konfiguration des Rechners relevant SIMATIC Berechtigungsmodell Alle Rechte an Freigaben und Ordnern die im Zusammenhang mit SIMATIC Produkten stehen k nnen ber das SIMATIC Berechtigungsmodell vergeben werden Dazu werden bereits w hrend der Installation lokale Gruppen angelegt die dann samt den ben tigten Berechtigungen den SIMATIC Objekten hinzugef gt werden Dies vereinfacht die Erteilung der Sicherheitseinstellungen da das jeweilige Benutzerkonto bzw die Gruppe nur der lokalen SIMATIC Gruppe hinzugef gt werden muss In Abh ngigkeit davon welche SIMATIC Produkte installiert werden kann sich die Anzahl der hinzugef gten Gruppen unterscheiden Neben den von SIMATIC angelegten Gruppen ist auch die Mitgliedschaft in der lokalen Standardgruppe Benutzer erforderlich Die Mitgliedschaft in der Benutzergruppe SIMATIC HMI erm glicht zwar den Zugriff auf die Projekte erteilt jedoch nicht die Berechtigung auf das Betriebssystem zuzugreifen oder sich lokal am Desktop anzumelden Kompendium Teil
38. PRE legt fest welche Eintr ge bereits zu Anfang als permanente Eintr ge in den NetBIOS Name Cache geladen werden sollen Durch vorher geladene Eintr ge werden die Netzwerk Broadcasts reduziert da Namen ggf ber den Cache anstatt durch Broadcast Abfragen aufgel st werden k nnen Beispiel 192 168 2 101 OSSRVOIA PRI 192 168 2 102 OSSRVO1B PRI Gl GI NetBIOS Namensaufl sung mit NetBIOS Namenserver 30 Quelle Microsoft Support Center TCP IP Grundlagen fur Microsoft Windows Um NetBIOS Namen von NetBIOS Anwendungen aufzul sen die auf lokalen Rechnern oder auf Remotecomputern ausgef hrt werden wird bei NetBT normalerweise ein NetBIOS Name Server NBNS verwendet Wenn ein NBNS verwendet wird erfolgt die Namensaufl sung wie folgt 1 NetBT berpr ft den NetBIOS Name Cache auf Zuordnungen von NetBIOS Namen zu IPv4 Adressen 2 Wenn der Name mit dem NetBIOS Name Cache nicht aufgel st werden kann sendet NetBT eine NetBIOS Name Query Request Unicast Nachricht an den NBNS die den NetBIOS Namen der Zielanwendung enth lt 3 Wenn der NBNS den NetBIOS Namen zu einer IPv4 Adresse aufl sen kann gibt der NBNS die IPv4 Adresse an den sendenden Host mit einer positiven NetBIOS Name Query Response Nachricht zur ck Wenn der NBNS den NetBIOS Namen nicht zu einer IPv4 Adresse aufl sen kann sendet der NBNS eine negative NetBIOS Name Query Response Nachricht Kompendium Teil F Industrial Security V8 1 Projektierun
39. Server e Zugriffschutz f r IP Kommunikation Diese Option bietet die M glichkeit den Zugriff auf die lokale S7 Station auf Partner mit bestimmten IP Adressen einzuschr nken D h nicht autorisierte Partner haben dadurch keinen Zugang zu der S7 Station Weitere Informationen zum Thema Security bei SIMATIC NET finden Sie im Handbuch Industrial Ethernet Security Security einrichten http support automation siemens com W W view de 60 166939 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 111 Benutzerverwaltung und Bedienberechtigungen 6 1 6 2 bersicht Unter der Verwaltung von Benutzer und Bedienberechtigungen werden die Vergabe der Berechtigungen in der Windows Umgebung und die Zuordnung der Benutzer zu t tigkeitsorientierten Rollen verstanden Diese Verfahren sind konsequent voneinander getrennt werden aber beide streng unter dem Prinzip der minimal ben tigten Rechte angewandt Eine einfache berpr fung kann mit den folgenden Fragen durchgef hrt werden e Wer muss was k nnen e Wer darf was Beim Anmelden am Betriebssystem muss der Benutzer die Rechte erhalten die f r die Bew ltigung seiner Aufgaben erforderlich sind Beim Anmelden am Leitsystem z B an der Bedienstation OS Client oder am Engineering System usw muss der Bediener Engineer die Berechtigungen erhalten die er in seiner Rolle z B als Bediener einer Teilanlage ben tigt Windows Arbei
40. aktiviert und diese restriktiv konfiguriert ist Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 70 5 2 Einleitung Systemh rtung 5 2 Installation des Betriebssystems Installation des Betriebssystems Das Betriebssystem und die SIMATIC PCS 7 Software sind auf den SIMATIC PCS 7 Industrial Workstation IPC bereits vorinstalliert Hinweis Bei einer manuellen Durchf hrung der Installation beachten Sie die in den folgenden Dokumenten beschriebenen Voraussetzungen und Vorgehensweisen e PCS 7 Liesmich http support automation siemens com WW view de 101094704 e Handbuch SIMATIC Prozessleitsystem PCS 7 PC Konfiguration http support automation siemens com WW view de 90635791 Fur einen SIMATIC PCS 7 Rechner der in einer Automatisierungsanlage eine bestimmte Funktion erf llt OS Server OS Client Engineering Station sind bestimmte Programme die durch die Installation des Betriebssystems installiert wurden nicht notwendig Diese Programme sollen deinstalliert werden Hierbei handelt es sich in den meisten Fallen um Windows Komponenten z B Spiele Rechner Notepad WordPad Paint usw Deinstallieren von Windows Komponenten Die folgende Vorgehensweise wird am Beispiel des Betriebssystems Windows 7 beschrieben Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 71 Systemh rtung 5 2 Installation des Betriebssystems
41. das PCS 7 Projekt Multiprojekt inkl aller darin enthaltenen Einzelprojekte lassen sich mit Hilfe des SIMATIC Managers archivieren Abh ngig vom voreingestellten Archivierungsprogramm entsteht bei diesem Vorgang ein ZIP Archiv das die gesamten Projektierungsdaten enth lt Hinweis Die Schritte zur Erstellung eines Projekt Backups und die Vorgehensweise im SIMATIC Manager finden Sie im Handbuch SIMATIC Prozessleitsystem PCS 7 Kompendium Teil A Projektierungsleitfaden Das System Backup enth lt alle Systemdaten f r eine spezifische System Komponente z B f r einen OS Server einen OS Client oder eine Engineering Station Zu diesen Systemdaten geh ren u a e Das Betriebssystem d h alle Daten des Betriebssystems Windows 7 Windows Server 2008 R2 e Alle installierten Programme z B SIMATIC Manager WinCC e Alle notwendigen ger tespezifischen Treiber z B f r Grafik Netzwerk All diese Daten befinden sich in der Regel auf der Systempartition C Somit muss das System Backup ein Backup der gesamten Systempartition C sein Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Sichern und Wiederherstellen von Daten 9 1 Backup Strategie 9 1 2 Intervall der Backup Erstellung Projekt Backup System Backup Mit dem Backup Intervall wird festgelegt wann ein bestimmtes Backup erstellt werden muss Dabei ist das Intervall von der Art des Backups abh ngig Ein Proj
42. der Domain Master Browser und verarbeitet Kennwort nderungen Global Catalog Der Global Catalog ist eine Kopie aller Active Directory Objekte der eigenen und Teile der Active Directory Informationen anderer Domains ACHTUNG Global Catalog und Infrastruktur Master Der Global Catalog darf nicht mit der Rolle Infrastruktur Master auf einem Domain Controller ausgef hrt werden da dieser Dienst deaktiviert werden kann und schwerwiegende Replikationsfehler auftreten k nnen Ausnahme Alle Domain Controller der jeweiligen Domain enhalten den Globalen Katalog Diese Fehlfunktion ist an Fehlermeldungen 1419 im Event Log zu erkennen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Es wird empfohlen die f nf Masterrollen auf die zwei Domain Controller DC1 und DC2 wie folgt aufzuteilen DC1 DC2 Schema Master Infrastruktur Master Domain Naming Master RID Master PDC Emulator Global Catalog Hinweis Die Serverrollenzuweisung Betriebsmaster k nnen mit dem Befehl netdom query fsmo angezeigt werden Schema Master Rolle Um die Schema Master Rolle auf einen anderen Domain Controller zu transferieren muss die Datei Schmmgmt dll registriert werden Anschlie end kann das Active Directory Schema Master Snap In gestartet werden 1 Um die Datei Schmmgm
43. die IP Adresse des Kommunikationspartners ein Wenn Sie die Fire Wall Regeln am OS Server OSS1A konfigurieren geben Sie in diesem Dialog die IP Adresse des OS Web Servers 192 168 2 203 an und best tigen die Eingabe mit der Schaltfl che OK Eigenschaften von Datei und Druckerfreigabe Echoanforderung Ei ch t x Creme H itt Lokales Subnetz 192 168 2203 Entemen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 83 Systemh rtung 5 5 BIOS Einstellungen 8 Best tigen Sie die nderung mit der Schaltfl che OK 9 Passen Sie alle eingehenden und ausgehenden Regeln entsprechend an Eingehende Regeln C2 Datei und Druckerfreigabe Echoanfor Datei und Druckerfreigabe Echoanfor Datei und Druckerfreigabe LLMNR U Datei und Druckerfreigabe NB Datagr Datei und Druckerfreigabe NB Name Datei und Druckerfreigabe NB Sitzun Datei und Druckerfreigabe SMB einge Datei und Druckerfreigabe Spoolerdie Datei und Druckerfreigabe Spoolerdie CB FTP Server Passive FTP Passive Traffic FTP Server Secure FTP SSL Traffic In FTP Server Eingehender FTP Datenver Kernnetzwerk Dynamic Host Configu Kernnetzwerk Dynamic Host Configu Kernnetzwerk Internetgruppenverwalt Gruppe Datei und Druckerfreigabe Datei und Druckerfreigabe Datei und Druckerfreigabe Datei und D
44. die Kommunikation zwischen Web Client und Firewall verschl sselt und somit gegen Manipulation gesch tzt werden F r den Zugriff der Automation Firewall auf den Web Server kann je nach gew nschter interner Sicherheit entweder HTTP oder HTTPS verwendet werden Sollen Web Clients aus einem externen Netz auf den Web Server zugreifen muss dieser an der Front Firewall ver ffentlicht werden Sollen hingegen Web Clients aus einem MES Netz MON zugreifen k nnen erfolgt die Ver ffentlichung an der Back Firewall Hinweis Die Schritte zur Projektierung des OS Web Servers sowie die Einstellungen des Web Clients entnehmen Sie dem Handbuch SIMATIC Prozessleitsystem PCS 7 Web Option http support automation siemens com WW view de 90682846 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 41 Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen Musterkonfiguration Web Ver ffentlichung des PCS 7 Web Server an der Back Firewall Um den PCS 7 Web Server der sich im Perimeter Netzwerk befindet von einem anderen internen Netzwerk z B vom Manufacturing Operations Netzwerk MON per Web Client zu erreichen muss der Web Server an der Back Firewall 1 ver ffentlicht werden Da diese Funktionalit t im Industrial Wizard nicht implementiert ist m ssen Sie in diesem Fall die Ver ffentlichungsregel mittels der Microsoft Forefront TMG Management Konsole in der Back Firewall erstellen
45. glich wieder herzustellen ist die regelm ige Erstellung von Backups notwendig Hierbei werden zwei Arten von Backups unterschieden e Backup der Engineering Daten Projekt Backup e Backup des Systems Beim System Backup wird die Systempartition gesichert Dies bedeutet dass das Volume mit den folgenden Daten gesichert wird Hardwarespezifische Dateien z B Ntldr Boot ini und Ntdetect com Windows Betriebssystemdateien Die Installation des Betriebssystems Die Installation aller Programme 9 1 Backup Strategie Die Backup Strategie muss entsprechend den Ausf hrungen der tiefgestaffelten Verteidigung Siehe Kapitel Konzept der tiefgestaffelten Verteidigung Defense in Depth Seite 11 organisatorisch sowohl f r das Projekt Backup als auch f r die System Backups geplant werden Dabei sind u a die folgenden Punkte zu ber cksichtigen e Umfang der Backups f r Projekt Backup und System Backup e Frequenz zur Erstellung von Backups f r Projekt Backup und System Backup e Ablage bzw Aufbewahrungsort der Backups e Archivierung der Backups Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 199 Sichern und Wiederherstellen von Daten 9 1 Backup Strategie 9 1 1 Umfang der Backups Projekt Backup System Backup 200 Das Projekt Backup umfasst die gesamten Projektdaten Dies bedeutet alle Daten die zu einem SIMATIC PCS 7 Projekt geh ren Diese Daten bzw
46. gt Administrative Tools gt WINS File Action View Help IE ER E WINS Active Registrations Server Status Dl SVW2K8R2STDBA7 192 168 2 Active Registrations E Replication Partners o Active Registrations You can use this space to list the computer and group records that are in the WINS database To list the records dick Action and then dick Display Records In the Display Records dialog box you can filter the records in a variety of ways To filter records by NetBIOS name or IP address dick the Record Mapping tab If you filter by IP address you can also filter by subnet mask To filter records by owner click the Record Owners tab To filter records by type dick the Record Types tab You can also add new record types edit existing record types or delete record types that you have added Die WINS Management Konsole wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 151 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 3 Klicken Sie im linken Bereich mit der rechten Maustaste auf den Punkt Active Registrations und w hlen Sie im Kontextmen den Men punkt Display Records aus IV Filter records matching this Name pattem I Case sensitive match 7 Filter records matching this IP address 7 Match the IP address based on this subnet mask Tee Displaying the records f
47. t installiert werden Dies erfolgt grunds tzlich automatisch wenn das Ger t das erste Mal mit einem Rechner verbunden wird Diese Installation kann ber Gruppenrichtlinien beeinflusst werden e Die Installation von explizit festgelegten Ger ten durch den Anwender kann erlaubt werden Positivliste e Die Installation von explizit festgelegten Ger ten durch den Anwender kann unterbunden werden Negativliste e Der Schreib und Lesezugriff auf mobile Datentr ger wie z B USB Sticks USB HDDs Disketten CD DVD Brenner kann konfiguriert werden Um die Installation eines Ger tes entsprechend den o g F llen durch Gruppenrichtlinien zu beeinflussen ist die Kenntnis der Hardware ID des Ger tes notwendig Hardware ID eines Ger tes zu ermitteln Um die Hardware ID eines Ger tes zu ermitteln gehen Sie folgenderma en vor 1 Verbinden Sie das Ger t mit einem Windows PC und warten Sie die Installation des entsprechenden Treibers ab Die erfolgreiche Installation wird durch die Meldung Das Ger t kann jetzt verwendet werden angezeigt Das Ger t kann jetzt verwendet werden a Die Ger tetreibersoftware wurde erfolgreich installiert AN ei 5 2 ffnen Sie nach erfolgreicher Ger tetreiberinstallation den Ger temanager 3 ffnen Sie den Eigenschaftsdialog des entsprechenden Ger tes und klicken Sie auf die Registerkarte Details Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04
48. zu den Sicherheitszellen wie z B Front Back Firewall oder Treehomed Firewall verwendet werden Bei der Konfiguration der Zugriffsregeln f r die Back Firewall bzw die Treehomed Firewall ist der WSUS im Perimeter Netzwerk mittels Industrial Wizard zu konfigurieren WSUS Server Firewall Perimeter Network OS Client 4 Firewall IMs Process Control Network Engineering Station Control System Network SIMATIC SIMATIC SIMATIC SIMATIC S7 400H S7 400 S7 400 S7 400FH IN Kompendium Teil F Industrial Security V8 1 178 Projektierungshandbuch 04 2015 A5E35032081 AA Updatequelle Patchmanagement 7 2 Windows Server Update Service WSUS F r den WSUS Server kann entweder ein vorhandener WSUS in einem bergeordneten externen Netzwerk wie z B Betriebsnetzwerk oder Corporate Netzwerk oder aber Microsoft Update im Internet zur Synchronisierung eingestellt werden Die Entscheidung hat einerseits Auswirkungen auf die Konfiguration der Firewall Frontfirewall bzw Treehomed Firewall andererseits auf die Konfiguration des WSUS Servers In der WSUS Konfiguration muss die entsprechende Update Quelle eingestellt werden Updatequelle und Proxyserver j Updatequelle Proxyserver Sie k nnen den Upstreamserver ausw hlen von dem Ihr Server Updates synchronisiert x Von Microsoft Update synchronisieren g Yon einem anderen Windows Server Update Services Server ync
49. zwischen IT Systemen die nicht miteinander vernetzt sind oder zwischen verschiedenen Orten e die Archivierung oder Speicherung von Sicherheitskopien Backup falls andere automatisierte Verfahren nicht zweckm ig sind e die Speicherung von Daten die zu sensitiv sind um sie auf Arbeitsplatzrechnern oder Servern zu speichern e die mobile Datennutzung oder Datenerzeugung z B MP3 Player Digitalkamera etc Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 85 Systemh rtung 5 6 Umgang mit mobilen Datentr gern Abgrenzung USB Speichermedien Quelle https www bsi bund de DE Themen ITGrundschutz ITGrundschutzKataloge Inhalt _content m m04 m04200 html Uber die USB Schnittstelle lassen sich eine Vielzahl von Zusatzger ten an PCs anschlie en Beispiele sind Festplatten CD DVD Brenner und Memory Sticks USB Memory Sticks bestehen aus einem USB Stecker und einem Speicherchip Trotz gro er Speicherkapazit t sind sie so handlich dass sie beispielsweise in Form von Schl sselanh ngern hergestellt werden und in jede Hosentasche passen In modernen Betriebssystemen sind die Treiber fur USB Massenspeichergerate bereits integriert so dass zum Betrieb keine Softwareinstallation mehr notwendig ist Im Allgemeinen bezieht sich diese Ma nahme nicht ausschlie lich auf USB Speichermedien sondern generell auf alle USB Ger te die Daten speichern k nnen Unter anderem k nnen auch USB
50. 100 0000 255 255 255 192 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 19 Netzwerksicherheit 4 2 Adressierung und Segmentierung Daraus ergeben sich die folgenden Netze e Netz 1 Manufacturing Operations Netzwerk IP Adressen des MON Netz 1 Manufacturing Operations Netzwerk Netzwerk Adresse 192 168 2 0 Adresse des ersten Hosts 192 168 2 1 Adresse des letzten Hosts 192 168 2 62 Broadcast Adresse 192 168 2 63 e Netz 2 Process Control Netzwerk 1 IP Adressen des PCN1 Teilanlage A Netz 2 Process Control Netzwerk 1 Netzwerk Adresse 192 168 2 64 Adresse des ersten Hosts 192 168 2 65 Adresse des letzten Hosts 192 168 2 126 Broadcast Adresse 192 168 2 127 e Netz 3 Process Control Netzwerk 2 IP Adressen des PCN2 Teilanlage B Netz 3 Process Control Netzwerk 2 Netzwerk Adresse 192 168 2 128 Adresse des ersten Hosts 192 168 2 129 Adresse des letzten Hosts 192 168 2 190 Broadcast Adresse 192 168 2 191 e Netz 4 Perimeter Netzwerk IP Adresse des Perimeter Netzwerks Netz 4 Perimeter Netzwerk Netzwerk Adresse Adresse des ersten Hosts 192 168 2 192 192 168 2 193 Adresse des letzten Hosts 192 168 2 254 Broadcast Adresse 192 168 2 255 20 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015
51. 2015 A5E35032081 AA 91 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 4 W hlen Sie den Eintrag Hardware IDs aus der Klappliste um die Hardware IDs des Ger ts anzuzeigen Die Hardware IDs ben tigen Sie zur Konfiguration der entsprechenden Gruppenrichtlinien 8 9 Computerverwaltung E Datei Aktion Ansicht IEsSEeEIN SIT Computer Eigenschaften von USB Verbundger t USB VID_OBF8 amp PID_100C amp REV_0001 USB VID_OBF8 amp PID_100C 5 Wahlen Sie den Eintrag Kompatible IDs aus der Klappliste aus um die kompatiblen IDs des Ger ts anzuzeigen Die kompatiblen IDs ben tigen Sie zur Konfiguration der entsprechenden Gruppenrichtlinien Kompendium Teil F Industrial Security V8 1 92 Projektierungshandbuch 04 2015 A5E35032081 AA Ger t deinstallieren Systemh rtung 5 6 Umgang mit mobilen Datentr gern Nach der Ermittlung der Hardware ID muss das Ger t deinstalliert werden In einem folgenden Schritt geben Sie die Installation des Ger ts ber Gruppenlichtlinien explizit frei Um das Ger t zu deinstallieren gehen Sie folgenderma en vor 1 Klicken Sie mit der rechten Maustaste auf das Ger t und w hlen Sie den Befehl Deinstallieren 2 Computerverwaltung Datei Aktion Ansicht e 9 27 DlBA RL Ee Ne H Computerverwaltung Lokal ft System F Aufgabenplanung 2 Ereionisanzeige Freigegebene Ordne
52. 4 Properties Obtain DNS server address automatically fo o 192 168 2 125 192 168 2 126 3 Klicken Sie in dem Eigenschaften Dialog auf die Schaltfl che Advanced um zu den erweiterten TCP IP Einstellungen zu gelangen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 149 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 4 W hlen Sie in dem Dialog Erweiterte TCP IP Einstellungen den Register WINS aus Advanced TCP IP Settings 5 Klicken sie auf die Schaltfl che Add 6 F gen Sie die IP Adresse des installierten WINS Servers ein und schlie en Sie den Eigenschaftsdialog mit der Schaltfl che OK Kompendium Teil F Industrial Security V8 1 150 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Konfiguration des WINS Servers berpr fen 1 Um die Konfiguration des WINS Servers zu berpr fen ffnen Sie ein Eingabeaufforderungsfenster cmd und geben den Befehl nbtstat RR ein cx Administrator C Windows system32 cmd exe Users Administrator gt nbtstat RR The NetBIOS names registered by this computer have been refreshed Users Administrator gt Es werden Namensfreigabe Pakete an WINS gesendet und die Aktualisierung wird gestartet 2 ffnen Sie die WINS Management Konsole ber den Befehl Start
53. 5E35032081 AA Patchmanagement 7 2 Windows Server Update Service WSUS 7 2 3 Firewall Regeln F r den Zugriff des WSUS Servers im Perimeter Netzwerk ber die Back Firewall bzw Treehomed Firewall auf die Rechner im PCN ergeben sich die folgenden Zugriffsregeln e Zugriffsregeln zwischen dem WSUS Server und einem Rechner im PCN Name Action Protocols From To Perimeter WSUS to PCN 1 Allow HTTP IP Adresse des IP Adresse des Clients HTTPS WSUS Servers PCN to Perimeter WSUS 1 Allow HTTP IP Adresse des Client IP Adresse des HTTPS WSUS Server Fur den Zugriff des WSUS Servers im Perimeter Netzwerk Uber die Front Firewall bzw Treehomed Firewall auf das externe Netzwerk zum Download der Sicherheits und der kritischen Updates werden die folgenden Zugriffsregeln ben tigt e Zugriffsregeln f r Firewall Regel zum Update Uber die Microsoft Seiten Name Allow Windows Update access to WSUS or External Action Allow Protocols HTTP HTTPS From IP Adresse des WSUS Servers To Microsoft Update Sites download windowsup date com update microsoft com windowsupdate com windowsupdate micr osoft com e Zugriffsregeln zum Update Uber einen bergeordneten WSUS Server Name Action Protocols From To Allow Windows Update access Allow HTTP IP Adresse des IP Adresse des ber to WSUS or External HTTPS WSUS Servers geordneten WSUS Ser
54. 90327 Nurnberg Technical Support Sie erreichen den Technical Support fur alle Industry Automation and Drive Technology Produkte Uber das Web Formular f r den Support Request http www siemens de automation support request Weitere Informationen zu unserem Technical Support finden Sie im Internet unter https support industry siemens com sc ww de sc 2554 Industry Online Support im Internet Zus tzlich zu unserem Dokumentationsangebot bieten wir Ihnen im Internet https support industry siemens com unser Know how an Dort finden Sie e eine bersicht zu den wichtigsten technischen Informationen und L sungen f r PCS 7 erhalten Sie unter www siemens de industry onlinesupport pcs7 e den Newsletter der Sie st ndig mit den aktuellsten Informationen zu Ihren Produkten versorgt e die f r Sie richtigen Dokumente ber unsere Suchfunktion im Industry Online Support Portal e ein Forum in welchem Anwender und Spezialisten weltweit Erfahrungen austauschen e Ihren Ansprechpartner f r Industry Automation and Drive Technology vor Ort Informationen ber Vor Ort Service Reparaturen Ersatzteile Vieles mehr steht f r Sie unter dem Begriff Leistungen bereit Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 9 Was ist neu 2 Neben der Aktualisierung der bestehenden Inhalte f r SIMATIC PCS 7 V8 1 finden Sie folgende Erweiterungen e Kapitel Netzwerksicherh
55. CALANCE S Modulen direkt vom OS Server zum OS Client Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 53 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Die zwei dargestellten Varianten unterscheiden sich in zwei wesentlichen Punkten Ein Unterschied ist der Endpunkt der Verschl sselung Bei der Variante 1 ist der Endpunkt jeweils das SCALANCE S Sicherheitsmodul Bei der Variante 2 ist der Endpunkt zum einen der PCS 7 OS Client und zum anderen der PCS 7 OS Server Der zweite wesentliche Unterschied ist der Umfang der Verschl sselung In der ersten Variante wird durch den verschl sselten Tunnel der zwischen den SCALANCE S Sicherheitsmodulen besteht die gesamte Kommunikation verschl sselt In Variante 2 wird ausschlie lich die Kommunikation zwischen PCS 7 OS Server und PCS 7 OS Client verschl sselt Jegliche m gliche andere Kommunikation wird in Variante 2 nicht verschl sselt In Abh ngigkeit von einer Risikobetrachtung kann auch eine Kombination der zwei Varianten verwendet werden Verschl sselte Kommunikation Variante 2 54 Wenn eine verschl sselte Kommunikation verwendet wird werden nur Verbindungen zu Rechnern aufgebaut f r die ein einheitlicher PSK Schl ssel Pre Shared Key festgelegt wurde Nur Systeme mit gleich konfiguriertem PSK Schl ssel k nnen miteinander kommunizieren F r die Kommunikation wird das Windows Security Support Provider Inte
56. Dialog w hlen Sie die Option Obtain DNS server address automatically und best tigen die Eingabe mit der Schaltfl che OK Internet Protocol Version 6 TCP IPv6 Properties Ol IPy6 address Subnet prefix lenathr Default gatey ofe Preferred DMS server Alternate DVS server 7 Validate settings upon exit Users Administrator gt ns1lookup Default Server localhost Address 127 0 0 1 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 143 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller An der Ausgabe der Adresse 127 0 0 1 localhost ist zu erkennen dass die DNS Namensaufl sung jetzt ber das TCP IPv4 Protokoll l uft Wenn Sie die IP Adresse des Primary Domain Controller 192 168 2 125 eingeben wird der Rechnernamen svw2k8r2stdba7 production1 enterprise local und die IP Adresse ausgegeben cs Administrator C Windows system32 cmd exe nslookup Users Administrator gt ns lookup efault Server localhost 127 8 8 1 gt 192 168 2 125 localhost 127 0 0 1 syw2k8r2stdhba productioni1 enterprise local 192 168 2 125 Wenn Sie den Rechnernamen eingeben ist die Ausgabe ebenfalls Rechnername und IP Adresse cs Administrator C Windows system32 cmd exe nslookup Users Administrator gt ns lookup efault Server localhost 127 0 0 1 gt 192 168 2 125 localhost 127 0 0 1 ame suw2k8r2stdba produ
57. Drucker und USB Kameras zum Speichern der Daten missbraucht werden Dies gilt insbesondere f r intelligente USB Ger te wie PDAs die jede beliebige USB Identit t annehmen k nnen wenn sie mit spezieller Software ausgestattet sind Userzugriffe auf USB Ports einschr nken Quelle https www bsi bund de DE Themen ITGrundschutz ITGrundschutzKataloge Inhalt _content m m04 m04200 html hnlich wie ber Disketten k nnen ber USB Speichermedien unkontrolliert Informationen und Programme ein oder ausgelesen werden Daher ist mit USB Speichermedien generell genauso wie mit herk mmlichen Speichermedien umzugehen Der Zugriff auf Diskettenlaufwerke kann relativ einfach verhindert werden Der Betrieb von USB Speichermedien l sst sich dagegen nur sehr schwer verhindern wenn die USB Schnittstelle f r andere Ger te genutzt wird So werden beispielsweise Notebooks ausgeliefert die zum Anschluss einer Maus nur die USB Schnittstelle zur Verf gung stellen Deswegen ist es meist nicht sinnvoll ein USB Schloss zu verwenden oder die Schnittstelle durch andere mechanische Ma nahmen zu deaktivieren Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden Umgang mit USB Ports Neben der BIOS Einstellungen f r die Sperrung der USB Ports siehe Kapitel BIOS Einstellungen Seite 84 kann der ungew nschte Zugriff auch durch Windows E
58. E35032081 AA Patchmanagement 7 2 Windows Server Update Service WSUS Damit die Rechner direkt den richtigen Rechnergruppen zugeordnet werden ist die folgende Option einzustellen unabh ngig davon ob die Verwaltung mittels Windows Arbeitsgruppen oder mittels Domains erfolgt a Sie k nnen festlegen wie Computer Gruppen zugeordnet werden Update Services Konsole verwenden Hinweis Neue Computer werden automatisch in der Gruppe Nicht zugewiesene Computer platziert Gruppenrichtlinie oder Registrierungseinstellungen auf Computern verwenden Updates berpr fen Um die Updates zu berpr fen gehen Sie folgenderma en vor 1 Laden Sie die Excel Tabelle aus der folgenden FAQ auf ihren Rechner Welche Microsoft Patches Sicherheitsupdates und Wichtige Updates sind bei SIMATIC PCS 7 auf Vertr glichkeit getestet http support automation siemens com WW view de 18490004 2 Offnen Sie die Tabelle und filtern Sie in der Spalte Test Result auf Failed 3 berpr fen Sie die Spalte Comment ob diese Updates ersetzt wurden WSUS Administration 1 Selektieren Sie alle verf gbaren Updates in den Kategorien Wichtige Updates und Sicherheitsupdates und geben Sie diese zur Installation in den angelegten Gruppen frei 2 Melden Sie sich auf den mit dem WSUS verbundenen Clients mit einem administrativen Account an die Clients wurden entsprechend konfiguriert um die Updates vom WSUS zu erhalten 3
59. ETEN 203 10 1 Sichere Fernwartung auf Basis der SIEMENS Remote Service Platform 203 10 2 Erstellen eines Remote Service Konzeptes 222444440400nsnnnnnnnnnnnnnennnnnnnnnnnn nennen 205 10 3 Anbindungsm glichkeiten an die SIEMENS Remote Service Platform 205 11 Definitionen und Abk rzungen naar nn er ee er 210 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 5 Security Hinweise Siemens bietet Produkte und L sungen mit Industrial Security Funktionen an die den sicheren Betrieb von Anlagen L sungen Maschinen Ger ten und oder Netzwerken unterst tzen Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security Konzept Die Produkte und L sungen von Siemens werden unter diesem Gesichtspunkt st ndig weiterentwickelt Siemens empfiehlt sich unbedingt regelm ig ber Produkt Updates zu informieren F r den sicheren Betrieb von Produkten und L sungen von Siemens ist es erforderlich geeignete Schutzma nahmen z B Zellenschutzkonzept zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security Konzept zu integrieren das dem aktuellen Stand der Technik entspricht Dabei sind auch eingesetzte Produkte von anderen Herstellern zu ber cksichtigen Weitergehende Informationen finden Sie unter http www siemens com industrialsecurity Um stets Uber Produkt Updates informiert zu sein melden Sie s
60. F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 115 Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern SIMATIC WinCC SIMATIC NET Bei der Installation von SIMATIC WinCC werden die folgenden drei neuen Benutzergruppen angelegt die f r die Projektfreigaben und die Projektdateizugriffe verwendet werden e SIMATIC HMI Die Mitglieder dieser Gruppe d rfen lokal Projekte anlegen bearbeiten starten und auf diese Projekte remote zugreifen Standardm ig werden der Benutzer der die Installation ausf hrt und der lokale Administrator in diese Gruppe automatisch aufgenommen Weitere Benutzer m ssen manuell durch einen Administrator dieser Gruppe hinzugef gt werden e SIMATIC HMI CS Die Mitglieder dieser Gruppe d rfen nur projektieren jedoch keine nderungen an den Laufzeitkomponenten direkt durchf hren Diese Gruppe ist standardm ig leer und wird zur sp teren Verwendung reserviert e SIMATIC HMI VIEWER Die Mitglieder dieser Gruppe d rfen nur lesend auf die Projektierung und Laufzeitdaten zugreifen Diese Gruppe wird vorrangig f r die Konten von Web Ver ffentlichungsdiensten verwendet z B den IIS Internet Information Services der f r den Betrieb des WinCC Web Navigator verwendet wird Beim erstmaligen ffnen eines Projekts wird automatisch eine Projektfreigabe angelegt und mit den notwendigen Freigabeberechtigungen und Sicherheitseinstellungen versehen D
61. F hren Sie die angebotenen Updates aus Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 183 Patchmanagement 7 2 Windows Server Update Service WSUS 7 2 2 Konfiguration der Computerrichtlinien Die Richtlinien f r den Windows Update Dienst werden ber den Editor f r lokale Gruppenrichtlinien eingestellt Bei der Verwendung eines Domain Controllers werden die Einstellungen zentral durchgef hrt und entsprechend auf alle Rechnersysteme verteilt Wenn die Verwaltung mittels Windows Arbeitsgruppen erfolgt m ssen diese Einstellungen auf jedem Rechner separat durchgef hrt werden Die folgende Abbildung zeigt den Editor f r lokale Gruppenrichtlinien B Editor f r lokale Gruppenrichtlinien e 2ml H m E Tablet Pc E Windows Anmeldeoptionen Ez Option Updates installieren und herunterfahren im Dialogfeld Windows Explorer i2 Die Standardoption Updates installieren und herunterfahren im Nicht konfiguriert windows Farbsystem A Windows Update Energieverwaltung aktivieren um das System z Nicht konfiguriert ae Windows Fehlerberichterstattung Automatische Updates konfigurieren g E Windows Kalender Internen Pfad f r den Microsoft Updatedienst angeben Aktiviert A Eisai asonahe pes neon 3 iS Windows Remoteverwaltung Wink lz Mhiann geat Upinichenaclukchtigungen zuer Nicht kanlguiert GB Windows Syst
62. Festplatten Image System Backup verwendet werden Vor dem Einspielen eines Images muss gepr ft werden ob der Ablageort des Images nicht auch infiziert ist Ein Image von einem infizierten Ablageort soll nicht verwendet werden da es nicht auszuschlie en ist dass auch das Image manipuliert wurde Die folgenden Punkte beeinflussen die Vorgehensweise der Bereinigung und sollen in den berlegungen und Planungen ber cksichtigt werden e Zustand der Anlagendokumentation inkl Netzwerktopologie Adressen Konten usw e Bereinigung im laufenden Betrieb oder in einer Abstellungsphase e Kontinuierlicher oder Batch Verfahrensprozess e Redundanzkonzept e Art der Schadsoftware e Anzahl der infizierten Rechner e Infektionsweg Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Schutz vor Schadsoftware mittels Virenscanner Vorgehenseise 8 2 Vorgehensweise nach einer Virusinfektion Hinweis Beachten Sie dass die beschriebene Vorgehensweise eine beispielhafte Auflistung von m glichen Arbeitsschritten ist die bei der Bereinigung einer Anlage anfallen k nnen Diese Auflistung hat keinen Anspruch auf Vollst ndigkeit Jeder der aufgelisteten Arbeitsschritte muss detailliert geplant und entsprechend umgesetzt werden Die Vorgehensweise nach einer Virusinfektion kann die folgenden Arbeitsschritte enthalten Aufbau Installation Implementierung der f r die Bereinigung notwendigen zus tzl
63. Handbuch dient als Kompendium zus tzlich zur Produktdokumentation zu SIMATIC PCS 7 Grundlegende Arbeitsschritte der Projekterstellung und Parametrierung werden in Form von Handlungsanweisungen mit zahlreichen Abbildungen beschrieben Das Kompendium spiegelt geradlinig den empfohlenen Weg durch die Projektierung wider wobei zahlreiche Erfahrungen aus der Praxis ausgewertet werden Die Beschreibung geht nicht bis in die Applikation selbst sondern bezieht sich auf den Umgang mit dem Projekt und die Parametereinstellungen der enthaltenen Komponenten Kompendium Teil F Industrial Security V8 1 8 Projektierungshandbuch 04 2015 A5E35032081 AA Vorwort Weitere Unterst tzung Bei Fragen zur Nutzung der im Handbuch beschriebenen Produkte wenden Sie sich an Ihren Siemens Ansprechpartner in den f r Sie zust ndigen Vertretungen und Gesch ftsstellen Ihren Ansprechpartner finden Sie unter http www siemens com automation partner Den Wegweiser zum Angebot an technischen Dokumentationen f r die einzelnen SIMATIC Produkte und Systeme finden Sie unter http www siemens de simatic tech doku portal Den Online Katalog und das Online Bestellsystem finden Sie unter www siemens com industrymall Trainingscenter Um Ihnen den Einstieg in das Prozessleitsystem SIMATIC PCS 7 zu erleichtern bieten wir entsprechende Kurse an Wenden Sie sich an Ihr regionales Trainingscenter oder an das zentrale Trainingscenter http www sitrain com in D
64. N Process Control Network Terminalbus PCN1 Produktionszelle 1 PCN2 Produktionszelle 2 PCS 7 Process Control System der Firma SIEMENS AG PN Perimeter Netzwerk RID Relative ID SC Security Controller SCT Security Configuration Tool SSC SIMATIC Security Control TMG Microsoft Forefront Threat Management Gateway WINS Windows Internet Naming Service WSUS Windows Server Update Services 210
65. NG1 OSC1 OSC2 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 SIMATIC ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 HMI ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 OSC1 OSC2 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B OSS1A OSS1A OSS1A OSS1IA OSS1B OSS1A OSC1 OSS3B OSS3A OSS1B OSS1B OSS1B OSS1B OSC1 OSC1 OSC2 OSC1 OSC1 OSS2 OSS2 OSS2 OSS2 OSC2 OSC2 OSC3 OSC2 OSC2 OSS3A OSS3A OSS3A OSS3A OSC3 OSC3 OSC4 OSC3 OSC3 OSS3B OSS3B OSS3B OSS3B OSC4 OSC4 OSC4 OSC4 SIMATIC ENG1 OSC1 OSC1 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B BATCH ENG2 RC_ENGIN ENG1 ENG1 ENG1 ENG1 ENG1 ENG1 EERENG12 RC_MAINT ENG2 ENG2 ENG2 ENG2 ENG2 ENG2 ENANCEE NG12 RC_OPERA OSC1 OSC2 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B TOR_L13 RC_OPERA OSC1 OSC2 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B TOR_L23 RC_OPERA OSC1 OSC2 OSC3 OSC4 OSS1A OSS1B OSS2 OSS3A OSS3B TOR_L3 SIMATIC ENG1 OSS1A OSS1B OSS2 OSS3A OSS3B NET ENG2 ENG1 ENG1 ENG1 ENG1 ENG1 ENG2 ENG2 ENG2 ENG2 ENG2 Siemens ENG1 TIA Engine ENG2 er 1 Vorausgesetzt SIMATIC BATCH wird in der Musterkonfiguration ben tigt verwendet 2 Vorausgesetzt SIMATIC Route Control wird in der Musterkonfiguration ben tigt verwendet 3 Zuordnung des Benutzer OSC1 4 zu RC_OPERATOR_Lx ist abh ngig von der notwendigen Berechti
66. OS Server Server 1 HTTPS 192 168 2 204 192 168 2 101 192 168 2 102 OS Server 192 168 2 103 PCN1 OS Server to Perimeter Virenscan Allow HTTP OS Server PatternUpdate Server 1 HTTPS 192 168 2 103 192 168 2 204 PCN1 OS Server to Perimeter Virenscan Allow HTTP OS Server PatternUpdate Server 2 HTTPS 192 168 2 101 192 168 2 204 192 168 2 102 PCN1 OS Server to Perimeter OS Allow IPSec OS Server OS WebNavigator WebNavigator 1 192 168 2 103 192 168 2 203 PCN1 OS Server to Perimeter OS Allow IPSec OS Server OS WebNavigator WebNavigator 2 192 168 2 101 192 168 2 203 192 168 2 102 Allow Web Servers to access PCN1 1 Allow IPSec OS WebNavigator OS Server 192 168 2 203 192 168 2 101 192 168 2 102 OS Server 192 168 2 103 1 Die Verwendung des Protokolltyps IPSec setzt voraus dass entsprechend dem Sicherheitskonzept zwischen den Komponenten in den verschiedenen Sicherheitszellen eine zertifikatsbasierte signierte Verbindung mittels IPSec besteht Besteht eine solche Verbindung nicht kann auch All outbund traffic eingestellt werden Allerdings verzichtet man bei einer solchen FW Regel auf die Portfilterung 38 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen e Musterkonfiguration Zugriffsregeln f r die Back Firewall 2
67. OeO 390 aan Forefront Threat M gt re m Forefront TMG TMGWO 2 Dashboard Foia hrtan ment Gateway 2010 Moritoring ge ay Firewall Pobcy Web Access Policy E Mail Policy Click here to learn about the Customer Experience Improvement Program Remote Access Policy Destination Networks NAT Addresses De lt gt Networking alli _Local Host Access Route Local Host All Networks and Local Host lub Logs amp Reports gy2 VPN Clents to Internal Network Route cd Quarantined VPN Clients lt Internat c Update Center VPN Clients Diese Netzwerk Regel bernimmt das Routing zwischen den PCN MON und Perimeter Netzwerken der Musterkonfiguration Der Datenverkehr zwischen den Sicherheitszellen der Teilanlage A und B wird ber beide Back Firewalls kommuniziert Kompendium Teil F Industrial Security V8 1 22 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 2 Adressierung und Segmentierung 4 2 2 Musterkonfiguration Einstellung der IP Adressen und der Subnetzmaske Vorgehensweise Die folgende Vorgehensweise wird am Beispiel des Betriebssystems Windows 7 beschrieben Um die IP Adresse die Subnetzmaske sowie das Standard Gateway einzustellen gehen Sie folgenderma en vor 1 ffnen Sie das Netzwerk und Freigabecenter ber den Befehl Start gt Systemsteuerung gt Netzwerk und Freigabecenter Der Dialog Netzwerk und Freigabecenter wird ge ffnet
68. PSK Schl ssel muss mindestens 8 Zeichen lang sein und soll Gross und Kleinschreibung sowie Ziffern und Sonderzeichen enthalten Die Schl ssel St rke wird neben dem Eingabefeld angezeigt PSK Schl ssel festlegen x Um eine verschl sselte Kommunikation mit anderen Rechnern im Simatic Netzwek zu erm glichen muss ein gemeinsamer PSK Pre Shared Key Schl ssel festgelegt werden Die L nge des Schl ssels muss mindestens 8 Zeichen lang sein und sollte Gro Kleinschreibung Ziffern sowie Sonderzeichen enthalten IV Zeicheneingabe verbergen Lox Abbrechen Im Bereich Verschl sselte Kommunikation k nnnen Sie den TCP UDP Port f r die Kommunikation im Bereich von 1024 bis 65535 einstellen Wenn z B der Port 8910 eingestellt wird wird die PCS 7 OS spezifische Kommunikation an dieser Station ausschlie lich ber den TCP Port 8910 UDP Port 8910 und ICMP laufen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Der Migrationsmodus ist f r den Fall einer Hochr stung relevant wenn die Einstellungen zur verschl sselten Kommunikation im laufenden Betrieb einer Anlage ge ndert werden sollen PSK Schl ssel Festlegen Portbelegung f r TCP UDP Bereich 1024 65535 Port eingehend fest 0 I Migrationsmodus Hinweis Einsatz von SIMATIC NET Softnet IE RNA in Verbindung
69. RC_OPERATOR_L3 Standardm ig wird bei der Installation das installierende Benutzerkonto in die Gruppe RC_MAINTENANCE hinzugef gt Au erdem wird folgende Freigabe eingerichtet RC_LOAD Die Freigabeberechtigungen und Sicherheitseinstellungen erfolgen automatisch w hrend der Installation Die Einstellungen sind f r alle f nf Gruppen einheitlich Somit erfolgt der Zugriff auf das Projekt unabh ngig davon welcher Gruppe das angemeldete Konto zugeordnet wird In diesen Freigaben werden sp ter die RC Daten abgelegt SIMATIC Management Console F r die SIMATIC Management Console m ssen die folgenden Benutzergruppen angelegt werden SIMATIC Management Administrators Mitglieder dieser Gruppe erhalten uneingeschr nkten Zugriff und alle Berechtigungen f r die Management Console Tragen Sie die Mitglieder dieser Gruppe an den Zielrechnern in die Gruppe der Administratoren ein Damit sind die Mitglieder dieser Gruppe berechtigt nderungen der installierten Software auszuf hren SIMATIC Management Users Mitglieder dieser Gruppe erhalten einen eingeschr nkten Zugriff und die Berechtigung Nur Lesen f r die Management Console Tragen Sie die Benutzer die auf dem Rechner der Management Console der Benutzergruppe SIMATIC Management Administrators zugeordnet sind auch in die Benutzergruppe SIMATIC Management Users ein Windows Anmeldung auf dem Rechner der Management Console Alle Benutzer der Management Console m ssen si
70. SIEMENS SIMATIC Prozessleitsystem PCS 7 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch G ltig f r PCS 7 V8 1 04 2015 ASE35032081 AA Vorwort Was ist neu Security Strategien Netzwerksicherheit Systemh rtung Benutzerverwaltung und Bedienberechtigungen Patchmanagement Schutz vor Schadsoftware mittels Virenscanner Sichern und Wiederherstellen von Daten oO 0O N O Oa A O IN Fernzugriff Definitionen und Abk rzungen Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enth lt Hinweise die Sie zu Ihrer pers nlichen Sicherheit sowie zur Vermeidung von Sachsch den beachten m ssen Die Hinweise zu Ihrer pers nlichen Sicherheit sind durch ein Warndreieck hervorgehoben Hinweise zu alleinigen Sachsch den stehen ohne Warndreieck Je nach Gef hrdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt GEFAHR bedeutet dass Tod oder schwere K rperverletzung eintreten wird wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden INWARNUNG bedeutet dass Tod oder schwere K rperverletzung eintreten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden VORSICHT bedeutet dass eine leichte K rperverletzung eintreten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden ACHTUNG bedeutet dass Sachschaden eintre
71. Server Manager 1 Klicken Sie auf Start gt Administrative Tools gt Server Manager 2 ffnen Sie im linken Navigationsbereich Roles gt DNS Server gt DNS gt lt Rechnername gt gt Forward Lookup Zones lolx File Action View Help es Amla Hmi eS Server Manager SVW2K8R2STDBA7 Forward Lookup Zones 2 zone s Roles F Active Directory Domain Services DNS Server E _msdcs production1 enterprise local Active Direct Running amp ons E production 1 enterprise local Active Direct Running jj SVW2K8R2STDBA7 Global Logs m Forward Lookup Zones _msdcs production1 enterprise 5 production 1 enterprise local Reverse Lookup Zones Conditional Forwarders File Services 3 Klicken Sie mit der rechten Maustaste auf die Forward Lookup Zone die Sie durch die Eingabe von FQDN bei der Installation des DNS Servers angelegt haben in diesem Beispiel production1 enterprise local und w hlen im Kontextmen den Punkt Properties Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 137 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 138 4 Wahlen Sie im Register General unter Men punkt Dynamic updates die Option Secure only productont e
72. Server Update Service WSUS Beispielsweise kann der Rechnergruppe PCS 7 Gruppe 1 die OS Server OSS1A OSS2 und OSS3A sowie die OS Clients OSC1 und OSC3 und der Rechnergruppe PCS 7 Gruppe 2 die OS Server OSS1B und OSS3B sowie der OS Client OSC2 zugeordnet werden Enterprise Control Network PCS7 OS Web Client Corporate Firewall aoe Suite Suite PCS7 wee OTS SIMATIC IT SIMATIC IT BATCH Production Production SON EIN a YH Ppcs7 ms no a 204 Virus Scan Server ePo Station a IS 94 OS Client 11 SIMATIC IT 12 SIMATIC IT OSC4 Server SQL Server TMG 203 OS Web Server Perimeter Manufacturing 192 168 2 0 26 Network Operations Network Feen _ Bee Firewall 202 Iinfrastructure Server Quarantine PC BEE Hl SCALANCE S File Server Dop VPN Tunnel or mm um Goel jo coe me ens ee eels ic ef oc Doh Firewall scauances OSC oO Back Process Firewall 2 Control 129 TMG Network 192 168 2 128 26 Control Engineering OSS3A Station ES1 System cee Network CET ied Firewall Firewall SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H Kompendium Teil F Industrial Security V8 1 182 Projektierungshandbuch 04 2015 A5
73. Sicherheitsrichtlinien konfiguriert werden z B Verwendung des LanManager V2 Protokoll Signierung der SMB Kommunikation Passwortkomplexit t und Passwortalter Eine zentrale Aufzeichnung von vergebenen Computernamen und IP Adressen muss erstellt und aktuell gehalten werden Wenn lokale LMHost und Host Dateien zur Namensaufl sung genutzt werden m ssen diese Dateien immer zeitgleich aktualisiert werden Der Betrieb einer kompletten Anlage kann durch die fehlerhafte Konfiguration eines einzelnen Computers gef hrdet werden Zudem ist die Fehlersuche in solchen F llen oft schwierig und zeitaufw ndig Wann sollen Anlagen in einer Windows Domain Active Directory verwaltet werden Die Konfiguration einer zentralen Windows Verwaltung wird unter folgenden Bedingungen empfohlen Die Anlage hat mehr als 10 Computer oder die Anzahl der zu verwaltenden Computer Konten und Benutzer sehr gro ist In der Anlage werden regelm ige nderungen vorgenommen z B Hinzuf gen von Benutzern Austausch von Computern Einf hrung neuer Sicherheitsrichtlinien Passwort nderungen usw Ein fehlertolerantes Anmelden und eine fehlertolerante Benutzerverwaltung sind gefordert Eine zentrale Konfiguration der Computer ist gefordert Das Unternehmen hat eigene Sicherheitsrichtlinien die eine Active Directory Domain erfordern Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 113 Benutzerver
74. Somit teilt die Subnetzmaske eine IP Adresse in einen Netzwerk Teil und einen Host Teil auf Sie hat denselben Aufbau wie eine IP Adresse 4 Byte Per Definition sind alle Bits des Netzwerk Teils auf TRUE 1 und alle Bits des Host Teils auf FALSE 0 zu setzen Netzwerk und Host Teil einer IP Adresse IP Adresse 141 84 65 2 1000 1101 0101 0100 0110 0101 0000 0010 Netzmaske 255 255 255 0 1111 1111 1111 1111 1111 1111 0000 0000 Netzwerk 141 84 65 0 1000 1101 0101 0100 0110 0101 0000 0000 0000 0000 0000 0000 0000 0000 1111 1111 Host 2 0000 0000 0000 0000 0000 0000 0000 0010 Kompendium Teil F Industrial Security V8 1 18 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerkklassen Netzwerksicherheit 4 2 Adressierung und Segmentierung Die Adressklassen wurden von Internet Assigned Numbers Authority IANA definiert um Adresspr fixe systematisch zu Netzwerken mit variierender Gr e zuzuordnen Die Klasse der Adressen gibt an wie viele Bits f r die Netzwerk ID und wie viele Bits f r die Host ID verwendet wurden Durch die Adressklassen wurden au erdem die m gliche Anzahl von Netzwerken sowie die Anzahl der Hosts pro Netzwerk festgelegt Von den f nf Adressklassen waren die Klasse A B und C f r IPv4 Unicast Adressen reserviert Innerhalb dieser drei Netzwerkklassen wurden auch private IP Adressbereiche festgelegt Diese privaten IP Adressbereiche haben aus der Sicht der Netzwerksicherheit de
75. Update Allow FTP over IP Adresse des Vi PatternUpdateSet access to overlapped Pattern HTTP renscan Servers ftp ftp nai com Update Server or External HTTPS http update nai com Hinweis Das komplette Angebot zur Automation Firewall finden Sie im PCS 7 Add on Katalog Diesen Katalog k nnen Sie ber die SIMATIC PCS 7 Webseite https www automation siemens com mcms process control systems de simatic pcs 7 Pages simatic pcs 7 aspx herunterladen 194 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Schutz vor Schadsoftware mittels Virenscanner 8 1 bersicht Verteilung der Virensignaturdateien Zur Verteilung der Virensignaturdateien vom Virenscan Server auf die Virenscan Clients wird empfohlen projektspezifische Rechnergruppen zu bilden analog der Rechnergruppen beim Patchmanagement Die folgende Abbildung zeigt ein Beispiel f r die Bildung von zwei Rechnergruppen Firewall TMG Perimeter Network Dis aea Back Firewall TMG ent 2 ent 3 Process Control Network SCALANCE X based redundant ring leering Station Control System Network SCALANCE X based redundant ring wl SIMATIC SIMATIC SIMATIC SIMATIC S7 400H S7 400 S7 400 S7 400FH Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 195 Schut
76. Verwaltung der Benutzer in Arbeitsgruppen ist nach dem von Microsoft empfohlenen ALP Prinzip Add User Account to Local Group and assign Permission vorzugehen Dies bedeutet dass lokale Benutzer zun chst gruppiert werden um dann an diese Gruppen die notwendigen Berechtigungen Ordner Freigaben etc zu vergeben e Wird die Verwaltung zentral mittels einer Domain durchgef hrt so ist die AGLP Prinzip Access Global Local Permission zu beachten Nach diesem Prinzip werden die Benutzerkonten zun chst im Active Directory den Domain globalen Gruppen zugeordnet Diese Gruppen werden dann rechnerlokalen Gruppen zugeteilt denen wiederum die Rechte an den Objekten vergeben werden Kompendium Teil F Industrial Security V8 1 114 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern Umsetzung Bei einem Automatisierungssystem gibt es Stationen Rechner die permanent in Betrieb sein m ssen und von mehreren Personen genutzt werden Ein Beispiel hierf r ist eine Bedien und Beobachtungsstation OS Client Diese Station wird permanent von unterschiedlichen Bedienern zur Prozessf hrung verwendet Es empfiehlt sich f r die Benutzerkonten dieser permanent verwendeten Bedien und Beobachtungsstationen nicht personifizierte ger tespezifische Benutzerkonten zu verwenden Hier bieten sich Konten an die einen Bezug zu dem jeweiligen Rechner herstellen lassen z B
77. al Security V8 1 130 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 3 Aktivieren Sie die Option Create anew domain in a new forest und klicken Sie auf die Schaltfl che Next Active Directory Domain Services Installation Wizard Choose a Deployment Configuration You can create a domain controller for an existing forest or for a new forest f Add a domain controller to an existing domain f Create a new domain in an existing forest his server will become the first domain controller in the new domain Greate a new domain tree root instead of a new child domain Der Dialog Name the Forest Root Domain wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 131 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 4 Geben Sie im Eingabefeld FQDN of the forest root domain den voll qualifizierten Domain Namen FQDN ein z B production1 enterprise local und klicken Sie auf de Schaltfl che Next ol Active Directory Domain Services Installation Wizard Name the Forest Root Domain The first domain in the forest is the forest root domain Its name is also the name of forest Kompendium Teil F Industrial Security V8 1 132 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Die E
78. alog Choose a Deployment Config die Option Add a domain controller to an existing domain und klicken Sie auf die Schaltfl che Next Geben Sie im Eingabefeld des Dialogs Network Credentials den FQDN production1 enterprise local ein Da der Secondary Domain Computer in diesem Fall kein Mitglied der Domain ist m ssen Sie die Berechtigung des Administrators des Primary Domain Controllers im Feld Alternate credentials ber die Schaltfl che Set eingeben Die weitere Installation des Active Directory Domain Services und des DNS Servers erfoglt analogt zum Primary Domain Controller siehelnstallation und Konfiguration des ersten Domain Controllers DC1 Seite 126 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 145 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 6 5 3 WINS Installation und Konfiguration 6 5 3 1 WINS Installation und Konfiguration Mit Windows Internet Name Service WINS k nnen Windows Computer andere Computer in Subnetzen mithilfe von NetBIOS finden Der WINS Server dient somit der NetBIOS Namensaufl sung und ist die Windows Implementierung eines NetBIOS Name Servers NBNS WINS Server installieren 1 ffnen Sie den Server Manager ber den Befehl Start gt Administrative Tools gt Server Manager 2 Klicken Sie im linken Bereich auf Features und anschlie end im rechten Bereich unter Features Summary auf Add Features
79. altung und Bedienberechtigungen 6 5 Domain Controller 5 Selektieren Sie im rechten Bereich den eingef gten WINS Replikationspartner und w hlen Sie im Kontextmen Properties Eile Action View Help SB Er Hr WINS 9 Server Status f SVW2K8R2STDBA7 192 168 2 Kee E Gf Active Registrations Se SVW2K8R25TDBB7 192 168 2 126 Push Pull A Replication Partners 6 Passen Sie die Eigenschaften des WINS Replikationspartners entsprechend Ihrer Replikationsplanung Svw2kanzsrone Properties TE Hinweis Beachten Sie dass diese Einstellung an jedem Replikationspartner vorgenommen werden muss Kompendium Teil F Industrial Security V8 1 156 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Eintragen der WINS Server in den Eigenschaften der IPv4 Konfiguration Des Weiteren sollen die zwei WINS Server auch in den Eigenschaften der IPv4 Konfiguration der WINS Clients eingetragen werden 1 ffnen Sie dazu den Eigenschaften Dialog der Netzwerkverbindung aller WINS Clients z B der Engineering Station en den PCS 7 OS Servern oder den PCS 7 OS Clients Local Area Connection 2 Properties x Connect using EP Intel R PRO 1000 MT Desktop Adapter This connection uses the following tems DM Client for Microsoft Networks Z QoS Packet Scheduler iB File and Printer Sharing for Microsoft Networ
80. arant ne Netzwerk Schrittweiser Neuaufbau der Anlage im Quarant ne Netzwerk mit bereinigten neuinstallierten Komponenten Ausbau des Quarant ne Netzwerks zum neuen Automatisierungsnetzwerk mit angepassten Ma nahmen des Sicherheitskonzepts Schrittweise Umsetzung der Ma nahmen aus dem Sicherheitskonzept im Quarant ne Netzwerk Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 197 Schutz vor Schadsoftware mittels Virenscanner 8 2 Vorgehensweise nach einer Virusinfektion Weitere Informationen Unterst tzung bei der Umsetzung bzw Implementierung eines Virenschutzes in Form von Virenscanner in Ihrer Anlage erhalten Sie bei den Industrial Security Services Weitere Informationen und die entsprechenden Ansprechpartner finden Sie unter http www industry siemens com topics global de industrial security seiten default aspx Sie k nnen Ihre Anfrage auch per E Mail direkt an industrialsecurity i siemens com richten Kompendium Teil F Industrial Security V8 1 198 Projektierungshandbuch 04 2015 A5E35032081 AA Sichern und Wiederherstellen von Daten Q Um im Fall eines Sicherheitsvorfalls wie z B einer Infektion durch Schadsoftware siehe Kapitel Vorgehensweise bei einer Virusinfektion Seite 196 oder eines Ausfalls des Speichermediums Festplattencrash das Automatisierungssystem zu bereinigen und somit den reibungslosen und st rungsfreien Betrieb so schnell wie m
81. ative Tools gt Active Directory Domains and Trusts die Active Directory Domains and Trusts Management Konsole 2 Klicken Sie mit der rechten Maustaste den Eintrag Active Directory Domains and Trusts und w hlen Sie im Kontextmen den Befehl Change Active Directory Domain Controller S Active Directory Domains and Trusts File Action View Help DIBIEREITIE domainDNS 3 W hlen Sie im Dialog Change Directory Server den Domain Controller auf den die Rolle transferiert wird und klicken Sie auf die Schaltfl che OK Kompendium Teil F Industrial Security V8 1 164 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 4 Klicken Sie mit der rechten Maustaste auf den Eintrag Active Directory Domains and Trusts in der Management Konsole und w hlen Sie den Befehl Operations Master 5 Die weitere Vorgehensweise ist analog zum Abschnitt Schema Master Rolle Hinweis Die bertragung der Serverrollen ist auch mit Hilfe des Befehls NTDSUTIL m glich Infrastruktur Master RID Master und PDC Emulator Um die Rollen Infrastruktur Master die RID Master oder die PDC Emulator auf einen anderen Domain Controller zu transferieren gehen Sie folgenderma en vor 1 ffnen sie die Microsoft Management Konsole 2 Klicken Sie auf File gt Add Remove Snap In um das Active Directory Users and Computers Snap
82. b Portal Customer Site Access Gateway LoC IT System Administration Kompendium Teil F Industrial Security V8 1 204 Projektierungshandbuch 04 2015 A5E35032081 AA Fernzugriff 10 2 Erstellen eines Remote Service Konzeptes 10 2 Erstellen eines Remote Service Konzeptes F r eine sichere Fernwartung m ssen im Vorfeld die wichtigsten Komponenten f r den Remote Zugang identifiziert und verf gbar gemacht werden Denn durch ein fehlendes Konzept und fehlende Zugriffsm glichkeiten werden unter Zeit und Kostendruck meist Sicherheitsrisiken in Kauf genommen und haben damit einen m glichen wirtschaftlichen Schaden zur Folge Die folgenden Fragen sollen ber cksichtigt werden e Welches Equipment ben tige ich zur Service Leistungserbringung e Wo befindet sich dieses Equipment e Wie kann ich dieses Equipment erreichen e Welche Werkzeuge STEP 7 WinCC SDT File Transfer ben tige ich Zus tzlich soll auch der Service Fall betrachtet werden um im Vorfeld m gliche Probleme bei der Leistungserbringung zu minimieren e Wird z B das Equipment durch mehrere Personen gleichzeitig ben tigt e Ist die Service T tigkeit r ckwirkungsfrei e Wer erteilt die Genehmigung f r den Remote Anschluss inkl Vertreter Regelung Wenn diese Fragen beantwortet sind werden diese Punkte in der SIEMENS Remote Service Platform elektronisch abgebildet und stellen damit einen funktionsf higen aber auch nach Minimalprinzip ein
83. bleibt von dieser Einstellung unber hrt Detaillierte Information zu den Schutzstufen von S7 400 CPUs finden Sie unter SIMATIC Hochverf gbare Systeme S7 400H http support automation siemens com WW view de 82478488 Wenn S7 400 CPUs mit integriertem Web Server S7 400 PN Standard eingesetzt werden muss darauf geachtet werden dass der Web Server in der CPU deaktiviert ist Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 9 SIMATIC NET S7 400 Industrial Ethernet CPs 5 9 SIMATIC NET S7 400 Industrial Ethernet CPs Industrial Ethernet CPs CP 443 1 enthalten neben einem integrierten Web Server noch verschiedene andere integrierte Server abh ngig vom CP 443 1 Typ Hierbei ist im Sinne der Systemh rtung so zu verfahren wie bereits in den vorherigen Kapiteln beschrieben Alle Dienste und Verfahren die nicht ben tigt werden sollen ausgeschaltet bzw deaktiviert werden Somit sollen die integrierten Server wie z B Web Server FTP Server aber auch SNMP deaktiviert sein Beim Einsatz des CP 443 1 Advanced IT sind Security Einstellungen mithilfe des Projektierungswerkzeuges Security Configuration Tool SCT durchzuf hren IP Zugriffsschutz Die Industrial Ethernet CPs CP 443 1 bieten die M glichkeit einen IP Zugriffschutz mittels ACL zu projektieren Hierbei ist der Zugriff in Abh ngigkeit vom CP Typ f r folgende Optionen parametrierbar e Web Server e FTP
84. ces Restore Mode Administrator Password The Directory Services Restore Mode Administrator account is different from the domain Administrator account Assign a password for the Administrator account that will be used when this domain controller is started in Directory Services Restore Mode We recommend that you choose a strong password Password eeeeeees Confirm password eeeeeess More about Directory Services Restore Mode password 10 Mit der Schaltfl che Next navigieren Sie durch weitere Einstellungen des Wizards F r PCS 7 m ssen dabei keine speziellen Einstellungen vorgenommen werden Es k nnen die Standardeinstellungen bernommen werden Anschlie end wird die Installation angesto en Das Domain Name System DNS bewirkt dass die Namensaufl sung richtig funktioniert Siehe hierzu Kapitel Namensaufl sung Seite 26 Daf r ist es wichtig dass sowohl die Forward Lookup Zone als auch die Reverse Lookup Zone richtig konfiguriert ist Die Forward Lookup Zone bewirkt die Aufl sung des Rechnernamens in eine IP Adresse und die Reverse Lookup Zone l st eine IP Adresse in einen Rechnernamen auf Kompendium Teil F Industrial Security V8 1 136 Projektierungshandbuch 04 2015 A5E35032081 AA Be nuiizerverwattuing und Bedienberechligungen 6 5 Domain Controller Forward Lookup Zone Die Forward Lookup Zone wird bei der Installation des DNS Servers angelegt Kontrollieren Sie die richtigen Einstellungen im
85. ch als Administrator anmelden lokale Gruppe Administratoren oder rechnerspezifischer Administrator in der Domain Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 117 Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern Musterkonfiguration Die folgende Abbildung zeigt die Musterkonfiguration Enterprise Control Network OS Web Client Corporate Firewall SIMATIC IT SIMATIC IT Production Production Suite Suite OS Client SIMATIC IT SIMATIC IT OSC4 Server SQL Server Virus Scan Server Web Server ePo Station Manufacturing Operations Network Perimeter Microsoft Network Patch Server A WSUS Server 35354 Firewall SCALANCE S 2 Infrastructure Server v Su Quarantine PC File Server er te fe T mE annel E me x od oie SEE z Firewall OS Client OS Client OS Client en SCHNEE Sch 0SC2 0SC3 Back E Back Process Firewall 1 Firewall 2 Control TMG Network OS Server 0SS2 Engineering Station ES1 VPN aui gell Il m IN Fl Firewall Firewall SCALANCE S SCALANCE S SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H Kompendium Teil F Industrial Security V8 1 118 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutze
86. ch die Informationen im Handbuch SIMATIC Prozessleitsystem PCS 7 PC Konfiguration http support automation siemens com WW view de 90635791 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 77 Systemh rtung 5 4 Windows Firewall 5 4 Windows Firewall Einleitung Wie im Kapitel Security Controller Seite 76 beschrieben nimmt der Security Controller ab PCS 7 V8 0 bzw das SIMATIC Security Control lt PCS 7 V8 0 Einstellungen in Bezug auf die Windows Firewall vor In Hinsicht auf die Musterkonfiguration bei der eine Kommunikation von PCS 7 Rechnern zwischen unterschiedlichen Subnetzen gewahrleistet sein muss ist es notwendig manuelle Anpassungen an der Windows Firewall vorzunehmen Musterkonfiguration Windows Firewall Die folgende Vorgehensweise wird am Bespiel des Betriebssystems Windows 7 beschrieben Damit die Kommunikation beispielsweise zwischen dem OS Web Server mit der IP Adresse 192 168 2 203 und dem OS Server OSS1A mit der IP Adresse 192 168 2 101 die sich in unterschiedlichen Subnetzen befinden Perimeter Netzwerk und PCN1 nicht von der Windows Firewall blockiert wird muss folgende Anpassung in der Windows Firewall bzw in den Firewall Regeln gemacht werden 1 ffnen Sie die Windows Firewall ber den Befehl Start gt Systemsteuerung gt System und Sicherheit gt Windows Firewall Der Dialog Windows Firewall wird ge ffnet 7 windows Prena Z
87. ch mehrere Schichten Layer der Verteidigung um das zu verteidigende System in diesem Fall das Automatisierungssystem platzieren Peel the onion Die Implementierung einer tiefgestaffelten Verteidigung bedarf einer Kombination aus unterschiedlichen Sicherheitsma nahmen Dazu geh ren e Physikalische Sicherheitsma nahmen Kontrolle des physischen Zugangs zu r umlichen Bereichen Geb uden einzelnen R umen Schr nken Ger ten Betriebsmitteln Kabeln und Dr hten Die physikalischen Sicherheitsma nahmen m ssen an den Security Zellen und den verantwortlichen Personen ausgerichtet sein Es ist wichtig physischen Schutz auch an entfernten Einzelplatzsystemen zu realisieren e Organisatorische Sicherheitsma nahmen Sicherheitsrichtlinien Sicherheitskonzepte Sicherheitsregelwerke Security Checks Risiko Analysen Assessments und Audits Awareness Ma nahmen und Trainings Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 11 Security Strategien 3 2 Konzept der tiefgestaffelten Verteidigung Defense in Depth Die physikalischen und organisatorischen Sicherheitsma nahmen werden unter der berschrift Plant Security zusammengefasst e Aufteilung in Sicherheitszellen Eine umfassend abgesicherte Netzwerkarchitektur unterteilt das leittechnische Netzwerk in verschiedene Aufgabenebenen Es sollen Perimeterzonen Techniken eingesetzt werden Das bedeutet in diesem Fall die Verwendu
88. chen Sicherheitszellen mit SCALANCE S uu 2s2sssesssnnennnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnsnnnnnnnnnn nn 45 4 6 3 Datenaustausch zur Bedienung und Beobachtung mit abgesetzten OS Clients 53 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X uunsnneessnnnnnnssnnnnnnnnnnnnnnnnnnnnnnn ana 65 5 SYSLOMMAMUMG FOPRRRRPERCHRERETSTEFFFEPELTFETERTEREFTFERLTTFTFTTTEFFFFPRRTTETETTTTERTFERFTTERERETEFEEREBFETFITTITTERFTEFFTLTHRFETTTRFRERFERFTELLTTFR 70 5 1 bersicht aus saae A R e EN naslottats 70 5 2 Installation des Betriebssystems cccceecccceseecceceeeeeceeeeeeeceaeneeedceeseececeeeeeceensneeceaenseaeeennenee 71 5 3 Security Gontfoller 4 2 2 32 22 RE ett ee a a eee 76 5 4 Windows Firewall aaa E A A A A N A rare 78 5 5 BIOS Einstellungen en nn neh 84 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 3 Inhaltsverzeichnis 5 6 Umgang mit mobilen Datentr gern 224444444440Hnnnnnnnnnennnnnnnnnnnnennennnnnnnnnnnnennnnnnnnnn nn 85 5 6 1 BbBErSIch A ee een 85 5 6 2 Sperren des Zugriffs auf USB Speichermedien mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 224444400snnnnennnnnnnnensnnnnennnnnnnennnnnnnnnnnnnnnennnnrnn ennn nnmnnn enn 87 5 6 3 Reglementierung der Nutzung von auf USB Speichermedien mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 uuuss2424444ns
89. chner zur Installation freigegeben sind Die freigegebenen Ger te werden im Dialog Inhalt anzeigen angezeigt Inhattanzenen re Installation von Ger ten mit diesen Ger te IDs zulassen Wert USB VID_OBF8 amp PID_100C 4 Um weitere Ger te zur Installation auf Ihrem Rechner freizugeben geben Sie die Hardware IDs der Ger te in den Dialog ein Die Hardware IDs der Ger te k nnen Sie mithilfe des Ger te Managers ermitteln 5 Best tigen Sie die Einstellungen mit der Schaltfl che OK Auf Ihrem Rechner sind die Installation und die Verwendung der eingegebenen Ger te durch die Benutzer erlaubt Der Administrator unterliegt nicht dieser Einschr nkung Kompendium Teil F Industrial Security V8 1 98 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 5 6 4 Windows AutoRun AutoPlay f r CD DVD Laufwerke und USB Speichermedien deaktivieren Quelle http support microsoft com kb 967715 de Die Hauptaufgabe von Autorun besteht darin auf Hardwareaktionen die auf einem Rechner gestartet werden softwareseitig zu reagieren Autorun bietet die folgenden Funktionen e Doppelklicken e Kontextmen e Automatische Wiedergabe Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen W hrend der automatischen Wiedergabe wird die Datei Autorun inf auf dem Medium gesucht und wenn vorhanden analysiert Diese Datei legt fest welch
90. ction1 enterprise local ddress 192 168 2 125 gt suw2k8r2stdba localhost 127 0 0 1 syuw2k8r2stdha productioni1 enterprise local 192 168 2 125 Kompendium Teil F Industrial Security V8 1 144 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 6 5 2 Installation und Konfiguration eines zus tzlichen Domain Controllers DC2 DCn in einer vorhandenen Domain F r die Installation eines weiteren Domain Controllers gibt es zwei M glichkeiten Der Rechner der als weiterer Domain Controller installiert wird ist bereits Mitglied der Domain Der Rechner der als weiterer Domain Controller installiert wird ist kein Mitglied der Domain Die Installation unterscheidet sich bei den zwei M glichkeiten nur geringf gig Die Vorgehensweise wird anhand des Betriebsystems Windows Server 2008 R2 beschrieben 1 2 3 ffnen Sie den Server Manager auf dem Secondary Domain Controller Klicken Sie dazu auf Start gt Administrative Tools gt Server Manager F gen Sie ber die Schaltfl che Add Roles und den daraufhin startenden Add Roles Wizard die Rolle Active Directory Domain Services siehe Installation und Konfiguration des ersten Domain Controllers DC1 Seite 126 Starten Sie wie beim Primary Domain Controller die Konfiguration mittels dcpromo Der Active Directory Domain Services Installation Wizard wird gestartet W hlen Sie im Di
91. ctory Server lt Type a Directory Server name port here gt SVW2K8R2STDBA7 production1 enterprise local Default First Site Name GC SVW2K8R2STDBAS8 production1 enterprise local Default First Site Name GC 7 Klicken Sie mit der rechten Maustaste auf den Eintrag Active Directory Schema der Management Konsole und w hlen Sie im Kontextmen den Befehl Operations Master gt F Console1 Console Root Active Directory Schema SVW2K8R2STDBA7 production1 enterpri Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 163 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 8 Klicken Sie im Dialog Change Schema Master auf die Schaltfl che Change Best tigen Sie den Transfer der Rolle auf den anderen Domain Controller mit Schaltfl che OK Change Schema Master x The schema master manages modifications to the schema Only one server in the enterprise performs this role Curent schema master online SVW2K8R2STDBA7 production enterprise local To transfer the schema master role to the targeted schema FSMO holder below click Change cose Hee 9 Schlie en Sie den Transfer der Schema Master Rolle ber die Schaltfl che Close ab Domain Naming Master Rolle Um die Domain Naming Master Rolle auf einen anderen Domain Controller zu transferieren gehen Sie folgenderma en vor 1 ffnen Sie ber Start gt Administr
92. d ben tigten Netzwerkdienste eines Prozessleitsystems kann dezentral oder zentral organisiert werden Mischkonfigurationen von zentraler und dezentraler Verwaltung sind m glich Zentrale Verwaltung Domain Active Directory Alle notwendigen Informationen und Einstellungen k nnen zentral konfiguriert werden e Pv4 Adressen Subnetzmaske Standard Gateway DNS Server ber DHCP e DNS und NetBIOS Namensaufl sung ber DNS bzw WINS e Uhrzeitsynchronisation NTP SNTP Dezentrale Verwaltung Windows Arbeitsgruppen Alle notwendigen Informationen und Einstellungen m ssen lokal an jedem einzelnen Rechner innerhalb des Prozessleitsystems konfiguriert werden RADIUS RADIUS Remote Access Dial In User Service ist ein Netzwerkprotokoll f r die zentrale Authentifikation Autorisierung und Benutzerkontenf hrung Die zentrale Benutzerauthentifizierung von Netzwerkkomponenten ist vorzugsweise ber einen zentralen RADIUS Server durchzuf hren z B ber den Network Policy Server NPS als Teil des MS Active Directory Informationen zur Konfiguration der RADIUS Optionen der Netzwerkger te finden Sie in den Handb chern der SCALANCE X Netzwerkgerate DHCP Durch DHCP Dynamic Host Configuration Protocol k nnen automatisch Client Rechner und andere TCP IP basierte Netzwerkger te mit g ltigen IP Adressen bereitgestellt werden Es k nnen auch die zus tzlichen von diesen Clients und Ger ten ben tigten Konfigurationsparameter z B DNS Serv
93. dbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 2 Adressierung und Segmentierung Auf diese Weise vergeben Sie allen Computern die entsprechende IP Adresse Enterprise Control Network OS Web Client Corporate Firewall SIMATIC IT Production Suite SIMATIC IT Production Suite Front Firewall 204 Virus Scan Server TMG 12 SIMATIC IT SQL Server 94 OS Client 11 SIMATIC IT 192 168 2 0 26 Manufacturing Operations Network 192 168 2 192 26 Perimeter Network Microsoft Patch Server WSUS Server 202 Infrastructure Server Quarantine PC File Server Firewall SCALANCE S OS Client OSC1 OS Client OSC2 OS Client OSC3 Back Process Firewall 2 Control TMG Network Firewall 1 93 TMG 192 168 2 64 26 192 168 2 128 26 Control System Network Engineering Station ES1 VPN ee Tunnel OS Server OSS2 lil Hil p Ill ail IN Firewall Firewall il Samos sSeatances II SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 25 Netzwerksicherheit 4 3 Namensaufl sung 4 3 Namensaufl sung Rechnernamen 26 Durch den Rechnername kann ein Rechner innerhalb eines Netzwerkes eindeutig identifiziert werden Dies ist die Voraussetzung um mit dem Rechner
94. de Tabelle fasst die Adressen f r beide Domain Controller f r die Sicherheitszelle DCS1 zusammen Domain Controller 1 DC1 Domain Controller 2 DC2 IP Adresse 192 168 2 125 92 168 2 126 Subnetzmaske 255 255 255 192 255 255 255 192 Standardgateway 192 168 2 65 192 168 2 65 Bevorzugter DNS Server 127 0 0 1 127 0 0 1 192 168 2 125 192 168 2 126 192 168 2 126 192 168 2 125 FQDN DC1 production1 enterprise local DC2 production1 enterprise local 6 5 1 Installation und Konfiguration des ersten Domain Controllers DC1 126 Es gibt unterschiedliche M glichkeiten eine Server Installation zu starten Die in diesem Kapitel beschriebene Vorgehensweise wird empfohlen Hinweis Die Vorgehensweisen sind anhand des Betriebssystems Windows Server 2008 R2 beschrieben Informationen zu Windows Server 2012 finden Sie unter https technet microsoft com de de library hh831809 aspx Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Rolle Active Directory Domain Services installieren 1 Klicken Sie auf Start gt Administrative Tools gt Server Manager Der Server Manager wird ge ffnet 2 W hlen Sie im Navigationsbereich den Eintrag Roles und klicken Sie auf die Schaltfl che Add Roles um eine neue Rolle hinzuf gen 4 Server Manager Ele Action Yew Help KL Aml
95. dem Microsoft Windows Server Update Service WSUS 24444sn4nennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnan nn nn 180 7 2 2 Konfiguration der Computerrichtlinien 4444444440RR nn nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannn nn 184 7 2 3 Firewall Regeln nismen arr re Reader 189 7 3 Manuelles Updaten izmiris eimen i a ance a u n a a Taea aiae e Na 190 Kompendium Teil F Industrial Security V8 1 4 Projektierungshandbuch 04 2015 A5E35032081 AA Inhaltsverzeichnis 8 Schutz vor Schadsoftware mittels Virenscanner 2 444400H4nnnnBnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnn nennen 191 8 1 bersicht a TREREIE GER PEHFEREUREREE III a a a a a 191 8 2 Vorgehensweise nach einer Virusinfektion 444sssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ann 196 9 Sichern und Wiederherstellen von Daten 4444444440nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen nennen 199 9 1 Back p Str ategie un n nannte 199 9 1 1 Umfang der Backups 224 cei cet 22 manner Reale 200 9 1 2 Intervall der Backup Erstellung 24444444440Bennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennn nennen 201 9 2 Aufbewahrungsort von Backups 224444sssnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 202 9 3 PN d uI YALSJU PT 010 o2 Aibets faked trhetees ache ceed ie eth hake Sect shhucs colbenectcied A li cceet ie de dbase 202 WO FOUN 1 RAR ET RT IRRE TR
96. den Rechnern in den Sicherheitszellen DCS1 und DCS2 ber die Back Firewall s zu gew hrleisten m ssen in der den Back Firewall s entsprechende Regeln hinterlegt werden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 57 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Firewall Regeln Wenn als Back Firewall die Automation Firewall zum Einsatz kommt kann die Quarantane Station FTP Server an der Back Firewall f r die Sicherheitszellen DCS1 und DCS2 ver ffentlicht werden vgl Web Ver ffentlichung des PCS 7 Web Server an der Front Firewall oder Web Ver ffentlichung des PCS 7 Web Server an der Back Firewall Dazu muss eine entsprechende Ver ffentlichungsregel FTP Forwarding mit dem Task Publish Non Web Server Protocols in der Automation Firewall Microsoft Forefront TMG Management Konsole konfiguriert werden Name Action Traffic Form To Networks Publish FTP Server Allow FTP Server Anywhere IP Adresse der Quarant ne Station PCN1 Durch diese FTP Ver ffentlichung des FTP Servers Quarantane Station wird im Vergleich zu einer reinen Port Freigabe eine h here Sicherheit erreicht Hinweis Das komplette Angebot zur Automation Firewall finden Sie im PCS 7 Add on Katalog Diesen Katalog k nnen Sie ber die SIMATIC PCS 7 Webseite https www automation siemens com mcms process control systems de
97. der Windows Server Produktfamilie mit der IP Adresse eines DNS Servers konfigurieren Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 31 Netzwerksicherheit 4 3 Namensaufl sung Musterkonfiguration Namensaufl sung 32 Die Musterkonfiguration wurde in vier bzw f nf Sicherheitszellen DCS1 DCS2 MES und Perimeter aufgeteilt In keinem dieser Sicherheitszellen ist f r die NetBIOS Namensaufl sung ein WINS Server vorhanden Ein DNS Server zur Host Namensaufl sung ist auch in keiner Sicherheitszelle vorhanden Um eine problemlose Namensaufl sung zu gew hrleisten muss auf jedem Rechner die Imhosts Datei konfiguriert werden Zuvor muss f r jeden Rechner ein Rechnername vergeben werden Gehen Sie dazu vor wie unter Punkt ndern des Computernamens beschrieben Beachten Sie dass der Rechnername nur vor der Installation von SIMATIC PCS 7 und vor dem ersten ffnen des WinCC Explorer ge ndert werden darf Wenn f r jeden Rechner ein Rechnername und eine IP Adresse festgelegt wurden k nnen Sie die Imhosts Datei konfigurieren Gehen Sie dazu folgenderma en vor 1 ffnen Sie die Datei Lmhosts sam z B Mithilfe der Anwendung Notepad Die Datei befindet sich im Verzeichnis windir system32 Drivers etc und ist eine Beispieldatei Sample die Sie zur Erstellung der individuellen Lmhosts Datei als Vorlage verwenden k nnen 2 F gen Sie am Ende der Datei f r jeden Rechne
98. des Gruppenrichtlinieneditor als Administrator Programme 1 Weitere Ergebnisse anzeigen gpedit msc Herunterfahren F r diese Aktion sind Administratorenrechte notwendig Melden Sie sich deshalb als Administrator an oder starten Sie den Gruppenrichtlinieneditor als Administrator Geben Sie das Administratorpasswort ein wenn dies erforderlich ist Der Gruppenrichtlinieneditor wird ge ffnet Kompendium Teil F Industrial Security V8 1 88 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 3 Selektieren Sie den Ordner Computerkonfiguration gt Administrative Vorlagen gt System gt Wechselmedienzugriff amp Editor f r lokale Gruppenrichtlinien Sf Richtlinien f r Lokaler Computer te E El Computerkonfiguration 3 Zeit in Sekunden bis zur Erzwingung des Neustarts Nicht konfiguriert Softwareeinstellungen i2 CD und DVD Ausfiihrungszugriff verweigern Nicht konfiguriert Windows Einstellungen UE CD und DVD Lesezugriff verweigern Nicht konfiguriert CD und DVD Schreibzugriff verweigern Nicht konfiguriert 5 Benutzerdefinierte Klassen Lesezugriff verweigern Nicht konfiguriert Benutzerdefinierte Klassen Schreibzugriff verweig Nicht konfiguriert i Diskettenlaufwerke Ausf hrungszugriff verweigern Nicht konfiguriert i Diskettenlaufwerke Lesezugriff verweigern Nicht konfiguriert i Diskettenlaufwerke Schreibzug
99. dulen Internes Netz 1 Externes Netz Internes Netz 2 VPN Tunnel Control System Network Control System Network SIMATIC S7 400 J SIMATIC S7 400 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 45 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Das interne sichere Netzwerk wird am SCALANCE S am Port 2 Internal Network Port angeschlossen Im internen Netzwerk wird der Netzknoten jeweils durch ein Automatisierungssystem repr sentiert das an den Internal Network Port 2 Port2 gr n eines SCALANCE S Moduls angeschlossen ist e AS1 Repr sentiert einen Teilnehmer des CSN in der Sicherheitszelle 1 internes Netz 1 e AS2 Repr sentiert einen Teilnehmer des CSN in der Sicherheitszelle 2 internes Netz 2 e SCALANCE S Modul 1 SCALANCE S Modul f r die Sicherheitszelle 1 e SCALANCE S Modul 2 SCALANCE S Modul f r die Sicherheitszelle 2 Das ffentliche externe Netzwerk unsicheres Netz wird an den External Network Port Port1 rot des SCALANCE S Moduls angeschlossen Zur Projektierung wird die Engineering Station verwendet Dazu muss auf der ES das Projektierungswerkzeug Security Configuration Tool installiert sein Projektierungsschritte im berblick SCALANCE S und Netzwerke einrichten IP Einstellungen der Automatisierungssysteme einrichten Projekt und und Security Baugruppen anlegen VPN Gruppe konfigurieren
100. e Zertifikate abgesichert sind wie z B RDP Remote Desktop Protocol einen ber HTTPS sicher publizierten Windows Server Terminal oder Windows Server Web Server ber die Firewall unter Verwendung der SSL Secure Sockets Layer Technologie Die Ma nahmen bez glich der Sicherheitszellen z B Bildung von Sicherheitszellen Sicherung der Zugangspunkte und die sichere Kommunikation zwischen unterschiedlichen Sicherheitszellen werden unter der berschrift Netzwerksicherheit zusammengefasst 12 Systemh rtung Systemeinstellungen eines Computers die ihn widerstandsf higer gegen Angriffe durch Schadsoftware machen Benutzermanagement und rollenbasierte Bedienberechtigungen Aufgabenbezogene Bedien und Zugriffsrechte role based access control Patchmanagement Patchmanagement ist die planm ige Vorgehensweise zur Installation von Updates auf Anlagencomputern Malware Detection amp Prevention Einsatz von geeigneten und richtig konfigurierten Virenscannern Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Security Strategien 3 2 Konzept der tiefgestaffelten Verteidigung Defense in Depth Die Ma nahmen Systemh rtung Benutzer und Patchmanagement sowie Malware Detection amp Prevention werden unter der berschrift Integrity Protection oder Endpoint Protection zusammengefasst Die folgende Abbildung zeigt die Defense in Depth Strategie Anlagensicherheit Ph
101. e Befehle vom System ausgef hrt werden blicherweise wird diese Funktionalit t zum Starten von Installationsprogrammen genutzt Aber ber diese Funktion kann auch Schadsoftware wie z B Trojaner gestartet werden Wechseldatentrager F E x Es kann immer dieselbe Aktion durchgef hrt werden wenn ein Datentr ger eingelegt wird bzw ein Ger t das diesen Dateityp enth lt angeschlossen wird Bilder Welche Aktion soll durchgef hrt werden Bilder drucken mit Fotodruck Assistent 77 Diashow der Bilder anzeigen mit Windows Bild und Faxanzeige FA Bilder in einen Ordner auf Computer kopieren mit Microsoft Scanner und Kamera Assistent Ordner ffnen um Dateien anzuzeigen mit Windows Explorer Immer die ausgew hlte Aktion durchf hren Abbrechen Verantwortlich f r AutoRun und auch f r AutoPlay ist der Dienst Shellhardwareerkennung ShellHWDetection Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 99 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 5 6 4 1 Deaktivieren der AutoPlay Funktion mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 Vorgehensweise Um die AutoPlay Funktion zu deaktivieren gehen Sie folgenderma en vor 1 Klicken Sie auf Start und geben Sie in das Feld Suche die Zeichenfolge gpedit msc ein Programme 1 Microsoft Outlook J9 Weitere Ergebnisse anzeigen gpedit msc E Herunterfahr
102. e Client Ti Microsoft SOL Server Setup Support Files Enalish Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Microsoft Corporation Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 2 Installation des Betriebssystems 2 Klicken Sie im Navigationsbereich auf den Eintrag Windows Funktionen aktivieren oder deaktivieren Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie bereits als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Windows Funktionen wird ge ffnet iaix Windows Funktionen aktivieren oder deaktivieren Verwenden Sie die Kontrollk stchen um die entsprechenden Funktionen ein oder auszuschalten Ein ausgef lltes Kontrollk stchen bedeutet dass eine Funktion nur teilweise aktiviert ist a Subsystem f r UNIX basierte Anwendungen Tablet PC Komponenten Telnet Client Telnet Server TFTP Client Windows Search Windows Prozessaktivierungsdienst Windows TIFF IFilter he Lox areen om0g000000 3 Deaktivieren Sie die nicht ben
103. e Ports die nicht ben tigt werden SIEMENS Automation amp Drives s Console s Support s Logout SIMATIC NET Power CPU Port Status F E Pi OO Ps SIMATIC NET Industrial Ethernet Switch U B P2 DO Ben un SCALANCE X204 2LD P4 B 192 168 0 16 Hl 204 2LD Switch Ports Status ds System a Sen Port Type Mode Mode Status Status Link X204 2LD current must be current must be H Agent 1 TP100TX 100MFD AutoNeg forwarding Enabled up Switch 2 TP100TX 10MHD Autoneg forwarding Enabled down B Ports 3 TP100TX 10M HD AutoNeg forwarding Enabled down E Port Diags 4 TP100TX 100MFD Autoneg forwarding Enabled up E FDB 5 FO100Fx 100MFD 100MFD off Enabled down E ARP Table 6 FO100FX 100MFD 100M FD off Enabled down E LLDP B pce E Statistics 66 Refresh Set Values Dieser Dialog informiert Sie ber den aktuellen Zustand der Ports Zudem k nnen verschiedene Porteinstellungen vorgenommen werden e Port Zeigt die Portnummer an e Type Zeigt die Art des Ports an Mode Zeigt die bertragungsgeschwindigkeit 10 oder 100 MBits s und das bertragungsverfahren Vollduplex oder Halbduplex an e Negotiation Zeigt an ob Autonegotiation aktiviert oder deaktiviert ist e Status Zeigt an dass der Port eingeschaltet ist e Link Zeigt den Verbindungsstatus zum Netzwerk an Wenn ein Port nicht verwendet wird muss der Status dieses Ports auf Disabled gestellt
104. echpartner finden Sie unter http www industry siemens com topics global de industrial security seiten default aspx Sie k nnen Ihre Anfrage per E Mail auch direkt an industrialsecurity i siemens com richten Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 109 Systemh rtung 5 8 SIMATIC S7 CPUs 5 8 110 SIMATIC S7 CPUs Seitdem die S7 400 Steuerung die kritischste Komponente in einer PCS 7 Konfiguration ist wird empfohlen ein Passwort und eine geeignete Schutzstufe zu vergeben Das Passwort sollte eine ausreichende Komplexitat haben Das bedeutet z B dass das Passwort aus Buchstaben Sonderzeichen und Zahlen besteht und eine Lange von mindestens 8 Zeichen hat Fur S7 400 CPUs kann im Projekt eine Schutzstufe definiert werden um einen nicht autorisierten Zugriff auf das CPU Programm zu verhindern Es kann zwischen drei Schutzstufen gewahlt werden Dabei hat die Schutzstufe 1 keine Zugriffsrestriktion und die Schutzstufe 3 die strengste Zugriffrestriktion Es wird empfohlen mindestens die Schutzstufe 2 zu konfigurieren Des Weiteren wird empfohlen die Option der erh hten Passwortsicherheit zu verwenden Die erh hte Passwortsicherheit ist nur f r das Engineering System relevant Wenn diese Option aktiviert ist wird das eingegebene Passwort in der Datenhaltung verschl sselt abgelegt Dadurch wird die Sicherheit des Passworts erh ht Das Verhalten im Passwortbetrieb
105. ees 14 4 Netzwerksicherheit 22 2 coe 228222 16 4 1 Automatisierungs und Sicherheitszellen 4444444nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenne 16 4 2 Adressierung und Segmentierung 24444444444Hennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenne 18 4 2 1 Musterkonfiguration Aufteilung in Subnetze uusrsnneeennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 19 4 2 2 Musterkonfiguration Einstellung der IP Adressen und der Subnetzmaske 23 4 3 Namensaufl sung ue nennen nennen 26 4 4 Verwaltung von Netzwerken und Netzwerkdiensten 24444244440ssnnnnnnennnnnnnennnnn nennen 33 4 5 Zugangspunkte zu den Sicherheitszellen 44444444440n nn nnnnnnennnnennennnnennnnnnnnnnnnan 34 4 5 1 bersicht sn a re 34 4 5 2 Automation Firewall Appliance 244004424440nnennnnnnnennnnennennnnnnnnnnnnennnnnnnnnnnnnnnnn nn nnn nn 35 4 5 3 Musterkonfiguration Zugriffsregeln 0 2 ee eeeeeee sent cece eter ee ee tates ee taeeeeesaaeeeeeaeeeeetaeeeeetieeeenes 36 4 6 Sichere Kommunikation zwischen Sicherheitszellen u 4440nnnnnnnnnnnnnnnnnnnnnnnen 43 4 6 1 WISTS ICH Lee een ee 43 4 6 2 Datenaustausch zwischen Automatisierungssystemen uunessnseeesssnnnnnnssnnnnnnnnnnnnnnn nn nnnn nn 43 4 6 2 1 Einf hrung ee an E E E Eee A A EEE RER 43 4 6 2 2 Musterkonfiguration Aufbau einer sicheren Kommunikation zwis
106. eilung in Sicherheitszellen Die Musterkonfiguration besteht aus zwei unabh ngigen Teilanlagen mit einer gemeinsamen Bedien und Beobachtungsebene Somit kann eine Sicherheitszelle f r die Teilanlage A mit den jeweils der Teilanlage A zugeordneten S7 Steuerungen und OS Servern gebildet werden F r die Teilanlage B und den dieser Teilanlage zugeordneten Steuerungen und OS Servern wird eine separate Sicherheitszelle gebildet Die Aufteilung der Gesamtanlage in eine Sicherheitszelle f r die Teilanlage A sowie f r die Teilanlage B bedingt auch die Auftrennung von Anlagen und Terminalbus Die OS Clients auf denen eine Bedienung und Beobachtung des Gesamtprozesses Teilanlage A und B m glich sein soll werden der Sicherheitszelle der Teilanlage A zugeordnet Somit muss eine Kommunikation zwischen den Sicherheitszellen von Teilanlage A und B sichergestellt werden Der Web Server der zur Bedienung und Beobachtung aus dem Corporate Netzwerk bzw aus dem Internet dient wird in einer separaten Sicherheitszelle Perimeter platziert In dieser Sicherheitszelle werden auch Virenscan Server und WSUS Update Server platziert F r einen Datenaustausch Projektdaten Projektbackup zwischen den Sicherheitszellen wird auch ein Quarant ne PC in der Perimeter Sicherheitszelle implementiert Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 16 Netzwerksicherheit 4 1 Automatisierungs und Sicherheitszellen Die
107. eit gt Datenaustausch zur Bedienung und Beobachtung mit abgesetzten OS Clients Seite 53 e Kapitel Benutzerverwaltung und Bedienberechtigungen gt Domain Controller Seite 124 Installation und Konfiguration des ersten Domain Controllers DC1 Seite 126 Installation und Konfiguration eines zus tzlichen Domain Controllers DC2 DCn in einer vorhandenen Domain Seite 145 FSMO Rollen Seite 160 Benutzer und Benutzergruppen Seite 168 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 10 Security Strategien 3 1 Allgemein Das Industrial Control Systems Cyber Emergency Response Team ICS CERT unterst tzt Anlagenbetreiber bei Sicherheitsgutachten zur Bereitstellung zus tzlicher Abwehrma nahmen zum Schutz vor Computer und Netzwerksicherheitrisiken Das ICS CERT empfiehlt e Minimierung der Netzwerkschwachstellen f r alle Leitsystemger te Wichtige Ger te sollten keinen direkten Zugangs ins Internet haben e Das Leitsystemnetzwerk und die Remote Ger te hinter einer Firewall platzieren und vom Firmennetz isolieren e Wird Remote Zugang ben tigt sind sichere Methoden wie z B Virtual Private Networks VPNs zu nutzen Beachten Sie dass das VPN nur so sicher ist wie die angebundenen Ger te 3 2 Konzept der tiefgestaffelten Verteidigung Defense in Depth Das Konzept der tiefgestaffelten Verteidigung Defense in Depth ist eine Security Strategie bei der si
108. ek im SIMATIC Manager W hlen Sie den Men befehl Extras gt Zugriffsschutz gt Deaktivieren 3 Tragen Sie im Dialog Zugriffschutz deaktivieren das Passwort und die Passwortbest tigung ein Klicken Sie auf die Schaltfl che OK Das ausgew hlte Projekt bzw die Bibliothek wird nicht mehr durch ein Passwort gesch tzt und kann von jedem Benutzer zur Bearbeitung ge ffnet werden Weitere Informationen 172 Weitere Informationen finden Sie im Projektierungshandbuch SIMATIC Prozessleitsystem PCS 7 Engineering System http support automation siemens com WW view de 90663380 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners 6 6 3 nderungen im nderungsprotokoll dokumentieren Einleitung Im nderungsprotokoll wird dokumentiert welcher Benutzer zu welcher Zeit an welcher CPU welche nderung aus welchem Grund vorgenommen hat Voraussetzung Die folgenden Voraussetzungen m ssen erf llt sein e Der SIMATIC Logon Service ist installiert e Der Zugriffsschutz ist aktiviert Vorgehensweise Um das nderungsprotokoll f r einen Ordner im SIMATIC Manager zu aktivieren gehen Sie folgenderma en vor 1 Selektieren Sie in der Komponentensicht des SIMATIC Managers den Ordner f r den Sie das nderungsprotokoll aktivieren m chten 2 W hlen Sie den Men befeh
109. ekt Backup muss in der Praxis h ufiger mit einer h heren Frequenz als ein System Backup erstellt werden Das Projekt Backup enth lt die Projektierungsdaten und ist aus diesem Grund veraltet wenn eine Projektierungs nderung durchgef hrt wird Den Zyklus zur Erstellung eines Projekt Backups h ngt aus diesem Grund von der nderungsfrequenz ab und soll dementsprechend festgelegt werden Das System Backup enth lt die Systemdaten einer Systemkomponente Diese Daten werden grunds tzlich im laufenden Betrieb nur sehr selten ge ndert Ein m gliches Szenario f r eine nderung w re die Installation eines zus tzlichen Programms oder eines notwendigen Treibers Das sind aber administrative T tigkeiten die grunds tzlich nicht t glich durchgef hrt werden Aus diesem Grund ist die H ufigkeit zur Erstellung eines System Backups abh ngig von solchen administrativen Eingriffen in einer Systemkomponente Eine Besonderheit stellt ein konsequent betriebenes Patchmanagement dar Wenn z B eine neue Software z B ein Sicherheitsupdate oder ein wichtiges Update auf einer Systemkomponente installiert wird muss ein aktuelles System Backup f r diese Systemkomponente erstellt werden Hinweis F r SIMATIC PCS 7 ist das Produkt Symantec System Recovery auf Vertr glichkeit getestet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 201 Fernzugriff 9 2 Aufbewahrungsort von Backups 9 2
110. ektierungshandbuch 04 2015 A5E35032081 AA 207 Fernzugriff 10 3 Anbindungsm glichkeiten an die SIEMENS Remote Service Platform Connectivity Installation SRS Customer own access Eine existierende IT Infrastruktur wird als Verbindungspartner zur SIEMENS Remote Service Plattform verwendet Im IT Equipment des Kunden erfolgt die Terminierung f r die notwendige VPN IPsec Tunnelverbindung F r die sichere bermittlung der Daten ist ein konformer Standard IPsec Endpunkt zur Verf gung zu stellen bei dem eine Preshard Secret basierender IPsec Verbindung im Tunnelmodus eingerichtet werden kann Siemens Remote Service Platform VPN IPsec Tunnel Connection BEE IT Infrastructure SS of the Customer Enterprise Corporate Network Customer Process Control Production Network Kompendium Teil F Industrial Security V8 1 208 Projektierungshandbuch 04 2015 A5E35032081 AA Fernzugriff 10 3 Anbindungsm glichkeiten an die SIEMENS Remote Service Platform Connectivity Installation SRS SSL client access Es wird eine SSL VPN Client Software bereitgestellt die mittels vorhandener IT Infrastruktur ber einen Internetzugang Port 443 eine Verbindung zur SIEMENS Remote Service Platform herstellt Hinter dem Internetzugang wird die VPN IPsec Tunnelverbindung am Client System terminiert Der auf dem Zielsystem installierte SSL VPN Client bildet in diesem Fall den IPsec Tunnel Endpunkt dieser Verbindung
111. en Weitere Informationen Weitere Informationen zum Schutzstufenkonzept finden Sie im Handbuch SIMATIC Prozessleitsystem PCS 7 Engineering System http support automation siemens com W W view de 90663380 Kompendium Teil F Industrial Security V8 1 176 Projektierungshandbuch 04 2015 A5E35032081 AA Patchmanagement 1 7 1 bersicht Microsoft beseitigt regelm ig Sicherheitsl cken in seinen Produkten und stellt diese Korrekturen ber offizielle Updates Patches seinen Kunden zur Verf gung Um einen sicheren und stabilen Betrieb von SIMATIC PCS 7 zu gew hrleisten ist die Installation von Sicherheitsupdates und Wichtigen Updates notwendig Zur Implementierung dieser Updates bestehen grunds tzlich zwei M glichkeiten e Windows Updates ber einen WSUS Bereitstellung von Windows Updates fur alle Rechner des Automatisierungssystems durch einen separaten Windows Server Update Service WSUS e Manuelles Update Manuelle Installation der Sicherheits Updates und Wichtigen Updates nach einem Download von den Microsoft Sites auf allen Rechnern des Automatisierungssystems Informationen zum Thema Patchmanagement finden Sie in den folgenden Dokumenten e Handbuch SIMATIC Prozessleitsystem PCS 7 Patchmanagement und Securityupdates http support automation siemens com W W view de 38621083 e FAQ Wie kann man herausfinden welche Microsoft Patches auf dem PC installiert sind http support automation sie
112. en gt Kompendium Teil F Industrial Security V8 1 100 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 2 Starten Sie den Gruppenrichtlinieneditor als Administrator Programme 1 Microsoft Outlook Offnen Im Autorenmodus ffnen Als Administrator ausfiihren Weitere Ergebnisse anzeigen gpedit msc Herunterfahren F r diese Aktion sind Administratorenrechte notwendig Melden Sie sich deshalb als Administrator an oder starten Sie den Gruppenrichtlinieneditor als Administrator Geben Sie das Administratorenpasswort ein wenn dies erforderlich ist Der Gruppenrichtlinieneditor wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 101 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 3 Selektieren Sie den Ordner Computerkonfiguration gt Administrative Vorlagen gt Windows Komponenten gt Richtlinien f r die automatische Wiedergabe Im rechten Bereich des Editors werden die zum Ordner zugeh rigen Richtlinien angezeigt g Editor f r lokale Gruppenrichtlinien Datei Aktion Ansicht e9 Amel HA Fr LZ Richtlinien f r Lokaler Computer E Computerkonfiguration Autoplay deaktivieren Softwareeinstellungen i2 Kein Kontrollk stchen Vorgang immer durchf hren festlegen Windows Einstellungen i2 Automatische Wiedergabe f
113. en k nnen Sie m ssen zwei Servernamenwerte festlegen um diese Einstellung verwenden zu k nnen Einen Server von dem der Automatische Updates Client Updates ermittelt und herunterl dt und einen Server auf dem die Statistik der aktualisierten Arbeitsstationen hochgeladen werden Sie k nnen f r beide Werte den gleichen Server festlegen Wenn der Status auf Aktiviert festgelegt ist stellt Kompendium Teil F Industrial Security V8 1 186 Projektierungshandbuch 04 2015 A5E35032081 AA Patchmanagement 7 2 Windows Server Update Service WSUS e Richtlinie Clientseitige Zielzuordnung aktivieren Die Richtlinie Clientseitige Zielzuordnung aktivieren muss aktiviert werden Im Eigenschaftsdialog der Richtlinie muss die Rechner Gruppe eingegeben werden zu welcher der Rechner geh ren soll cY Clientseitige Zielzuordnung aktivieren Ei Clientseitige Zielzuordnung aktivieren Vorherige Einstellung N chste Einstellung Nicht konfiguriert Kommentar o Aktiviert BER a Unterstutzt auf Fan Pack1 ie Optionen Hilfe Zielgruppenname f r diesen Computer Gibt den Zielgruppennamen oder die Namen an die verwendet werden sollen die zum Empfang von pcs 7 Gruppel Updates vom Microsoft Updatedienst im Intranet verwendet werden sollen Wenn der Status auf Aktiviert festgelegt ist werden die angegebenen Zielgruppeninformationen an den Microsoft Updatedienst im Intranet gesendet Dieser verwendet diese Inf
114. en mit diesen Ger te IDs zulassen Installation von Ger ten mit diesen Ger te IDs verhindern Installation von Ger ten mit Treibern zulassen die diesen Ger te Setup Klassen entsprechen Installation von Ger ten mit Treibern verhindern die diesen Ger te Setup Klassen entsprechen Installation von Wechselger ten verhindern Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern Der Zusammenhang dieser Gruppenrichtlinien ergibt sich aus dem folgenden Diagramm Neues Ger t wird mit dem PC verbunden Administratoren das Au erkraftsetzen der Richtlinien unter Einschr nkungen bei der Ger teinstallation erlauben Installation von Ger ten mit diesen Ger te IDs verhin dern Installation von Ger ten mit Treibern verhindern die diesen Ger tesetupklassen entsprechen Installation von Wechselger ten verhindern Installation von Ger ten verhindern die nicht in anderen Richtlinien beschrieben sind Installation von Ger ten mit diesen Ger te IDs zulassen Installation von Ger ten mit Treibern zulassen die diesen Ger tesetupklassen entsprechen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 95 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 96 Wenn Sie unter Beachtung der 0 9 Gruppenrichtlinien an einem Rechner nur ganz bestimmte Ger
115. enannt Bei Standard CPUs hei t die Schutzstufe 1 kein Schutz Eine Passworteingabe ist hier nicht m glich Ein Passwortschutz kann ber die Schutzstufe 2 CPU Projektierung ber HW Konfig eingerichtet werden Bei F CPUs bzw H CPUs hei t die Schutzstufe 1 Zugriffschutz f r F CPU oder Schl sselschalterstellung In der Voreinstellung kann kein Sicherheitsprogramm geladen werden Erst durch Vergabe eines Passwortes und durch die Option CPU enth lt Sicherheitsprogramm k nnen Sie Sicherheitsbausteine in die CPU laden Schutzstufe 2 Schreibschutz Bei Schutzstufe 2 ist nur lesender Zugriff auf die CPU m glich unabh ngig von der Stellung des Schl sselschalters Schutzstufe 3 Schreib Leseschutz Bei Schutzstufe 3 ist weder lesender noch schreibender Zugriff auf die CPU m glich unabh ngig von der Stellung des Schalters Hinweis Schutz vor unberechtigtem Zugriff Die Verwendung der Schutzstufe 3 Schreib Leseschutz zum Schutz vor unberechtigtemn Zugriff auf das Automatisierungssystem CPU wird empfohlen Verhalten einer passwortgesch tzten CPU im Betrieb Vor der Ausf hrung einer Online Funktion wird die Zul ssigkeit gepr ft und ggf zur Passworteingabe aufgefordert Beispiel Die Baugruppe wurde mit Schutzstufe 2 parametriert und Sie wollen die Funktion Variable steuern ausf hren Da es sich um einen schreibenden Zugriff handelt muss zur Ausf hrung der Funktion das parametrierte Passwort eingegeben werd
116. enressourcen Softwarebenachrichtigungen aktivieren Nicht konfiguriert E Windows Zuverl ssigkeitsanalyse 9 E Automatische Updates sofort installieren Nicht konfiguriert Windows Anytime Upgrade Empfohlene Updates ber automatische Updates aktivieren Nicht konfiguriert E Windows Defender E Keinen automatischen Neustart f r geplante Installationen autom Nicht konfiguriert windows Installer Erneut zu einem Neustart f r geplante Installationen auffordern Nicht konfiguriert Windows Mail Neustart f r geplante Installationen verz gern Nicht konfiguriert 5 Windows Media Center li Zeitplan f r geplante Installationen neu erstellen Nicht konfiguriert Windows Media Digital Rights Manac E Clientseitige Zielzuordnung aktivieren Nicht konfiguriert Windows Messenger i2 Signierte Updates aus einem Intranetspeicherort f r Microsoft Up Nicht konfiguriert Windows SideShow CI Windows Update F Windows Media Player CEs Alle Einstellungen El amp Benutzerkonfiguration C Softwareeinstellungen 4 Windows Einstellungen Administrative Vorlagen That Kompendium Teil F Industrial Security V8 1 184 Projektierungshandbuch 04 2015 A5E35032081 AA Patchmanagement 7 2 Windows Server Update Service WSUS Die folgenden Gruppenrichtlinien m ssen konfiguriert werden e Richtlinie Automatische Updates konfigurieren Die Richtlinie Automatische Updates konfigurieren muss aktiviert werden Im Eigenschaft
117. enschaften ber das Kontextmen s des Dienstes und ndern Sie die Eigenschaften wie oben aufgef hrt Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen FTP Server konfigurieren Um den FTP Server zu konfigurieren gehen Sie folgenderma en vor 1 Klicken Sie im Windows Start Men mit der rechten Maustaste auf Computer und w hlen Sie im Kontextmen den Befehl Verwalten Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie bereits als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Computerverwaltung wird ge ffnet 2 Klicken Sie im Navigationsbereich auf den Eintrag Dienste und Anwendungen gt Internetinformationsdienste IIS Manager Der Internetinformationsdienste IIS Manager wird im rechten Bereich des Dialogs Computerverwaltung ge ffnet Datei Aktion Ansicht e 2m H a Computerverwaltung Lokal fi System ES Datenspeicher B 5 Dienste und Anwendungen U Internetinformationsdienste E 4 Dienste if WMI Steverung rs ener am na 3 Um eine FTP Site als FTP Rootverzeichnis einzuf gen legen Sie auf der Daten Partition D einen neuen Ordner mit dem Namen Datenaustausch D Datenaustausch an 4 Klicken Sie mit der rechten Maustaste auf das Symbol Sites W hlen Sie im Kontextmen
118. er WINS Server Standard Gateway Subnetzmaske bereitgestellt werden DHCP wurde im Hinblick auf die zwei folgenden Einsatzszenarien entwickelt e Gro e Netzwerke mit h ufig wechselnder Topologie e Anwender die nur eine Netzwerkverbindung haben m chten und sich nicht n her mit der Netzwerkkonfiguration besch ftigen m chten Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 33 Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen Beide Einsatzszenarien treffen auf ein Automatisierungssystem nicht zu Beim Einsatz von DHCP werden mehrere Sicherheitsrisiken eingegangen die die Vorteile in einer Automatisierungsanlage nicht ausgleichen k nnen Hinweis Einsatz eines DHCP Servers Der Einsatz eines DHCP Servers zur automatischen Netzwerkkonfiguration IPv4 Adresse Subnetzmaske ist aus Sicherheitsgr nden nicht empfehlenswert Wenn ein DHCP Server eingesetzt wird m ssen Adressreservierungen verwendet werden 4 5 Zugangspunkte zu den Sicherheitszellen 4 5 1 bersicht Die Sicherheitszellen m ssen so gestaltet werden dass sie u a nur einen Zugangspunkt haben Jeglicher Zugriff auf eine Sicherheitszelle ber diesen Zugangspunkt darf nur nach der berpr fung der Rechtm igkeit bei Personen und Ger ten m ssen diese authentifiziert und autorisiert werden erfolgen und muss protokolliert werden Die Zugangspunkte sollen den unerlaubten Datenverkehr zu den Sich
119. er gt DNS gt Rechnername gt Forward Lookup Zones 3 Klicken mit der rechten Maustaste auf die Forward Lookup Zone production1 enterprise local und w hlen im Kontextmen Properties aus E Server Manager Fie Action View Help es 3m XO a3 BA E85 Server Manager SVW2K8R2STDBA7 production1 enterprise local 9 record s E3 Roles F Active Directory Domain Services amp DNS Server DNS SVW2K8R2STDBA7 F Global Logs Forward Lookup Zones ia ForestDnsZones er _msdcs production 1 enterprise g same as parent folder Start of Authority SOA 24 svw2k8r2stdba7 prod aE Ar adr Name Server NS svw2k r2stdba7 production 7 E Reverse Lookup Zones Fdate Server Data File Host A 192 168 2 125 Conditional Forwarders Reload Host A 192 168 2 125 H BB Fle Services New Host A or AAAA a Features New Alias CNAME g Diagnostics New Mail Exchanger MX iii Configuration New Domain z Storage New Delegation Other New Records All Tasks gt View gt Delete Refresh Export List Help Es wird der Eigenschaften Dialog der Forward Lookup Zone production1 enterprise local ge ffnet 4 W hlen Sie in diesem Dialog den Register WINS an 5 Aktivi
120. er Sicherhe Bi Minimale Kennwortl nge Netzwerklisten Manager Richtlinien 3 Minimales Kennwortalter Richtlinien f r ffentliche Schl ssel E Richtlinien f r Softwareeinschr nkung Anwendungssteuerungsrichtiinien 3 IP Sicherheitsrichtlinien auf Lokaler Comp Erweiterte berwachungsrichtlinienkonfig He 4 Nehmen Sie die entsprechenden Einstellungen f r die folgenden Richtlinien vor Richtlinie Zweck Kennwortchronik erzwingen Verhindert dass Benutzer ein neues Kennwort erstellen das mit ihrem aktuellen oder einem k rzlich verwendeten Kennwort identisch ist Der Wert 1 bedeutet beispielswei se dass nur das letzte Kennwort als neues Kennwort verhindert wird Der Wert 5 be deutet dass die letzten f nf Kennw rter als neues Kennwort verhindert werden Maximales Kennwortalter Legt die maximale G ltigkeitsdauer von Kennwortern in Tagen fest Nach dieser Anzahl von Tagen muss der Benutzer das Kennwort ndern Minimales Kennwortalter Legt fest nach wie vielen Tagen ein Benutzer sein Kennwort fr hestens ndern kann Minimale Kennwortl nge Gibt die Mindestanzahl von Zeichen an aus denen sich ein Kennwort zusammensetzt Kennwort muss Komplexit ts Erfordert dass ein Kennwort die folgenden Mindestanforderungen erf llt voraussetzungen entsprechen Mindestens 6 Zeichen e Es muss sich aus Gro Kleinbuchstaben Zahlen und Sonderzeichen zusammen setzen e Darf nicht den Benutzernamen enthalten
121. erden kann Kompendium Teil F Industrial Security V8 1 14 Projektierungshandbuch 04 2015 A5E35032081 AA Security Strategien 3 3 Musterkonfiguration Musterkonfiguration Die in diesem Kompendium vorgestellten Ma nahmen und Konfigurationsbeispiele werden anhand der folgenden Musterkonfiguration erl utert Enterprise Control Network C A Se eT gt pey 252 fess l OS Web Client Corporate Firewall _ FA Ps Zz zz io OS Client OS Client OS Client OS Client OS OSC4 OSC1 OSC2 OSC3 Web Server Terminal Bus OS Server OSS1A Engineering OS Server Station ES1 OSS3A Plant Bus HW LETH od 1 Om MI Im m ai SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H Die Musterkonfiguration besteht aus insgesamt f nf S7 Steuerungen die die Mess Steuerungs und Regelungsaufgaben innerhalb der verfahrenstechnischen Anlage bernehmen Zur Bedienung und Beobachtung sind f nf OS Server zwei redundante Serverpaare sowie ein einzelner OS Server sowie vier OS Clients vorgesehen Des Weiteren ist ein Web Server zur Bedienung und Beobachtung ber das Corporate Netzwerk und das Internet vorgesehen Dazu ist der Terminalbus mit dem Corporate Netzwerk verbunden das wiederum einen Internetzugang zur Verf gung stellt F r die Projektierung der Gesamtanlage ist eine Engineering Station vorhanden Die verfahrenstechnische Anlage
122. eren Sie die Kontrollk stchen Use WINS forward lookup und Do not replicate this record und tragen die IP Adresse des WINS Server in das Feld IP address ein Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 ASE35032081 AA 153 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 6 Klicken Sie auf die Schaltfl che Add um die IP Adresse zu bernehmen General Start of Authority SOA Name Sewes WINS Zone Transfers Security You can use WINS to resolve names not found by querying the DNS namespace WINS only supports IPv4 addresses IV Do not replicate this record Add Up 7 Klicken sie auf die Schaltfl che OK um die IP Adresse zu bernehmen und den Dialog zu schlie en 6 5 3 2 Mehrere WINS Server und WINS Replikation Auf jedem Domain Controller soll ein WINS Server installiert werden Gehen Sie bei der Installation eines zweiten WINS Servers wie im Kapitel WINS Installation und Konfiguration Seite 146 beschrieben vor Dabei sollen Sie die WINS Replikationstopologie sorgf ltig planen Informationen zu generellen berlegungen bei der WINS Replikation finden Sie bei Microsoft unter e WINS Replikation bersicht https msdn microsoft com de de library cc783226 v ws 10 aspx e Konfigurieren der WINS Replikation https msdn microsoft com de de library cc786754 v ws 10 aspx Kompendium Teil F Industrial Securi
123. eren Sie im Inhaltsbereich die zweite Security Baugruppe und ziehen Sie sie auf die VPN Gruppe Gruppe1 im Navigationsbereich Die zweite Security Baugruppe wird ebenso dieser VPN Gruppe zugeordnet 5 Speichern Sie das Projekt ber Projekt gt Speichern ab Die Konfiguration der Tunnelverbindung ist abgeschlossen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 51 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Konfiguration in den Security Baugruppen laden Um die erstellte Konfiguration in die SCALANCE S Module zu laden gehen Sie folgenderma en vor 1 W hlen Sie den Befehl bertragen gt An alle Baugruppen Der Dialog Konfigurationsdaten auf Security Baugruppen laden wird ge ffnet Konfigurationsdaten auf Security Baugruppen laden Baugruppe 1 SCALANCE S Baugruppe2 SCALANCE S Ge ndert Nicht geladen IV Anmelden als aktueller Benutzer Alle ausw hlen Nur ge nderte Baugruppen anzeigen Aktuelle Baugruppe M bertragungsart Nur ge nderte Dateien C Alle Dateien Starten Abbrechen Details gt gt Schlie en Hilfe berspringen 2 W hlen Sie im Men bertragen den Befehl An alle Module 3 Selektieren Sie beide Security Baugruppen ber die Schaltfl che Alle ausw hlen 4 Starten Sie den Ladevorgang ber die Schaltfl che Starten Bei einer fehlerfreien Ausf hrung d
124. erheitszellen verhindern aber den erlaubten und notwendigen Datenverkehr der zum reibungslosen Betrieb der Anlage notwendig ist erm glichen Der Zugangspunkt zu einer Sicherheitszelle kann je nach Erforderlichkeiten bez glich Konfiguration und Funktionalit t unterschiedlich ausgef hrt sein Informationen zu den unterschiedlichen Konzepten finden Sie im Handbuch SIMATIC Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7 amp WinCC Basis http support automation siemens com W W view de 60 119725 Kompendium Teil F Industrial Security V8 1 34 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen 4 5 2 Automation Firewall Appliance Zur Umsetzung bzw Realisierung der unterschiedlichen L sungen f r Zugangspunkte entsprechend dem Sicherheitskonzept PCS 7 amp WinCC Front Back Firewall Threehomed Firewall oder Accesspoint Firewall steht als SIMATIC PCS 7 Add on die Automation Firewall Appliance zur Verf gung Die momentane L sung der Automation Firewall basiert auf der Firewall L sung von Microsoft Microsoft Forefront Threat Management Gateway 2010 Mittels des Industrial Wizards und des integrierten SecureGUARD Appliance Managements kann eine optimierte Regelbasis erstellt werden Hinweis Die aktuelle L sung der Automation Firewall basiert auf dem Microsoft Forefront TMG 2010 Dieses Produkt von Microsoft ist seit Dezember 2012 nicht mehr verf gbar Eine a
125. es Ladevorgangs werden die Security Baugruppen automatisch neu gestartet und die neue Konfiguration wird aktiviert Hinweis Weitere Informationen ber Konfigurationen und Einsatzm glichkeiten der SIMATIC Security Produkte finden Sie unter FAQ http support automation siemens com WW view de 67329379 oder im Siemens Industry Online Support Portal Kompendium Teil F Industrial Security V8 1 52 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 4 6 3 Datenaustausch zur Bedienung und Beobachtung mit abgesetzten OS Clients Einleitung Der Datenaustausch zwischen PCS 7 OS Stationen PCS 7 OS Server und PCS 7 OS Client s die sich in unterschiedlichen Sicherheitszellen befinden evtl r umlich getrennt d h in unterschiedlichen Geb uden soll verschl sselt erfolgen Eine solche verschl sselte Kommunikation kann zum einen wie im vorherigen Kapitel aufgezeigt und beschrieben mittels zweier SCALANCE S Sicherheitsmodule aufgebaut werden vgl folgende Abbildung Variante 1 Zum anderen kann eine solche verschl sselte und somit verschl sselte Kommunikation auch direkt an den betreffenden PCS 7 OS Stationen konfiguriert werden vgl folgende Abbildung Variante 2 Im weiteren Verlauf wird diese Konfiguration beschrieben OS Client osc4 f i in Firewall Variante 1 Kommunikation mit zwei Variante 2 Verschl sselte Kommunikation S
126. ew Zone Daraufhin startet der New Zone Wizard mit dessen Hilfe eine neue Reverse Lookup Zone angelegt wird xi Welcome to the New Zone Wizard This wizard helps you create a new zone for your DNS server A zone translates DNS names to related data such as IP addresses or network services To continue dick Next 4 Klicken Sie auf die Schaltfl che Next Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 139 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 5 W hlen Sie im Dialog Zone Type die Option Primary zone und best tigen die Eingabe mit der Schaltflche Next New Zone Wizard i x Zone Type The DNS server supports various types of zones and storage Select the type of zone you want to create Creates a copy of a zone that can be updated directly on this server Secondary zone Creates a copy of a zone that exists on another server This option helps balance the processing load of primary servers and provides fault tolerance Stub zone Creates a copy of a zone containing only Name Server NS Start of Authority SOA and possibly glue Host A records A server containing a stub zone is not authoritative for that zone IV Store the zone in Active Directory available only if DNS server is a writeable domain controller lt Back Next gt Cancel 6 W hlen Sie Im Dialog Reverse Lookup Zo
127. gegeben wird ist die Namensaufl sung nicht erforderlich Wird ein Host Name angegeben muss dieser in eine IP Adresse aufgel st werden bevor die IP Kommunikation mit der gew nschten Ressource beginnen kann Es k nnen verschiedene Arten von Host Namen verwendet werden In der Regel werden ein frei w hlbarer Name und ein Domain Name verwendet Bei einem frei w hlbaren Namen handelt es sich um einen Aliasnamen f r eine IP Adresse der von einzelnen Personen zugewiesen und verwendet werden kann Bei einem Domain Namen handelt es sich um einen strukturierten Namen in einem hierarchisch organisierten Namespace der als DNS Domain Name System bezeichnet wird Ein Beispiel f r einen Domain Namen ist www microsoft de Frei w hlbare Namen werden ber Eintr ge in der Datei Hosts aufgel st Diese Datei befindet sich im Ordner systemroot System32 Drivers etc Zum Aufl sen von Domain Namen werden DNS Namensabfragen an einen konfigurierten DNS Server gesendet Beim DNS Server handelt es sich um einen Rechner auf dem Eintr ge mit Zuordnungen von Domain Namen zu IP Adressen oder Informationen ber andere DNS Server gespeichert sind Der DNS Server l st den abgefragten Domain Namen in eine IP Adresse auf und sendet das Ergebnis zur ck Sie m ssen Ihre Rechner mit der IP Adresse des zust ndigen DNS Servers konfigurieren um Domain Namen aufl sen zu k nnen Sie m ssen Active Directory basierte Rechner unter Windows oder Betriebssystemen
128. gelegt e Sie sind in SIMATIC Logon der Benutzerrolle Projekt Administrator zugeordnet e Sie sind als Projekt Administrator oder Projekt Bearbeiter angemeldet Der aktuell angemeldete Benutzer Projekt Administrator oder Projekt Bearbeiter werden in der Statuszeile des SIMATIC Manager angezeigt Beim erstmaligen Aktivieren des Zugriffsschutzes wird das Projektformat ge ndert Aus diesem Grund erhalten Sie einen Hinweis dass das ge nderte Projekt nicht mehr mit lteren PCS 7 Versionen bearbeitet werden kann Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 171 Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners Um den Zugriffschutz f r Projekte Bibliotheken zu aktivieren und das Passwort zu ndern gehen Sie folgenderma en vor 1 2 3 Selektieren Sie das Projekt bzw die Bibliothek im SIMATIC Manager W hlen Sie den Men befehl Extras gt Zugriffsschutz gt Aktivieren Tragen Sie im Dialog Zugriffsschutz aktivieren das Passwort und die Passwortbest tigung ein Klicken Sie auf die Schaltfl che OK Das ausgew hlte Projekt bzw die Bibliothek wird durch ein Passwort gesch tzt und kann nur von autorisierten Benutzern zur Bearbeitung ge ffnet werden Um den Zugriffschutz f r Projekte Bibliotheken zu deaktivieren gehen Sie folgenderma en vor 1 2 Selektieren Sie das Projekt die Biblioth
129. gerichteten Remote Service Zugang dar Der Leistungserbringer hat damit die Systeme und Werkzeuge zur Verf gung die er f r die Leistungserbringung ben tigt Da der Remote Service ein erh htes Risiko f r Leistungsempf nger wie auch f r Leistungserbringer bedeutet wird diese Zusammenarbeit in einem Service Vertrag festgehalten und abgesichert 10 3 Anbindungsm glichkeiten an die SIEMENS Remote Service Platform Die SIEMENS Remote Service Plattform steht als zentrale Infrastruktur zur Verf gung Die Systeme f r eine Fernwartung m ssen nur noch angeschlossen werden Dazu stehen verschiedene Zugangsl sungen zu Verf gung Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 205 Fernzugriff 10 3 Anbindungsm glichkeiten an die SIEMENS Remote Service Platform Connectivity Installation SRS DSL UMTS access F r die Realisierung dieser L sung gibt es die folgenden M glichkeiten e Internetzugang ber ADSL SDSL Modem Es wird ein Service Router geliefert der mittels ADSL SDSL Modem direkt an das Breitbandnetz angebunden wird Diese Verbindung wird als sicherer Zugang zur SIEMENS Remote Service Platform verwendet Die Konfiguration der Zugangsdaten f r das PPPoE Protokoll und Terminierung der VPN IPsec Tunnelverbindung erfolgt im SIEMENS Service Router Der SIEMENS Service Router bildet in diesem Fall den IPsec Tunnel Endpunkt dieser Verbindung Siemens Remote Service Platform VPN
130. gestellt werden dass die Festplatte als erstes gestartet wird Dadurch wird das Starten von anderen Medien z B von CD oder USB erschwert e Die USB Ports m ssen wenn sie nicht f r Peripherie Ger te wie z B Maus oder Tastatur ben tigt werden deaktiviert disabled werden Hinweis Die Einstellungen f r einen speziellen Rechner h ngen vom installierten BIOS z B Hersteller Version ab Entnehmen Sie die spezifischen M glichkeiten der Einstellung der entsprechenden Systembeschreibung Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 3 6 Umgang mit mobilen Datentr gern 5 6 Umgang mit mobilen Datentr gern 5 6 1 bersicht Einleitung Neben der Abgrenzung und Nennung mobiler Datentr ger werden in diesem Kapitel Hinweise gegeben welche Einstellungen in Bezug auf mobile Datentr ger vorzunehmen sind Mobile Datentr ger Quelle https www bsi bund de DE Themen ITGrundschutz IT GrundschutzKataloge Inhalt _content baust b05 b05014 html Es gibt eine Vielzahl verschiedener Varianten von mobilen Datentr gern hierzu geh ren unter anderem Disketten Wechselplatten CD DVDs USB Festplatten und auch Flash Speicher wie USB Sticks Durch diese Vielzahl an Formen und Einsatzgebieten werden nicht immer alle erforderlichen Sicherheitsbetrachtungen vorgenommen Mobile Datentr ger k nnen eingesetzt werden f r e den Datenaustausch e den Datentransport
131. gshandbuch 04 2015 A5E35032081 AA 4 3 Namensaufl sung Auf einem Rechner unter Windows Server 2008 R2 oder Windows 7 wird dreimal versucht den prim ren NBNS Server zu finden Wenn keine Antwort empfangen wird oder eine negative NetBIOS Name Query Response Nachricht das Fehlschlagen der Namensaufl sung anzeigt versucht ein Rechner unter Windows zus tzliche WINS Server zu kontaktieren WINS Windows Internet Name Service ist die Windows Implementierung eines NetBIOS Name Servers NBNS der eine verteilte Datenbank f r das Registrieren und Abfragen dynamischer Zuordnungen von NetBIOS Namen zu den im Netzwerk verwendeten IPv4 Adressen bereitstellt Host Namensaufl sung DNS Namensaufl sung Quelle Microsoft Support Center TCP IP Grundlagen f r Microsoft Windows Mit Host Namensaufl sung ist die richtige Zuordnung eines Host Namens zu einer IP Adresse gemeint Bei einem Host Namen handelt es sich um einen Aliasnamen der einem IP Knoten zugewiesen wurde Der IP Knoten ist somit als TCP IP Host gekennzeichnet Der Host Name kann aus bis zu 255 Zeichen bestehen Er kann alphabetische und numerische Zeichen Bindestriche und Punkte enthalten Sie k nnen demselben Host mehrere Host Namen zuordnen Bei Winsock Programmen Windows Sockets z B Internet Explorer und dem Dienstprogramm FTP kann f r das gew nschte Ziel der Verbindung einer von zwei Werten eingesetzt werden die IP Adresse oder ein Host Name Wenn die IP Adresse an
132. gsinformationen die folgenden Einstellungen vor Bereich Autorisierung gt Zugriff zugelassen f r Wahlen Sie den Eintrag Bestimmte Benutzer aus der Klappliste und geben Sie die zugelassenen Benutzer in das Feld darunter ein Bereich Berechtigungen Aktivieren Sie die Kontrollk stchen Lesen und Schreiben FTP Site hinzuf gen i 2 xl wi Authentifizierungs und Autorisierungsinformationen Authentifizierung I Anonym IV Standard r Autorisierung Zugriff zulassen f r Bestimmte Benutzer ee TPUser Berechtigungen W Lesen M Schreiben 10 Klicken Sie auf die Schaltfl che Fertig stellen um die Konfiguration abzuschlie en Patchmanagement Virenschutz und Whitelisting Die Quarant ne Station ist ein Eingangstor f r Daten in das Automatisierungssystem ber diese Station kann somit auch Schadsoftware in die Anlage gelangen Aus diesem Grund muss diese Station in das Patchmanagement und das Virenschutzkonzept der Anlage eingebunden und einbezogen werden D h die Quarant ne Station muss regelm ig mit den aktuellen Windows Updates versorgt werden Als Updatequelle kann der WSUS Server dienen der sich auch im Perimeter Netzwerk befindet Des Weiteren muss auf der Quarant ne Station ein aktueller Virenscanner installiert werden Aktuelle Virendefinitionen erh lt die Station ber den Virenscanserver der ebenfalls im Perimeter Netzwerk platziert ist Whitelisting ist ein wei
133. gung 120 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern Die folgende Abbildung zeigt beispielhaft die lokale Verwaltung der Benutzer und Gruppen f r den Server OSS1A OS Server OSS1A Rl Administratoren ENG2 a E Benutzer ENG1 OSS1A er FE S E SIMATIC_HMI eae sch ss eo geo eo DR SIMATIC_BATCH ss R RC_ENGINEER Qc RC_MAINTENANCE ENG2 Q RC_OPERATOR_L1 OSS1A Zuordnung des Benutzers OSS1A zu den Gruppen RC_OPERATOR_Lx ist abh ngig von den ben tigten Rechten RC_OPERATOR _L2 Qe a RC_OPERATOR_L3 Een G SIMATIC_NET ENG2 e Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 121 Benutzerverwaltung und Bedienberechtigungen 6 4 Passwortrichtlinien Weitere Informationen 6 4 Einleitung 122 Weitere Informationen zur Rechner und Benutzerverwaltung finden Sie im Dokument SIMATIC Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7 amp WinCC Basis http support automation siemens com W W view de 60 119725 Beachten Sie zus tzlich die Informationen im Handbuch SIMATIC Prozessleitsystem PCS 7 PC Konfiguration http support automation siemens com WW view de 90635791 Weitere Informationen zu Benutzerrechten bei SIMATIC Route Control insbesondere
134. haltfl che Install Die Installation des Features WINS Server wird gestartet 5 Schlie en Sie den Dialog Installation Results mit der Schaltfl che Close Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 147 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller WINS Server in den Eigenschaften der IPv4 Konfiguration eintragen Nach der Installation muss der WINS Server in den Eigenschaften der IPv4 Konfiguration aller Rechner im Netzwerk eingetragen werden 1 ffnen Sie den Eigenschaften Dialog der Netzwerkverbindung Connect using eters PRO 1000 MT Desktop Adapter This connection uses the following items OK Client for Microsoft Networks Z QoS Packet Scheduler d2 File and Printer Sharing for Microsoft Networks a Intemet Protocol Version 6 TCP IPv6 E intemet Protocol Version 4 TCP IPv4 Link Layer Topology Discovery Mapper 1 0 Driver Link Layer Topology Discovery Responder Install Uninstall Descripti S S S S S S lt Kompendium Teil F Industrial Security V8 1 148 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 2 W hlen Sie aus der Liste das Internet Protokol Version 4 TCP IPv4 und klicken Sie auf die Schaltfl che Properties Internet Protocol Version 4 TCP IPv
135. hronisieren Servername Portnummer feo J SSL beim Synchronisieren der Updateinformationen verwenden Wenn Sie SSL verwenden stellen Sie sicher dass der Windows Server Update Services Upstreamserver zur Unterst tzung von SSL konfiguriert ist J Dieser Server ist ein Replikat des Upstreamservers Auf einem Replikatserver werden Updategenehmigungen Einstellungen Computer und Gruppen seines bergeordneten Servers gespiegelt Updates k nnen nur auf dem Upstreamserver genehmigt werden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 179 Patchmanagement 7 2 Windows Server Update Service WSUS 7 2 1 Empfohlene Vorgehensweise zum Patchmanagement mit dem Microsoft Windows Server Update Service WSUS Voraussetzung Ein WSUS ist f r Ihre PCS 7 Anlage eingerichtet WSUS konfigurieren Um den WSUS zu konfigurieren gehen Sie folgenderma en vor 1 ffnen Sie die WSUS Verwaltungskonsole und klicken Sie auf Optionen 2 W hlen Sie im Dialog Produkte und Klassifikationen im Register Produkte alle f r die Anlage relevanten Microsoft Produkte aus Hinweis Informationen ber die zul ssigen Microsoft Patches finden Sie in der folgenden FAQ Welche Microsoft Patches Sicherheitsupdates und Wichtige Updates sind bei SIMATIC PCS 7 auf Vertr glichkeit getestet http support automation siemens com WW view de 18490004 3 W hlen Sie unter Produkte und
136. htlinie zu aktivieren gehen Sie folgenderma en vor 1 ffnen Sie die Eigenschaften der Gruppenrichtlinie Administratoren das Au erkraftsetzen der Richtlinien unter Einschr nkungen bei der Ger teinstallation erlauben durch Doppelklick auf die Richtlinie Der Eigenschaftsdialog der Gruppenrichtlinie wird ge ffnet 2 Aktivieren Sie die Gruppenrichtlinie ber die Option Aktiviert und best tigen Sie die Einstellung mit der Schaltfl che OK Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern Im n chsten Schritt geben Sie bestimmte Ger te zur Installation frei Positivliste Gehen Sie dazu folgenderma en vor 1 ffnen Sie die Eigenschaften der Gruppenrichtlinie Installation von Ger ten mit diesen Ger te IDs zulassen durch Doppelklick auf die Richtlinie Der Eigenschaftsdialog der Gruppenrichtlinie wird ge ffnet 2 Aktivieren Sie die Gruppenrichtlinie ber die Option Aktiviert cY Installation von Ger ten mit diesen Ger te IDs zulassen Bel FE Installation von Ger ten mit diesen Ger te IDs zulassen jai eae Nachste Einstellung Nicht konfiguriert Kommentar Aktiviert ee a Unterst tzt auf Mindestens Windows Vista aj Optionen Hilfe Gibt eine Liste von Plug amp Play Hardwarekennungen und Pra VOA GEER HEN E kompatiblen Kennungen an die installierbare Ger te beschreiben zulassen z Die
137. ich Remote IP Adresse wird der IP Adressbereich angezeigt f r den diese Firewall Regel die ankommende Kommunikation nicht blockiert Im Fall der folgenden Abbildung wird die Kommunikation nur mit Computern im Lokalen Subnetz erlaubt Eine Kommunikation zu Computern in einem anderen Subnetz wird somit blockiert Eigenschaften von Datei und Druckerfreigabe Echoanforderung I Lokales Subnetz Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 81 Systemh rtung 5 4 Windows Firewall 6 Um die Kommunikation des OS Servers OSS1A zum OS Web Server mit der IP Adresse 192 168 2 203 im Subnetz Perimeter Netzwerk zu erlauben klicken Sie im Bereich Remote IP Adresse auf die Schaltfl che Hinzuf gen Der Konfigurationsdialog wird ge ffnet IP Adresse x IP Adressen festlegen die bereinstimmen m ssen Diese IP Adresse oder dieses Subnetz 132 168 2 203 Beispiele 192 168 0 12 192 168 1 0 24 2002 943b 1331 4 208 74f fe39 6c43 2002 943b 1331 4 208 74 fe39 0 112 Dieser IP Adressbereich Von Mt l Vordefinierte Computersatze Standardgateway Y Weitere Informationen ber das Angeben von IP Adressen ok Abbrechen Kompendium Teil F Industrial Security V8 1 82 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 4 Windows Firewall 7 W hlen Sie die Option Diese IP Adresse oder dieses Subnetz und tragen Sie
138. ich f r unseren produktspezifischen Newsletter an Weitere Informationen hierzu finden Sie unter http support automation siemens com Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Vorwort Gegenstand des Handbuchs G ltigkeit SIMATIC PCS 7 als ausgepr gt offenes System gew hrleistet ein hohes Ma der Adaption an verschiedenste Kundenbed rfnisse Die Systemsoftware bietet dem Projekteur hierf r viele Freiheiten in Bezug auf den Projektaufbau sowie die Gestaltung des Programms und der Visualisierung Die Erfahrung hat gezeigt dass sich sp tere Modernisierungen oder Anlagenerweiterungen wesentlich einfacher gestalten wenn von vorn herein weitestgehend PCS 7 konform projektiert wird Das hei t gewisse Grundregeln sollen zwingend eingehalten werden um auch zuk nftig die gegebenen Systemfunktionen optimal nutzen zu k nnen Dieses Handbuch dient als Kompendium zus tzlich zur Produktdokumentation rund um SIMATIC PCS 7 Grundlegende Arbeitsschritte der Projekterstellung und Parametrierung werden in Form von Handlungsanweisungen mit zahlreichen Abbildungen beschrieben Das Kompendium spiegelt geradlinig den empfohlenen Weg durch die Projektierung wider wobei zahlreiche Praxiserfahrungen ausgewertet werden Die Beschreibung geht nicht bis in die Applikation selbst sondern bezieht sich auf den Umgang mit dem Projekt und die Parametereinstellungen der enthaltenen Komponenten
139. ichen Infrastruktur z B Ein separates Quarant ne Netzwerk Ein sichererer Fileserver mit aktuellem Virenscanner evtl verschiedene Antivirus L sungen zur Verteilung von Daten Internetzugang mittels separater Workstation mit aktuellem Virenscanner evtl verschiedene Antivirus L sungen Erfassen aller Netzwerkteilnehmer und ihrer Aufgaben Sicherstellen s mtlicher aktueller Daten Engineering Daten Archive Backups usw pro Teilnehmer Import Scan S uberung und Ablage der aktuellen Daten pro Netzwerkteilnehmer auf dem Fileserver Planung der notwendigen Redundanzen bei einer Bereinigung im laufenden Betrieb Identifikation von Standby Komponenten Erstellung eines Speicherabbildes Analyse und Untersuchung des Speicherabbildes mit dem Ziel der Identifikation der Schadsoftware sowie deren Verbreitungsmechanismus Neuinstallation der Komponente entweder von System Backup wenn vorhanden und bez glich einer Infektion unbedenklich oder mittels Originaldatentr ger Betriebssystem Recovery CD sowie Automatisierungskomponenten Wiederinbetriebnahme der bereinigten neuinstallierten Komponenten im Quarant ne Netzwerk als neuen Master Transfer der sauberen Daten Engineering Daten Archive Backups usw vom Fileserver auf die bereinigte neuinstallierte Komponente im Quarant ne Netzwerk berpr fung und Anpassung des Sicherheitskonzepts der Anlage berpr fung und Anpassung des Sicherheitskonzeptes im Qu
140. icherheit 4 3 Namensaufl sung Fully Qualified Domain Name Der Fully Qualified Domain Name FQDN setzt sich aus dem Rechnernamen und dem Domain Namen zusammen und kann damit nicht mehrfach verwendet werden NetBIOS Namensaufl sung Quelle Microsoft Support Center TCP IP Grundlagen f r Microsoft Windows Unter NetBIOS Namensaufl sung versteht man den Vorgang der Zuordnung einer IPv4 Adresse zu einem NetBIOS Namen F r die erfolgreiche NetBIOS Namensaufl sung k nnen folgende Methoden angewendet werden e Standardmethoden zur NetBIOS Namensaufl sung Methode Beschreibung NetBIOS Name Eine im RAM gespeicherte lokale Tabelle die die vom lokalen Rechner vor Cache kurzem aufgel sten NetBIOS Namen mit den zugeh rigen IPv4 Adressen enth lt NBNS Ein Server der die NetBIOS Namen bereitstellt Bei WINS handelt es sich um die Microsoft Implementierung eines NBNS Lokaler Broadcast NetBIOS Name Query Request Broadcast Nachrichten die an das lokale Subnetz gesendet werden e Zus tzliche Microsoft spezifische Methoden zur NetBIOS Namensaufl sung Methode Beschreibung Lmhosts Dateien Lokale Textdatei in der NetBIOS Namen ihren IPv4 Adressen zugeordnet werden Die Lmhosts Datei wird fur NetBIOS Anwendungen verwendet die auf Rechnern in Remote Subnetzen ausgef hrt werden Lokaler Host Konfigurierter Host Name des Rechners Name DNS Lokale RAM basierte Tabelle die die Domain Namen und IPv4
141. ie Verwaltung der Projektfreigaben und Projektdateizugriffe erfolgt automatisch durch die SIMATIC Software Bei der Installation von SIMATIC NET ber das Rahmensetup von SIMATIC PCS 7 wird der Benutzer und Gruppenverwaltung die folgende lokale Benutzergruppe hinzugef gt e SIMATIC NET Alle Benutzer die mit PCS 7 PCS 7 OS oder Route Control Projekten arbeiten m ssen Mitglied dieser Gruppe sein SIMATIC BATCH 116 F r SIMATIC BATCH wird bei der Installation folgende neue Benutzergruppe angelegt e SIMATIC BATCH Die Mitglieder dieser Gruppe haben vollen Zugriff auf die SIMATIC BATCH Verzeichnisse sbdata und sbdata_backup Alle Benutzerkonten die mit SIMATIC BATCH arbeiten m ssen Mitglied dieser Gruppe sein Die folgende Freigabe wird neu angelegt e BATCH Die Verwaltung der Freigabeberechtigungen erfolgt bei der Installation F gen Sie in den Sicherheitseinstellungen der Freigaben zus tzlich die Benutzergruppe SIMATIC BATCH mit der Berechtigung Vollzugriff hinzu NTFS Berechtigungen In diesen Freigaben werden sp ter die Batch Daten abgelegt Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern SIMATIC Route Control F r SIMATIC Route Control werden bei der Installation zus tzlich folgende Benutzergruppen angelegt RC_ENGINEER RC_MAINTENANCE RC_OPERATOR_L1 RC_OPERATOR_L2
142. ie Anlage zu vermeiden e Erstellen und Archivieren von Nachweisen ber wichtige oder kritische Handlungen Mit SIMATIC Logon k nnen SIMATIC Applikationen und Anlagenbereichen individuelle aufgabenbezogene Berechtigungen zugeordnet werden SIMATIC Logon unterst tzt die Benutzerverwaltung auf lokalen Computern und in Windows Domains Es wird empfohlen SIMATIC Logon im Active Directory in einer Domain zu verwenden um die Vorteile der Funktionen der zentralen Gruppen und Benutzerverwaltung zu nutzen SIMATIC Logon bietet die Funktion eines Default Users Dieser wird beim Start der PCS 7 Applikation oder beim Abmelden eines SIMATIC Logon Benutzers automatisch angemeldet F r dieses Benutzerkonto wird empfohlen die minimale Anzahl der ben tigten Benutzerrechte zuzuweisen z B f r die Notfallbedienung Die folgenden Applikationen haben eine Anbindung an die Komponenten von SIMATIC Logon e Automation License Manager e WinCC e SIMATIC Batch e STEP7 Detaillierte Informationen zu SIMATIC Logon finden Sie im Handbuch SIMATIC Logon http support automation siemens com WW view de 34519648 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 169 Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners 6 6 2 Zugriffsschutz f r Projekte Bibliotheken auf der Engineering Station Einleitung Es wird empfohlen die Projekte und Bib
143. ierungen von Konstanten in Transitionen Parametrierungen von Konstanten in Ketteneigenschaften 6 6 5 Zugriffsschutz bei Operator Stationen Es muss gew hrleistet sein dass ein ausreichender Schutz vor unbefugten Zugriff auf die Operator Stationen vorhanden ist Hierbei spielen zwei unterschiedliche Fallbeispiele eine Rolle e Zum einen muss die Operator Station vor unbefugten Zugriff wie z B Bedieneingriffe oder Bildanwahl gesch tzt werden wenn an dieser Station niemand angemeldet ist Das bedeutet dass bei Abmeldung des Operators von der Station durch Ziehen der Chipkarte oder manuell die Station in einen Zustand schalten muss der es Unbefugten unm glich macht diese Station zu verwenden Screen Saver Mode Somit ist es nicht zul ssig dass ein aktuell angew hltes Bild nach dem Abmelden eines Bedieners weiterhin angezeigt wird e Zum anderen muss die Operator Station so verriegelt werden dass es f r einen Unbefugten unm glich ist den Desktop des Betriebssystems zu erreichen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 175 Benutzerverwaltung und Bedienberechtigungen 6 7 Schutzstufenkonzept 6 7 Schutzstufenkonzept Durch die Verwendung einer Schutzstufe kann das Automatisierungsger t vor unberechtigtem Zugriff gesch tzt werden Dabei stehen 3 verschiedene Schutzstufen in der CPU zur Verf gung Schutzstufe 1 Je nach Art der CPU wird diese Schutzstufe unterschiedlich b
144. in Bezug auf die Zuordnung der Benutzer zu den Benutzergruppen RC_OPERATOR_L1 L L3 finden Sie im Programmier und Bedienhandbuch SIMATIC Prozessleitsystem PCS 7 SIMATIC Route Control http support automation siemens com W W view de 90682959 Passwortrichtlinien Quelle https www bsi bund de Schlecht gewahlte Passworter sind nach wie vor eines der haufigsten Defizite bei der Sicherheit Oft wahlen die Nutzer zu kurze oder zu wenig komplexe Zeichenkombinationen Um Passworter auszuspahen nutzen Hacker zum Beispiel sogenannte Brute Force Angriffe bei denen vollautomatisch eine Vielzahl m glicher Zeichenkombinationen ausprobiert oder ganze W rterb cher getestet werden Um solchen Angriffen vorzubeugen sollte ein Passwort bestimmte Qualit tsanforderungen erf llen Aus diesem Grund soll auf die Festlegung und die Umsetzung einer Passwortrichtlinie Password Policy in der Automatisierungsanlage geachtet werden Eine solche Passwortrichtlinie sollte die folgenden Punkte ber cksichtigen e Passwortalterung Passw rter sollten in regelm igen Abst nden sp testens alle 6 Monate ge ndert werden e Mindestkomplexitat Ein Passwort sollte eine Mindestkomplexit t aufweisen d h es soll den folgenden Anforderungen entsprechen Mindestlange von 8 Zeichen Mindestens 2 alphanumerische Zeichen und mindestens 1 Ziffer evtl ein Sonderzeichen enthalten e Passwort Historie Ein neues Passwort muss sich signifikant vom vo
145. inden Sie unter http www industry siemens com topics global de industrial security seiten default aspx Sie k nnen Ihre Anfrage per E Mail auch direkt an industrialsecurity i siemens com richten Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 69 Systemh rtung 5 5 1 Ubersicht Quelle https www bsi bund de Unter Harten engl Hardening in der Informationssicherheit versteht man die Entfernung aller Softwarebestandteile und Funktionen die zur Erf llung der vorgesehenen Aufgabe nicht zwingend notwendig sind D h unter H rtung sind zusammengefasst alle Ma nahmen und Einstellungen zu verstehen mit dem Ziel e der Reduzierung von M glichkeiten Verwundbarkeiten in Software auszunutzen e der Minimierung von m glichen Angriffsmethoden e der Beschr nkung von zur Verf gung stehenden Werkzeugen nach einem erfolgreichen Angriff e der Minimierung von zur Verf gung stehenden Rechten nach einem erfolgreichen Angriff e der Erh hung der Wahrscheinlichkeit f r die Entdeckung eines erfolgreichen Angriffs um dadurch die lokale Sicherheit und Robustheit eines Computers gegen Angriffe zu erh hen Daraus ergibt sich dass ein System dann als geh rtet bezeichnet werden kann wenn e nur die Softwarekomponenten und Dienste installiert sind die zum eigentlichen Betrieb ben tigt werden e ein restriktives Benutzermanagement umgesetzt ist e die lokale Windows Firewall
146. ingaben werden auf Plausibilit t berpr ft In manchen F llen wird vom Wizard ein neuer Domain NetBIOS Namen vorgeschlagen Diesen k nnen Sie verwenden oder evtl ndern Klicken Sie anschlie end auf die Schaltfl che Next F Active Directory Domain Services Installation Wizard Domain NetBIOS Name This is the name that users of earier versions of Windows will use to identify the Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 133 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 5 W hlen Sie ein Betriebssystem aus der Klappliste im Dialog Set Forest Functional Level Dadurch wird die Anmeldung an der Domain auch f r Teilnehmer Computer mit lteren Betriebssystemen m glich Weitere Informationen dazu finden in der PCS 7 Liesmich http support automation siemens com WW view de 101094704 Hinweis Die Funktionsebenen k nnen im Active Directory nachtr glich angepasst bzw heraufgestuft werden Informationen dazu finden Sie unter http support microsoft com kb 322692 Active Directory Domain Services Installation Wizard Set Forest Functional Level Select the forest functional level Windows Server 2003 forest functional level provides all features that are a in Windows 2000 forest functional level and the following additional Linked value replication which improves the replication of changes to group memberships
147. instellungen einschr nkt werden Durch die Sperrung der USB Ports ber die BIOS Einstellungen bzw das Hardware Profil wird gesichert dass das Verbotes der unbefugten Verwendung von USB Speichermedien eingehalten wird Kompendium Teil F Industrial Security V8 1 86 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern Einschr nkung des Zugriffs auf USB Speichermedien mit Hilfe von Windows Im Folgenden werden verschiedene Vorgehensweisen beschrieben die zeigen wie mit Windows Mitteln Windows 7 bzw Windows Server 2008 der Zugriff auf USB Speichermedien verhindert bzw eingeschr nkt werden kann e Sperren des Zugriffs auf USB Speichermedien mittels Gruppenrichtlinie e Reglementierung der Nutzung von auf USB Speichermedien mittels Gruppenrichtlinie e Deaktivieren der AutoPlay Funktion mittels Gruppenrichtlinie e Deaktivieren aller AutoRun Funktionen mittels Gruppenrichtlinie 5 6 2 Sperren des Zugriffs auf USB Speichermedien mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 Vorgehensweise 1 Klicken Sie auf Start und geben Sie in das Feld Suche die Zeichenfolge gpedit msc ein Programme 1 Microsoft Outlook gt Weitere Ergebnisse anzeigen gpedit msc Herunterfahren gt Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 87 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 2 Starten
148. ks 4 Intemet Protocol Version 6 TCP IPv6 Est intemet Protocol Version 4 TCP IPv4 Link Layer Topology Discovery Mapper 1 0 Driver Link Layer Topology Discovery Responder Install Uninstall Descripti S S S S S lt S 2 W hlen Sie aus der Liste das Internet Protocol Version 4 TCP IPv4 und klicken Sie auf die Schaltfl che Properties Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 157 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 3 Klicken Sie im Eigenschaften Dialog auf die Schaltfl che Advanced um zu den erweiterten TCP IP Einstellungen zu gelangen Internet Protocol Version 4 TCP IPv4 Properties Obtain DNS server address automatically oi m 192 168 2 125 192 168 2 126 Kompendium Teil F Industrial Security V8 1 158 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 4 Wahlen Sie in dem Dialog Erweiterte TCP IP Einstellungen den Register WINS 5 Tragen Sie die IP Adressen der WINS Server ber die Schaltfl che Add und best tigen Sie Eingaben anschlie end mit der Schaltfl che OK Advanced TCP IP Settings Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 159 Benut
149. kten gt Anhang gt Nicht erlaubte Zeichen e Datei Projects pdf Diese Datei finden Sie im Installationsorder der SIMATIC Produktreihe der SIEMENS AG Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 3 Namensaufl sung ndern des Rechnernamens ACHTUNG Der Rechnername darf nur vor der Installation von SIMATIC PCS 7 und vor dem ersten ffnen des WinCC Explorer ge ndert werden Vorgehensweise Die folgende Vorgehensweise wird am Beispiel des Betriebssystems Windows 7 beschrieben Um den Rechnernamen zu ndern gehen Sie folgenderma en vor 1 W hlen Sie den Befehl Start gt Systemsteuerung Control Panel gt System und Sicherheit System Der Dialog System wird ge ffnet 2 Klicken Sie im Bereich Einstellungen f r Rechnernamen Dom ne und Arbeitsgruppe auf den Link Einstellungen ndern Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie bereits als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Systemeigenschaften wird ge ffnet 3 Klicken Sie im Register Computername auf die Schaltfl che ndern Der Dialog ndern des Computernamens bzw der Dom ne wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 27 Netzwerksicherheit 4 3 Namensaufl sung NetBIOS Name 28 4 Gebe
150. ktierungshandbuch 04 2015 A5E35032081 AA 17 Netzwerksicherheit 4 2 Adressierung und Segmentierung 4 2 Adressierung und Segmentierung IP Adresse Hinweis Der Begriff IP Adresse wird in diesem Dokument mit der Bedeutung von IPv4 Adresse verwendet Dem gegen ber steht eine IPv6 Adresse Auf die IPv6 Adresse wird in diesem Dokument nicht eingegangen Eine IP Adresse besteht aus 32 Bit blicherweise wird eine Notation verwendet bei der jeweils vier Dezimalzahlen zwischen 0 bis 255 durch Punkte voneinander getrennt werden Punkt Dezimalnotation Jede Dezimalzahl auch als Oktett bekannt stellt 8 Bit 1 Byte der aus 32 Bit bestehenden Adresse dar IPv4 Adresse Bin r 1100 0000 1010 1000 0000 0001 0000 1010 Hexadezimal co A8 01 OA Dezimal 192 168 1 10 Subnetzwerke Die Strategie einer raumlichen und funktionalen Aufteilung einer Automatisierungsanlage muss sich auch bei der Netzwerkkonfiguration widerspiegeln Dies kann durch die Wahl des IP Adressbereichs und die damit verbundene Bildung von Subnetzen erreicht werden Subnetze dienen dazu ein bestehendes Netz in weitere kleinere Netze PCN CSN MON Perimeter zu unterteilen ohne daf r zus tzliche Klasse A Klasse B oder Klasse C IP Adressen zu ben tigen Als Subnetz wird somit ein Teilnetz eines Netzwerks beim Internetprotokoll IP bezeichnet Das Subnetz fasst mehrere aufeinanderfolgende IP Adressen mittels einer Subnetzmaske zusammen
151. l Extras gt nderungsprotokoll gt Aktivieren Das nderungsprotokoll ist f r den gew hlten Ordner aktiviert Im nderungsprotokoll wird Folgendes protokolliert e Aktivierung Deaktivierung Konfiguration von Zugriffsschutz und nderungsprotokoll e ffnen Schlie en von Projekten und Bibliotheken e Laden ins Zielsystem Systemdaten e Ausgew hlte Operationen zum Laden und Kopieren von Bausteinen e Aktivit ten zur nderung des Betriebszustands e Url schen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 173 Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners 6 6 4 nderungen im ES Protokoll dokumentieren Einleitung Im ES Protokoll wird dokumentiert welcher Benutzer zu welcher Zeit an welcher CPU welche nderungen aus welchem Grund durchgef hrt hat Wenn die Option ES Protokoll aktiv aktiviert ist werden im CFC SFC Objekte des Planordners zus tzlich zu den abgesicherten Aktionen auch die Aktionen beim Laden und die aktuellen Zeitstempel protokolliert Voraussetzung Die folgenden Voraussetzungen m ssen erf llt sein e Der SIMATIC Logon Service ist installiert e Das nderungsprotokoll ist aktiviert Vorgehensweise Um das ES Protokoll zu aktivieren gehen Sie folgenderma en vor 1 Selektieren Sie in der Komponentensicht des SIMATIC Managers den Planordner f r den Sie das ES Protokoll aktivieren m chten
152. l che Change den Domain Controller wechseln k nnen aixi RID PDC Infrastructure calgon ar he oaan Controllers Only one server in the domain performs this Operations master SVW2K8R2STDBA7 production 1 enterprise local To transfer the operations master role to the following computer click Change SVW2K8R2STDBAS production enterprise local Hinweis Die bertragung der Serverrollen ist auch mit Hilfe des Befehls NTDSUTIL m glich Kompendium Teil F Industrial Security V8 1 166 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Global Catalog 1 ffnen sie die Microsoft Management Konsole 2 Klicken Sie auf File gt Add Remove Snap In um das Active Directory Users and Computers Snap In zu ffnen 3 W hlen Sie in der Baumansicht den Ordner Domain Controllers Klicken Sie mit der rechten Maustaste auf den Domain Controller der den Global Catalog halten soll und w hlen Sie im Kontextmen den Befehl Property F Console1 Console Root Active Directory Users and Computers SVW2K8R2STDBA7 productioni1 enterprise local 4 Klicken Sie im Register General des Eigenschaften Dialogs auf die Schaltfl che NTDS Settings SVW2K8R2STDBA7 Properties Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 167 Benutzerverwaltung und Bedienberechtigu
153. leichsweise unwichtig Ausnahme Betriebsgeheimnisse wie z B Rezepturen Wichtig ist die durch den Einsatz von Automatisierungstechnik m gliche und gewollte unmittelbare Auswirkung von Informationen auf die Prozessf hrung und Prozess berwachung Wird dieser Informationsfluss gest rt ist eine ganze Reihe von Konsequenzen zu erwarten e Eingeschr nkte Prozessverf gbarkeit bis hin zum Verlust der Prozesskontrolle e Unmittelbare Fehlsteuerungen e Anlagenstillst nde Produktionsausf lle und Produktverunreinigungen e Sch den an der Anlage e Gefahren f r Leib und Leben e Gefahren f r die Umwelt e Verst e gegen gesetzliche oder beh rdliche Auflagen e Strafrechtliche oder zivilrechtliche Konsequenzen e Verlust an ffentlichem Ansehen Imageschaden e Vermdgensschaden Daraus folgt dass sich die Schutzziele in der Prozessautomatisierung und in der traditionellen Informationstechnologie wesentlich unterscheiden Bei B roanwendungen steht Vertraulichkeit und Datenschutz im Vordergrund Bei Automatisierungssystemen stehen die unbedingte Aufrechterhaltung der Betriebssicherheit und der Schutz von Leib und Leben an erster Stelle Die entscheidende Voraussetzung hierf r ist die Wahrung der Verf gbarkeit der Anlage und damit die uneingeschr nkte Kontrolle ber den Prozess Die Konsequenz hieraus ist dass die im B roumfeld bew hrten Methoden und Ans tze nicht eins zu eins in der Automatisierungstechnik einsetzbar sind Dieses
154. len Sie die Option Aktiviert und best tigen Sie die Einstellungen mit der Schaltfl che OK cY Alle Wechselmedienklassen Jeglichen Zugriff verweigern FE Alle Wechselmedienklassen Jeglichen Zugriff verweigern Vorherige Ei nstellung Fre C Nicht konfiguriert Kommentar a Aktiviert C Deaktiviert Z Unterst tzt auf Beer zl Optionen Hilfe Konfiguriert den Zugriff auf alle Wechselmedienklassen Diese Richtlinieneinstellung hat Vorrang vor allen Richtlinieneinstellungen f r einzelne Wechselmedien Verwenden Sie zur Verwaltung der einzelnen Klassen die jeweils verf gbaren Richtlinieneinstellungen Wenn Sie diese Richtlinieneinstellung aktivieren wird jeglicher Zugriff auf Wechselmedienklassen verweigert Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren ist der Schreib und Lesezugriff auf alle Wechselmedienklassen zugelassen 6 Starten Sie anschlie end den Rechner neu Hinweis Der Zugriff auf USB Speichermedien kann auch mithilfe einer globalen Gruppenrichtlinie in einer Domain zentral f r alle Rechner gesperrt werden Kompendium Teil F Industrial Security V8 1 90 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 5 6 3 Reglementierung der Nutzung von auf USB Speichermedien mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 Um ein USB Speichermedium auf einem Rechner zu verwenden muss das Ger
155. liotheken vor ungewolltem Zugriff zu sch tzen und alle Zugriffe zu protokollieren Dies setzt die Installation von SIMATIC Logon voraus Die Software SIMATIC Logon definiert Benutzerrollen f r das Engineering System und deren Zuordnung zu den definierten Windows Benutzer gruppen Das ffnen und Bearbeiten von zugriffsgesch tzten Projekten und Bibliotheken ist dann nur noch f r Windows Benutzer m glich die einer der folgenden Benutzerrollen zugeh rig sind e Projekt Administrator e Projekt Bearbeiter e Beliebiger Bearbeiter wenn dieser sich Uber das Projektpasswort authentifiziert hat Der Benutzer mit der Rolle Projekt Administrator legt die Benutzer f r die Rollen Projekt Bearbeiter und das Projektpasswort fest Er ist berechtigt zum Aktivieren und Deaktivieren des Zugriffsschutzes Der Projekt Administrator kann Windows Benutzer einer der beiden Benutzerrollen zuordnen Die folgende Abbildung zeigt den SIMATIC Logon Editor f r die Rollenverwaltung 2 SIMATIC Logon Rollenverwaltung 2 xi Datei Bearbeiten DUIDE Konfigurierte Rollen und Zuweisungstypen Rolle Projekt Administrator Gruppen und Benutzer Rolen ___ Dom ne Rechner Beschreibung 5 amp Projekt Administrator Hauptbenutzer Projekt Administrator ESO1VMOL Hauptbenutzer Gruppen und Benutzer EA Funktionsrechte E i Projekt Bearbeiter ri Gruppen und Benutzer EA Funktionsrechte ei Gruppen und Benutzer E Funktionsrechte
156. lternative Firewall L sung wird zurzeit evaluiert Ein endg ltiges Ergebnis lag zur Ver ffentlichung des Dokumentes jedoch noch nicht vor Aus diesem Grund werden im weiteren Verlauf die notwendigen Firewall Regeln neutral formuliert Das komplette Angebot zur Automation Firewall finden Sie im PCS 7 Add on Katalog Diesen Katalog k nnen Sie ber die SIMATIC PCS 7 Webseite https www automation siemens com mcms process control systems de simatic pcs 7 Pages simatic pcs 7 aspx herunterladen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 35 Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen 4 5 3 Musterkonfiguration Zugriffsregeln Zugriffsregeln Bei der Musterkonfiguration werden die Zugangspunkte zu den vier Sicherheitszellen DCS1 DCS2 MES und Perimeter durch Firewalls gesichert Es ergibt sich dabei eine Front Back Firewall L sung mit zwei Back Firewalls Enterprise Control Network SIMATIC IT Production Suite Firewall z 204 Virus Scan Server TMG SQL Server 192 168 2 0 26 Manufacturing 192 168 2 192 26 Operations Network Perimeter Network Patch Server WSUS Server 2 Quarantine PC File Server Firewall SCALANCE S OS Client OS Client OS Client OSC2 OSC3 Back Process Firewall 1 Firewall 2 Control 93 TMG TMG Network 192 168 2 64 26 192 168 2 128 26
157. lweise aktiviert ist El Internetinformationsdienste 9 FTP server FTP Dienst H DO Frr rweiterbarkeit BJ Webverwaltungstools IIS Verwaltungsdienst IIS Verwaltungskonsole U US Verwaltungsskripts und tools U Kompatibilit t mit der IIS 6 Verwaltung ae 4 gt Lox areen 5 Klicken Sie auf die Schaltfl che OK um die nderungen zu best tigen Die gew hlten Funktionen werden aktiviert i Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 59 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 60 FTP Dienst starten Um den Microsoft FTP Dienst zu starten gehen Sie folgenderma en vor 1 Klicken Sie mit der rechten Maustaste auf Computer und w hlen Sie im Kontextmen den Befehl Verwalten Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie bereits als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Computerverwaltung wird ge ffnet 2 W hlen Sie im Navigationsbereich den Eintrag Dienste und Anwendungen gt Dienste Im rechten Bereich des Dialogs werden alle verf gbaren Dienste angezeigt 3 Selektieren Sie den Dienst Microsoft FTP Dienst und berpr fen Sie die folgenden Eigenschaften Starttyp Automatisch Status Gestartet Falls die Eigenschaftswerte abweichen ffnen Sie den Dialog Eig
158. mens com WW view de 48844294 e FAQ Welche Microsoft Patches Sicherheitsupdates und Wichtige Updates sind bei SIMATIC PCS 7 auf Vertr glichkeit getestet http support automation siemens com WW view de 18490004 Informationen zu Microsoft Updates und dem WSUS finden Sie auf den folgenden Microsoft Seiten e http technet microsoft com http www microsoft com germany technet servicedesk bulletin default mspx e http www microsoft com wsus http www microsoft com wsus Unterst tzung bei der Umsetzung bzw Implementierung eines Patchmanagement in Ihrer Anlage erhalten Sie bei den Industrial Security Services Weitere Informationen und die entsprechenden Ansprechpartner finden Sie unter folgender Adresse e Industrial Security web http www industry siemens com topics global de industrial security seiten default aspx Sie k nnen Ihre Anfrage per E Mail auch direkt an industrialsecurity i siemens com richten Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 177 Patchmanagement 7 2 Windows Server Update Service WSUS 7 2 Windows Server Update Service WSUS WSUS Server Der WSUS Server ist entsprechend den Regeln zur Aufteilung der Komponenten in Sicherheitszellen in einem separaten Netzwerk Perimeter Netzwerk DMZ zu separieren F r das Patchmanagement bzw den WSUS Server k nnen alle L sungen bez glich der Sicherung der Zugriffspunkte
159. meter Netzwerk ber die Back Firewall bzw Treehomed Firewall auf die Virenscan Clients im PCN ergeben sich die folgenden Firewall Regeln e Beispiel f r Firewall Regeln zwischen einem Virenscan Server und einem Virenscan Client Name Action Protocols From To Perimeter Virenscan Server to Allow HTTP IP Adresse des Virenscan IP Adresse des Virenscan PCN 1 HTTPS Servers Client McAfee PCN to Perimeter Virenscan Allow HTTP IP Adresse des Virenscan IP Adresse des Virenscan Server 1 HTTPS Client Servers McAfee Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 193 Schutz vor Schadsoftware mittels Virenscanner 8 1 bersicht F r den Zugriff des Virenscan Server im Perimeter Netzwerk ber die Front Firewall bzw Treehomed Firewall auf das externe Netzwerk zum Download der Virensignaturdateien werden folgende Firewall Regeln ben tigt e Beispiel f r Firewall Regeln zum Update der Virensignaturdateien per URL vom Provider Name Action Protocols From To Allow Virus Pattern Update Allow FTP over IP Adresse des Vi PatternUpdateSet access to overlapped Pattern HTTP renscan Servers ftp ftp nai com Update Server or External HTTPS http update nai com e Beispiel f r Firewall Regel zum Update der Virensignaturdateien von einem bergeordneten Virenscan Server Name Action Protocols From To Allow Virus Pattern
160. mit WinCC Secure Communication Im Rahmen von PCS 7 V8 1 m ssen Sie bei Einsatz von SIMATIC NET Softnet IE RNA die Option der gesicherten Kommunikation WinCC Secure Communication in der SIMATIC Shell deaktivieren siehe PCS 7 Liesmich http support automation siemens com WW view de 101094704 Hinweis Beachten Sie auch die Informationen im Handbuch SIMATIC Prozessleitsystem PCS 7 PCS 7 PC Konfiguration http support automation siemens com W W view de 90635791 Einleitung Eine Quarantane Station ist ein zentraler Datenaustauschpunkt in einer Anlage Die Quarantane Station dient dazu Daten z B Projektierungs oder Engineering Daten auf bestimmte Rechner innerhalb des Automatisierungssystems bzw von Rechnern des Automatisierungssystems auf die Quarantane Station zu transferieren Die Quarant ne Station ist dann wichtig wenn die Empfehlungen bez glich der Systemh rtung im Speziellen dem Sperren der USB Ports im Automatisierungssystem umgesetzt werden siehe Kapitel Umgang mit mobilen Datentr gern Seite 85 Die Quarant ne Station als zentraler Datenaustauschpunkt ist aus Security Sicht besonders sch tzenswert Daher sollen lokale Sicherheitsma nahmen z B Firewall Virenscanner usw ggf strikter konfiguriert werden Die Quarant ne Station soll wie bei der Musterkonfiguration dargestellt im Perimeter Netzwerk positioniert werden Um eine Kommunikation zwischen der Quarant ne Station und
161. mmen werden Es k nnen die Standardeinstellungen bernommen werden 6 Klicken Sie anschlie end auf Install um die Rolle zu installieren Kompendium Teil F Industrial Security V8 1 128 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Active Directory Domain Services installieren und konfigurieren 1 Klicken Sie auf Start und geben im Eingabefeld Programme Dateien durchsuchen den Programmnamen dcpromo ein Best tigen Sie die Eingabe mit der Eingabetaste Programs 1 Der Active Directory Domain Services Installation Wizard wird gestartet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 129 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 2 Aktivieren Sie die Option Use advanced mode installation und klicken Sie auf die Schaltfl che Next l Active Directory Domain Services Installation Wizard Welcome to the Active Directory Domain Services Installation Wizard This wizard helps you install Active Directory Domain Services AD DS on this server making the server an Active Directory domain controller To continue click Next Leam more about the additional options that are available in advanced mode installation More about Active Directory Domain Services Der Dialog Choose a Deployment Configuration wird ge ffnet Kompendium Teil F Industri
162. n eingehalten werden Hinweise in den zugeh rigen Dokumentationen m ssen beachtet werden Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG Die brigen Bezeichnungen in dieser Schrift k nnen Marken sein deren Benutzung durch Dritte f r deren Zwecke die Rechte der Inhaber verletzen kann Haftungsausschluss Wir haben den Inhalt der Druckschrift auf bereinstimmung mit der beschriebenen Hard und Software gepr ft Dennoch k nnen Abweichungen nicht ausgeschlossen werden so dass wir f r die vollst ndige bereinstimmung keine Gew hr bernehmen Die Angaben in dieser Druckschrift werden regelm ig berpr ft notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten Siemens AG A5E35032081 AA Copyright Siemens AG 2015 Division Digital Factory 04 2015 Anderungen vorbehalten Alle Rechte vorbehalten Postfach 48 48 90026 NURNBERG DEUTSCHLAND Inhaltsverzeichnis 1 Ad o 1 Co 4 EETTISET TTT TTE TTI TETTETETT TTET TTT 7 WasSistnou ninin a a a a a a a O a E ee 10 Security Strategien eis cho se Ae eine eiiaeialannabiiniiiinieiiisllun 11 3 1 Allgemein p23 2 283 5 sere hanna Cansei aaa Ratings as Mathes nee ae Ra ae 11 3 2 Konzept der tiefgestaffelten Verteidigung Defense in Depth uuneeeneenennn 11 3 3 Musterkonfiguration ccccccecccccecesccceeesececeesneeeececsecececsueeuenensceaeesneeadeeedeeesseeddenenseeaeneneeaene
163. n Sie im Feld Computername den Namen des Rechners ein Bee BO ja System und Sicherheit System v Systemsteuerung durchsuchen 2 Startseite der Systemsteuerung Basisinformationen iiber den Computer anzeigen Ger te Manager Windows Edition a a a ee Windows 7 Fnternrise J i Computemame Hardware Erweitert Computerschutz Remote Windows Leistungsindex Core TM i7 CPU M620 Bildschirm ist keine Stift oder verf gbar und Arbeitsgruppe Einstellungen ww004 Siemens ne OK Abbrechen Obemetmen Drodukt TN NN207 012 ENNNNNI 2ENG I Original Quelle Microsoft Support Center TCP IP Grundlagen f r Microsoft Windows Ein NetBIOS Name ist ein 16 Byte 16 Zeichen langer Name auf der Basis des Rechnernamens der eine NetBIOS Anwendung im Netzwerk bezeichnet Als exakten Namen verwendet der Dienst die ersten 15 Zeichen des Rechnernamens zuz glich des Zeichens 0x20 als 16tes Zeichen Ein NetBIOS Name ist entweder ein eindeutiger exklusiver Name oder ein nicht exklusiver Gruppenname Wenn eine NetBIOS Anwendung mit einer bestimmten NetBIOS Anwendung auf einem einzelnen Rechner kommuniziert werden eindeutige Namen verwendet Wenn ein NetBIOS Prozess mit mehreren NetBIOS Anwendungen auf verschiedenen Rechnern kommuniziert wird ein Gruppenname verwendet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerks
164. n Vorteil dass sie nicht im Internet weitergeleitet geroutet werden k nnen Damit wird bereits ein direkter Angriff aus dem Internet auf einen Anlagen PC verhindert Netzadressenbereich CIDR Notation Anzahl der Adressen Netzklasse 10 0 0 0 10 255 255 255 10 0 0 0 8 224 16 777 216 Klasse A 1 privates Netz mit 16 777 216 Adressen 172 16 0 0 172 31 255 255 172 16 0 0 12 220 1 048 576 Klasse B 16 private Netze mit je 65 536 Adressen 192 168 0 0 192 168 255 255 192 168 0 0 16 216 65 536 Klasse C 256 private Netze mit je 256 Adressen 4 2 1 Musterkonfiguration Aufteilung in Subnetze Fur die Adressierung der Automatisierungsnetzwerke in der Musterkonfiguration Anlagenbus CSN Terminalbus PCN usw sollen Adressen aus dem privaten IP Adressbereich f r Klasse C verwendet werden In diesem Bereich gibt es e 256 Klasse C Netzwerke Subnet 192 168 0 x bis 192 168 255 x e 254 Hosts pro Netzwerk IPv4 Adresse 192 168 x 1 bis 192 168 x 254 Die Netzadresse 192 168 2 0 muss in vier gleich gro e Subnetze gleiche Anzahl an Hosts im Subnetz geteilt werden F r die Aufteilung in vier Netze Perimeter Netzwerk Process Control Netzwerk 1 Process Control Netzwerk 2 und Manufacturing Operations Netzwerk werden 2 Bits ben tigt 22 4 Somit kann die Segmentierung in vier Netze mit der folgenden Subnetzmaske erreicht werden 1111 1111 1111 1111 1111 1111 1
165. n zwischen Sicherheitszellen 4 6 1 bersicht In vielen F llen ist ein Datenaustausch zwischen Komponenten die sich in unterschiedlichen Sicherheitszellen befinden f r den normalen Betrieb einer Anlage notwendig Dabei sind folgende Varianten zu unterscheiden e Datenaustausch auf CSN Ebene Datenaustausch zwischen Automatisierungssystemen in unterschiedlichen Sicherheitszellen e Datenaustausch auf PCN Ebene Datenaustausch zur Bedienung und Beobachtung mit abgesetzten OS Clients d h OS Clients die sich in anderen Sicherheitszellen befinden wie der die zugeh rige n OS Server 4 6 2 Datenaustausch zwischen Automatisierungssystemen 4 6 2 1 Einf hrung Der Datenaustausch zwischen Automatisierungssystemen in unterschiedlichen Sicherheitszellen soll mittels VPN Verbindung IPSec erfolgen Diese Kommunikation kann mittels zweier SCALANCE S Sicherheitsmodule aufgebaut werden Die folgende Abbildung zeigt beispielsweise die Kommunikation zwischen Automatisierungssystemen unterschiedlicher Sicherheitszellen Process Control Network 192 168 2 64 26 192 168 2 128 26 Engineering OS Server Station ES1 VPN OSS3A omaa Tunnel po E e Control System Network Firewall Firewall SCALANCE S SCALANCE S SIMATIC SIMATIC SIMATIC SIMATIC SIMATIC S7 400 S7 400 S7 400H S7 400 S7 400H Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 43 Netzwerksicherheit 4
166. ndert wird dass unbekannte nicht auf der Whitelist vorhandene ausf hrbare Dateien gestartet werden k nnen Im Vergleich zu einfachen Whitelisting Konzepten verwendet McAfee Application Control ein dynamisches Vertrauensw rdigkeitsmodell Damit sind keine langwierigen manuellen Aktualisierungen von Listen genehmigter Anwendungen notwendig Aktualisierungen k nnen auf unterschiedliche Weise eingebracht werden e Durch vertrauensw rdige Benutzer Benutzer e Durch vertrauensw rdige Hersteller Zertifikat e Von einem vertrauensw rdigen Verzeichnis e Durch Bin rdatei e Mittels Updater Aktualisierungsprogramme z B WSUS Virenscanner Des Weiteren bietet McAfee Application Control eine Funktion die den Speicher berwacht vor einem Puffer berlauf Buffer Overflow sch tzt und Dateien im Speicher absichert Die Verwaltung bzw Administration von McAfee Application Control kann auf folgende Weise erfolgen e Lokal auf einem Rechnersystem Standalone e Zentral Uber McAfee ePolicy Orchestrator ePO Die Entscheidung ob die Verwaltung von McAfee Application Control lokal oder zentral erfolgt soll aufgrund der Anzahl der zu pflegenden Systeme getroffen werden Unabh ngig von der Art der Verwaltung gilt die folgende Vorgehensweise e Nach der Installation von McAfee Application Control auf einem Rechner muss zuerst ein solidify des Rechners ausgef hrt werden Dies bedeutet dass alle angeschlossenen lokalen Laufwerke nach a
167. ndows Search Stellt Inhaltsindi Gestartet Automat Lokales System G Windows Update Erkennung Her Gestartet Automat Lokales System Windows Audio Verwaltet Audioi Gestartet Automat Lokaler Dienst Windows Audio Endpunkterstellung Verwaltet Audio Gestartet Automat Lokales System Windows Bilderfassung WIA Stellt Bilderfassu Gestartet Automat Lokaler Dienst Windows Biometriedienst Mit dem Window Manuell Lokales System 4 Windows Dienst f r Schriftartenca Optimiert die Lei Gestartet Automat Lokaler Dienst S Windows Ereignisprotokoll Dieser Dienst ve Gestartet Automat Lokaler Dienst Gi Windows Ereignissammlung 4 Windows Farbsystem Lokaler Dienst Gi Windows Fehlerberichterstattung Erm glicht das B Manuell Lokales System SA Windows Firewall Die Windows Fir Gestartet Automat Lokaler Dienst G Windows Remoteverwaltung WS Der Windows Re Manuell Netzwerkdienst Gh Windows Sicherung Bietet M glichkei Deaktiviert Lokales System G Windows Sofortverbindung Konfi WCNCSVC hoste Gestartet Manuell Lokaler Dienst Gi Windows Verwaltungsinstrumenta Bietet eine stan Gestartet Automat Lokales System GA Windows Zeitgeber Beh lt Datums Gestartet Manuell Lokaler Dienst GA WinHTTP Web Proxy Auto Discov WinHTTP implem Gestartet Manuell Lokaler Dienst G WMI Leistungsadapter Bietet Leistungs Manuell Lokales System 3 Selektieren Sie im rechten
168. ne Name die Option Network ID und geben Sie die entsprechende IP Adresse ein in diesem Beispiel 192 168 2 Klicken Sie auf die Schaltfl che Next Reverse Lookup Zone Name A reverse lookup zone translates IP addresses into DNS names 2 To identify the reverse lookup zone type the network ID or the name of the zone Network ID fise 168 2 The network ID is the portion of the IP addresses that belongs to this zone Enter the network ID in its normal not reversed order If you use a zero in the network ID it will appear in the zone name For example network ID 10 would create zone 10 in addr arpa and network ID 10 0 would create zone 0 10 in addr arpa Reverse lookup zone name 2 168 192 in addr arpa Kompendium Teil F Industrial Security V8 1 140 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 7 W hlen Sie im Dialog Dynamic Update die Option Allow both nonsecure and secure dynamic updates vgl Forward Lookup Zone und best tigen die Eingabe mit der Schaltfl che Next Die neue Reverse Lookup Zone wird im Server Manager angezeigt 4 Server Manager File Action View Help e 23 Ss Bla BE Server Manager SVW2K8R2STDBA7 gt Roles S Active Directory Domain Services amp DNS Server z FA DNS F SVW2K8R2STDBA7 E Global Logs E Forward Lookup Zones _msdcs production 1 enterprise
169. ner innerhalb des PCN2 e Kommunikation zwischen PCS7WEBSRV1 und OSS3A B Perimeter MES Back Firewall 1 e Verteilung der Windows Updates Sicherheitsupdates und kritische Updates mittels PCS7WSUS auf alle Rechner innerhalb des MON e Verteilung der Virensignaturdateien mittels VSCAN auf alle Rechner innerhalb des PCN2 MES DCS1 Kompendium Teil F Industrial Security V8 1 DCS1 DCS2 Back Firewall 1 und 2 Projektierungshandbuch 04 2015 A5E35032081 AA Kommunikation zwischen den SIMATIC IT Servern und OSS1A B und OSS2 e Kommunikation zwischen OSS3A B im PCN2 und den OS Clients im PCN1 e Kommunikation zwischen OSS3A B im PCN2 und der ES1 im PCN1 37 Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen Aufgrund der oben abgebildeten Tabelle ergeben sich f r die Back Firewall 1 und 2 die folgenden Zugriffsregeln e Musterkonfiguration Zugriffsregeln f r die Back Firewall 1 Name Action Protocols From To Perimeter WSUS to PCN1 OS Server 1 Allow HTTP WSUS OS Server HTTPS 192 168 2 201 192 168 2 101 192 168 2 102 OS Server 192 168 2 103 PCN1 OS Server to Perimeter WSUS 1 Allow HTTP OS Server WSUS HTTPS 192 168 2 103 192 168 2 201 PCN1 OS Server to Perimeter WSUS 2 Allow HTTP OS Server WSUS HTTPS 192 168 2 101 192 168 2 201 192 168 2 102 Perimeter Virenscan Server to PCN1 OS Allow HTTP PatternUpdate
170. ng Installation Konfiguration und berwachung erfolgt ber McAfee ePO McAfee ePolicy Orchestrator McAfee ePO ist ein Management Tool das alle McAfee Produkte verwalten kann und viele zum Teil kostenlose Netzwerkmanagement und Netzwerk berwachungsfunktionalit ten mit sich bringt hnlich wie bei einer Active Directory Domain gilt auch hier dass ab ca 10 verwalteten Systemen eine zentrale Verwaltung genutzt werden soll Alle lokalen McAfee Application Control Befehle und Optionen sind auch remote ber die ePO verf gbar und zum Teil ber vordefinierte Tasks der Rest ber remote Kommandozeilen Optionen Die ePO bietet im Vergleich zur lokalen Verwaltung eine bessere berwachung und ein bersichtlicheres Eventmanagement Weitere Informationen Die Whitelist L sung von McAfee Application Control ist f r verschiedene SIMATIC PCS 7 Versionen freigegeben Details ber die Kompatibilit t zu SIMATIC PCS 7 finden Sie unter http support automation siemens com WW view de 64847 781 Eine Beschreibung der empfohlenen Vorgehensweise mit McAfee Application Control finden Sie unter http support automation siemens com WW view de 88653385 Zus tzlich zu den bereits beschriebenen Systemh rtungsm glichkeiten gibt es weitere M glichkeiten die auch Themen wie z B Device Hartung von Netzwerkger ten und AS miteinbeziehen Diese sind in den Industrial Security Services enthalten Weitere Informationen und die entsprechenden Anspr
171. ng exportierter und nicht direkt der Prozesssteuerung dienender Daten die auf einem System Datenspeicher Datenbank verf gbar sind Das System befindet sich zwischen dem Hauptzugriffspunkt f r den Dateneingang Frontend Firewall und dem tief eingebetteten Zugriffspunkt f r den Dateneingang Backend Firewall oder im dritten Netzwerkabschnitt einer Threehomed Firewall in drei Netzwerken angesiedelt Sicherung der Zugangspunkte zu den Sicherheitszellen Ein einziger Zugriffspunkt Single Access Point zu jeder Sicherheitszelle soll eine Firewall sein f r die Authentifizierung von Benutzern benutzten Ger ten und Anwendungen f r die richtungsbasierte Zugriffssteuerung und die Vergabe von Zugriffsberechtigungen sowie f r die Feststellung von Einbruchsversuchen Der Single Access Point fungiert als Haupteingangspunkt zum Netzwerk einer Sicherheitszelle und dient als erster Punkt einer Steuerung von Zugriffsrechten auf Netzwerkebene Sicherung der Kommunikation zwischen zwei Sicherheitszellen ber ein unsicheres Netzwerk Zertifikatsbasierte authentifizierte und verschl sselte Kommunikation soll immer dann eingesetzt werden wenn die Perimeterzonen Technik oder die Standard Application Layer Filtering Technik nicht verf gbar sind Dies kann mittels Tunnelprotokollen wie PPTP Point To Point Tunneling Protocol L2TP Layer Two Tunneling Protocol IPSec IPSecurity Filterung oder auch ber Kan le geschehen die durch serverbasiert
172. ngen 6 5 Domain Controller 5 Aktivieren Sie das Optionsk stchen Global Catalog und klicken Sie auf die Schaltfl che OK NTDS Settings Properties 2x if NTDS Settings Description Query Policy DNS Alias E3B32A05C8DF 4422 B3EC 3FE078D471 37 _msdcs p IV Global Catalog The amount of time it will take to publish the Global Catalog varies depending on your replication topology ceea 6 5 5 Benutzer und Benutzergruppen Benutzer die Sie im Domain Controller anlegen Domain Benutzer m ssen Sie in den entsprechenden SIMATIC HMI Benutzergruppen SIMATIC HMI SIMATIC HMI VIEWER SIMATIC HMI CS hinzuf gen Kompendium Teil F Industrial Security V8 1 168 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners Die Strategie der aufgabenbezogenen Bedienungs und Zugriffsrechte role based access control beinhaltet die Einschr nkung auf minimal ben tigte Rechte und Funktionen der Benutzer Bediener Ger te Netzwerk und Software Komponenten 6 6 1 SIMATIC Logon In Anlagen die mit Prozessleitsystemen automatisiert sind bestehen folgende spezielle wichtige Anforderungen bez glich des Zugriffs auf Funktionen Daten und Anlagenbereiche e Benutzerverwaltung zur Erteilung von Zugriffsrechten um unerlaubte oder ungewollte Zugriffe auf d
173. nnnnnnnnnnnennnnnnnnnnnnannnnnnr ern ennn 145 6 5 3 WINS Installation und Konfiguration 20 20 00 cece cece ee eeeeeeeeeeeeaeeeseeaeeeeeeaeeeseeaeeeseenaeeeeeeaaes 146 6 5 3 1 WINS Installation und Konfiguration usrn4esennnnenennnnnnnennnnnnennnnnnnennnnnnnennnnnnn mann 146 6 5 3 2 Mehrere WINS Server und WINS Replikation 4444ssss44nnnnennenennnnennennenenennn 154 6 5 4 ESMO ROllena r 2 2 t ee air in RE 160 6 5 5 Benutzer und Benutzergruppen 24444400nsnnsnennnnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnnennnnnnn nennen 168 6 6 Bedienberechtigungen Rechteverwaltung des Bedieners nenne 169 6 6 1 SIMATIC LOJON ae ten nahe IE ee ee 169 6 6 2 Zugriffsschutz f r Projekte Bibliotheken auf der Engineering Station 170 6 6 3 nderungen im nderungsprotokoll dokumentieren 173 6 6 4 nderungen im ES Protokoll dokumentieren 174 6 6 5 Zugriffsschutz bei Operator Stationen 44srsnnesnennnnnneennnnnnnennnnnnennnnnnnennn nn mann 175 6 7 Schutzstufenkonzept 22440400unnnnnnnnnnnnnenannnnnnnnnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnsnennnnnne nn 176 7 Patchmanagement 02rRre xvii iene eaa EEE N EEEE AAE EEEE EE E A EEEE EEEE 177 7 1 bersicht cl 177 72 Windows Server Update Service WSUS uusrsssesnnnnnnnennnnnnennnnnnnennnnnnnennnnnnnnnnnnnann 178 7 2 1 Empfohlene Vorgehensweise zum Patchmanagement mit
174. nterpriselocal Properties TF WINS Zone Transfers Security General Start of Authority SOA NameSewes Status Running Pause Type Active Directory Integrated Change Replication All DNS servers in this domain Change Data is stored in Active Directory Dynamic updates Secure only A Allowing nonsecure dynamic updates is a significant security vulnerability because updates can be accepted from untrusted sources To set aging scavenging properties click Aging Aging Die Updates die dem Microsoft Standard nicht entsprechen werden als nicht sichere Updates eingestuft Dies kann auch manchmal bei internen Domain Updates geschehen z B interne Software Profil Updates etc Aufgrund dessen ist diese Option auszuw hlen 5 Klicken Sie auf die Schaltfl che OK Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Reverse Lookup Zone Eine Reverse Lookup Zone wurde bei der Installation des DNS Servers nicht angelegt Um diese nachtr glich zu erstellen gehen Sie folgenderma en vor 1 Klicken Sie auf Start gt Administrative Tools gt Server Manager 2 ffnen Sie im linken Navigationsbereich Roles gt DNS Server gt Rechnername gt Reverse Lookup Zones 3 Klicken Sie mit der rechten Maustaste auf die Reverse Lookup Zone und wahlen im Kontextmen den Befehl N
175. nung 4 Benutzerschnittstelle f r Anmeldeinformationer C Biometrie BitLocker Laufwerkverschl sselung C Desktopfenster Manager E Desktopminianwendungen Digitalschlie fach Ereignisanzeige Pr sentationseinstellungen EF Programm zur Verbesserung der Benutzerfreun Richtlinien f r die automatische Wiedergabe EI RSS Feeds Sicherheitscen 4 Doppelklicken Sie die Gruppenrichtlinie AutoAusf hren Standardverhalten Der Eigenschaftsdialog der Gruppenrichtlinie wird ge ffnet 5 W hlen Sie die Option Aktiviert Kompendium Teil F Industrial Security V8 1 106 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 6 W hlen Sie aus der Klappliste im Bereich AutoAusf hren Standardverhalten die Option Keine AutoAusf hren Befehle ausf hren cY AutoAusf hren Standardverhalten Ei AutoAusf hren Standardverhalten C Nicht konfiguriert Kommentar G Aktivi C Deaktivi AutoAusf hren Standardverhalten Legt das Standardverhalten f r AutoAusf hren Befehle fest Keine AutoAusf hren Befehle ausf hren AutoAusf hren Befehle werden im Allgemeinen in der Datei autorun inf gespeichert Sie starten h ufig das Installationsprogramm oder andere Routinen Bei Versionen vor Windows Vista wird das Programm automatisch ohne Benutzereingriff ausgef hrt sobald ein Medium eingelegt wird das einen AutoAusf hren Befehl enth lt
176. ocess Control Netzwerk 1 befindet Der OS Server mit dem Namen OSS1A hat eine Netzwerkverbindung zum Process Control Netzwerk 1 Durch die Aufteilung in Subnetze wurde f r dieses 24 Netzwerk die Subnetzmaske 255 255 255 192 festgelegt Als IP Adressen innerhalb dieses Netzwerks stehen somit die Adressen von 192 168 2 65 bis 192 168 2 126 zur Verf gung F r den OS Server OSS1A wurde die IP Adresse 192 168 2 101 festgelegt und in das Feld IP Adresse des Eigenschaftendialogs Internet Protocol Version 4 TCP IPv4 eingef gt In das Feld Subnetzmaske wurde die oben festgelegte Subnetzmaske 255 255 255 192 eingetragen If Netzwerkverbindungen Ge F gt Netzwerk und internet gt Netzwerkverbindungen Organisieren v Local Area Connection ke Status von Local Area Connection xil A Eigenschaften von Local Area Connection x Eigenschaften von Internetprotokoll Version 4 TCP IPv4 2 x u IP Einstellungen ki i werden wenn das Netzwerk diese Funktion tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse 192 168 2 101 Subnetzmaske 255 255 255 192 Standardgateway 192 168 2 65 DNS Serveradtesse automatisch beziehen Folgende DNS Serveradressen verwenden Bevorzugter DNS Server 192 168 2 65 Alternativer DNS Server 3 P Kompendium Teil F Industrial Security V8 1 Projektierungshan
177. olicy Service Oragnostc Serce Hout Pestormance Logs Alerts Coles Sputers Connect now Presentation Font Cache Wote gt Abbrechen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 2 Installation des Betriebssystems Vorgehensweise Um einen Dienst zu deaktivieren gehen Sie folgenderma en vor 1 Klicken Sie im Windows Start Men mit der rechten Maustaste auf Computer und w hlen Sie im Kontextmen den Befehl Verwalten Geben Sie das Administratorenpasswort ein falls dies erforderlich ist Wenn Sie bereits als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Computerverwaltung wird ge ffnet 2 W hlen Sie im Navigationsbereich den Eintrag Dienste und Anwendungen gt Dienste Im rechten Bereich des Dialogs werden alle verf gbaren Dienste angezeigt Die Spalte Status zeigt ob der Dienst aktuell gestartet ist In der Spalte Starttyp wird angezeigt wie der Dienst gestartet wird Manuell oder Automatisch oder ob der Dienst nicht gestartet wird Deaktiviert gD Computerverwaltung Datei Aktion Ansicht 3 AmB abl Hlm m n p GA Windows Media Player Netzwerkfr Gibt Windows M Windows Modules Installer Erm glicht dasI Gestartet Manuell Lokales System 4 Windows Presentation Foundation Optimiert die WP Manuell Lokaler Dienst Gi Wi
178. om WW view de 101094704 oder das Kompatibilitats Tool http support automation siemens com WW view de 64847781 dass diese h heren Software Versionen oder Service Packs f r SIMATIC PCS 7 freigegeben sind Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Schutz vor Schadsoftware mittels Virenscanner 8 1 bersicht Einleitung In diesem Kapitel steht der Schutz des Automatisierungssystems bzw der Rechner des Automatisierungssystems vor Schadsoftware im Mittelpunkt Als Schadsoftware Schadprogramm oder Malware werden Rechnerprogramme bezeichnet die entwickelt wurden um unerw nschte und ggf sch dliche Funktionen auszuf hren Hierbei unterscheidet man die folgenden Typen e Computerviren e Computerwurm e Trojanisches Pferd e Sonstige potentiell gef hrliche Programme z B Backdoor Spyware Adware Scareware Grayware Ein Virenscanner oder Antivirenprogramm ist eine Software die bekannte Schadsoftware aufsp rt blockiert und gegebenenfalls beseitigt Der Einsatz eines Virenscanners auf den Rechnern eines Automatisierungssystems darf den Prozessbetrieb einer Anlage nicht beeintr chtigen Die folgenden zwei Beispiele zeigen die Problematik die durch den Einsatz von Virenscannern in der Automatisierung entsteht e Ein Rechner darf auch bei Infektion durch Schadsoftware von einem Virenscanner nicht abgeschaltet werden wenn dadurch die Kontrolle ber die Produk
179. ormationen um zu ermitteln welche Updates auf dem Computer bereitgestellt werden sollen Wenn der Microsoft Updatedienst im Intranet mehrere Zielgruppen unterst tzt k nnen durch diese Richtlinie mehrere durch Semikolons getrennte Gruppennamen angegeben werden Andernfalls muss eine einzelne Gruppe angegeben werden Wenn der Status auf Deaktiviert oder Nicht Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 187 Patchmanagement 7 2 Windows Server Update Service WSUS e Richtlinie Keinen automatischen Neustart f r geplante Installationen automatischer Updates durchf hren wenn Benutzer angemeldet sind Diese Gruppenrichtlinie muss aktiviert werden US Keinen automatischen Neustart f r geplante Installationen automatischer Updates durchf hren wenn Benu 5 x Wenn der Status auf Aktiviert festgelegt ist wird der Computer w hrend einer geplanten Installation nicht automatisch neu gestartet wenn ein Benutzer am Computer angemeldet ist Stattdessen wird der Benutzer aufgefordert den Computer neu zu starten Der Computer muss neu gestartet werden damit die Updates angewendet werden k nnen Wenn der Status auf Deaktiviert oder Nicht konfiguriert festgelegt ist wird dem Benutzer mitgeteilt dass der Computer automatisch nach 5 Minuten neu gestartet wird um die Kompendium Teil F Industrial Security V8 1 188 Projektierungshandbuch 04 2015 A
180. r Lokale Benutzer und Grup S Leistung a Ger te Manager amp Datenspeicher E Dienste und Anwendungen ee H E 2 Akkus Y Anschl sse COM amp LPT Audio Video und Gamecontroller 12 Biometrische Ger te gm Computer DVD CD ROM Laufwerke U Eingabeger te Human Interface Devices E Grafikkarte IDE ATA ATAPI Controller IEEE 1394 Bus Hostcontroller Laufwerke HAAA ogoan 2 Klicken Sie im abschlie enden Dialog auf die Schaltfl che OK Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 93 Systemh rtung 5 6 Umgang mit mobilen Datentr gern Zusammenhang der Gruppenrichtlinien 94 Das Verhalten der Ger teinstallation kann durch Gruppenrichtlinien bestimmt werden Diese Gruppenrichtlinien finden Sie im Gruppenrichtlinieneditor unter Computerkonfiguration gt Administrative Vorlagen gt System gt Ger teinstallation gt Einschr nkungen bei der Ger teinstallation Dort finden Sie die folgenden Richtlinien Administratoren das Au erkraftsetzen der Richtlinien unter Einschr nkungen bei der Ger teinstallation erlauben Installation von Ger ten verhindern die nicht in anderen Richtlinien beschrieben sind Installation von Ger t
181. r Dialog Auswahl einer Baugruppe oder Softwarekonfiguration wird ge ffnet W hlen Sie in den Bereichen Produkttyp Baugruppe und Firmwarerelease die folgenden Optionen Produkttyp SCALANCE S Baugruppe S612 Firmwarerelease V44 Geben Sie im Bereich Konfiguration die MAC Adresse im vorgegebenen Format ein Hinweis Die MAC Adresse ist auf der Frontseite der SCALANCE S Baugruppe aufgedruckt Geben Sie im Bereich Konfiguration die externe IP Adresse 192 0 0 201 und die externe Subnetzmaske 255 255 0 0 im vorgegebenen Format ein und best tigen Sie die Eingaben mit der Schaltfl che OK W hlen Sie aus der Auswahlliste im Bereich Schnittstellenrouting Extern Intern den Eintrag Routing Modus Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 8 Geben Sie die interne IP Adresse 192 168 1 200 und die interne Subnetzmaske 255 255 255 0 im vorgegebenen Format ein und best tigen Sie den Dialog mit der Schaltfl che OK 5 Auswahl einer Baugruppe oder Softwarekonfiguration m Produkttyp SCALANCE S SOFTNET Konfiguration C SOFTNET Security Client SCALANCE M87x MD74x NCP VPN Client VPN Ger t p Baugruppe C 5602 C 623 5612 627 2M C 613 m Firmwarerelease V4 ev C v3 C v2 Konfiguration Name der Baugruppe Baugruppe1 MAC
182. r andere Ger te als Volumes deaktivieren E Administrative Vorlagen JE AutoAusf hren Standardverhalten HH amp Activex Installerdienst E Anwendungskompatibilit t F Audiorecorder Aufgabenplanung 4 Benutzerschnittstelle f r Anmeldeinformationer C Biometrie BitLocker Laufwerkverschl sselung C Desktopfenster Manager E Desktopminianwendungen Digitalschlie fach Ereignisanzeige Pr sentationseinstellungen EF Programm zur Verbesserung der Benutzerfreun Richtlinien f r die automatische Wiedergabe EI RSS Feeds Sicherheitscen 4 Doppelklicken Sie die Gruppenrichtlinie Autoplay deaktivieren Der Eigenschaftsdialog der Gruppenrichtlinie wird ge ffnet 5 W hlen Sie die Option Aktiviert Kompendium Teil F Industrial Security V8 1 102 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 6 W hlen Sie aus der Klappliste im Bereich Autoplay deaktivieren auf die Option Alle Laufwerke 9 Autoplay deaktivieren Autoplay deaktivieren auf Deaktiviert die automatische Wiedergabe Mit diesem Feature werden Datentr ger sofort nach dem Einlegen in ein Laufwerk gelesen Setupdateien von Programmen werden sofort gestartet und Audiomedien sofort wiedergegeben Bei Versionen vor Windows XP SP2 ist die automatische Wiedergabe auf Wechsellaufwerken z B Di
183. r der Anlage eine neue Zeile ein P Imhosts Editor 10 x Datei Bearbeiten Format Ansicht to later INCLUDE a centrally maintained Imhosts file if the localsrw system is unavailable Note that the whole file is parsed including comments on each lookup so keeping the number of comments to a minimum will improve performance Therefore it is not advisable to simply add Imhosts file entries onto the end of this file 192 168 192 168 192 168 192 168 168 168 168 168 101 ossla PRE 102 OSS1B PRE 103 0552 PRE ES1 PRE oscl PRE 0SC2 PRE 0SC3 PRE osc4 PRE 168 168 OS53A PRE OSS3B PRE 168 168 168 168 168 168 SITSL PRE OITS2 PRE PCS7WSUS PRE QPC PRE PCS7WEBSRVL PRE VSCAN PRE Dunn nn NN NNNNNNNAN 3 Konfigurieren Sie alle Rechner auch die die sich in den Sicherheitszellen MES Perimeter DCS1 und DCS2 befinden 4 Speichern Sie die Datei ber den Befehl Speichern unter und vergeben Sie der Datei den Namen Lmhosts ohne Dateierweiterung 5 Kopieren Sie die Datei von dem Rechner auf dem Sie sie erstellt haben auf alle Rechner der Anlage Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 4 Verwaltung von Netzwerken und Netzwerkdiensten 4 4 Verwaltung von Netzwerken und Netzwerkdiensten Die Verwaltung der Netzwerkeinstellungen un
184. r die Meldung k nnen Sie Updates i zum Herunterladen ausw hlen Die ausgew hlten Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 185 Patchmanagement 7 2 Windows Server Update Service WSUS e Richtlinie Internen Pfad f r den Microsoft Updatedienst angeben Die Richtlinie Internen Pfad f r den Microsoft Updatedienst angeben muss aktiviert werden Im Eigenschaftsdialog dieser Richtlinie muss f r den Fall dass ein separater Upstreamserver in einem bergeordneten externen Netzwerk verwendet wird die IP Adresse bzw der Rechnername dieses WSUS Server angegeben werden cY Internen Pfad f r den Microsoft Updatedienst angeben Ei Internen Pfad f r den Microsoft Updatedienst angeben area Einstellung N chste Einstellung Nicht konfiguriert Kommentar Aktiviert Pas z Unterst tzt auf C Pack1 Optionen Hilfe Interner Updatedienst zum Ermitteln von Updates Gibt einen Intranetserver an der als Host f r die Updates von Microsoft Update fungiert Mit diesem https wsus Updatedienst k nnen Computer im Netzwerk automatisch aktualisiert werden Intranetserver f r die Statistik Mit dieser Einstellung k nnen Sie einen Server im https WSUS Netzwerk als Host fiir einen internen Updatedienst a bestimmen Der Automatische Updates Client Beispiel http IntranetUpd01 durchsucht diesen Dienst nach Updates die auf die Computer im Netzwerk angewendet werd
185. rface SSPI genutzt Dieses Interface erlaubt eine authentifizierte und verschl sselte Kommunikation zwischen den beteiligten PCS 7 OS Systemen Des Weiteren kann f r die Kommunikation ein fester Port eingestellt werden Dieser festgelegte Kommunikationsport wird f r die TCP und UDP basierte Kommunikation zwischen den beteiligten PCS 7 OS Systemen genutzt Somit ist eine Portfilterung bei einer Kommunikation ber eine Firewall m glich Hinweis Die verschl sselte Kommunikation k nnen Sie f r die PC Stationen aktivieren die aktiv in den Prozessbetrieb eingreifen e Operator Station e Engineering Station e SIMATIC Route Control e SIMATIC BATCH Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen Die verschl sselte Kommunikation wird ber die Simatic Shell konfiguriert Gehen Sie dazu folgenderma en vor 1 W hlen Sie die Simatic Shell im Windows Explorer 2 ffnen Sie das Kontextmen und w hlen Sie den Eintrag Einstellungen QO E ran siete Ble Datei Organisieren v Neue Bibliothek F Favoriten Bibliotheken ffnen Sie eine Bibliothek um Ihre Dateien anzuzeigen und sie nach Ordner Datum und nach weiteren Eigenschaften BD Desktop 3 Bibliotheken BATCHO1 UB PCS7Admin 0 CCEInfoOD BATCHO1 mm Hso1 1 CCEInfoOD BATCHO1 amp SYSTEM c Sta
186. rhergehenden Passwort alten Passwort unterscheiden mind durch 3 Stellen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 4 Passwortrichtlinien Vorgehensweise Die folgende Vorgehensweise wird am Beispiel des Betriebssystems Windows 7 beschrieben Um die Passwortrichtlinien umzusetzen gehen Sie folgenderma en vor 1 ffnen Sie das Windows Startmen und geben Sie im Suchfeld den Text secpol msc ein Die Anwendung secpol msc wird in der Ergebnisliste angezeigt 2 Klicken Sie auf die Anwendung secpol msc in der Ergebnisliste Geben Sie das Administratorenpasswort falls dies erforderlich ist Wenn Sie als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Lokale Sicherheitsrichtlinie wird ge ffnet 3 W hlen Sie Kontorichtlinien gt Kennwortrichtlinien im linken Navigationsbereich des Dialog Lokale Sicherheitsrichtlinie Die Kennwortrichtlinien werden angezeigt Lokale Sicherheitsrichtlinie Ol x Datei Aktion Ansicht 3 35 3 H m B Sicherheitseinstellungen E Ca Kontorichtlinien E Kennwort muss Komplexit tsvoraussetzungen entsprechen amp Ez Kennwortchronik erzwingen 8 Kontosperrungsrichtiinien SH Kennw rter mit umkehrbarer Verschl sselung speichern 3 Lokale Richtlinien SH Maximales Kennwortalter Windows Firewall mit erweitert
187. riff verweigern Nicht konfiguriert Wechseldatentr ger Ausf hrungszugriff verweigern Nicht konfiguriert Wechseldatentrager Lesezugriff verweigern Nicht konfiguriert i Wechseldatentr ger Schreibzugriff verweigern Nicht konfiguriert l Alle Wechselmedienklassen Jeglichen Zugriff verw Nicht konfiguriert l Alle Wechselmedien Jeglichen direkten ZugriffinR Nicht konfiguriert Bandlaufwerke Ausf hrungszugriff verweigern Nicht konfiguriert i Bandlaufwerke Lesezugriff verweigern Nicht konfiguriert i Bandlaufwerke Schreibzugriff verweigern Nicht konfiguriert Internetkommunikationsverwaltung i2 WPD Ger te Lesezugriff verweigern Nicht konfiguriert A iscst WPD Ger te Schreibzugriff verweigern Nicht konfiguriert Kerberos 5 Netzwerkanmeldung E Optionen f r das Herunterfahren Ordnerumleitung E Permanenter Festplattencache 5 Problembehandlung und Diagnose E Remoteprozeduraufruf E Remoteunterst tzung EI Skripts E Systemsteuerung Leistung E Systemwiederherstellung Treiberinstallation Trusted Platform Module Dienste Vechselmedienzugriff PSTSTR TET ES ES ES TEER 4 Doppelklicken Sie die Gruppenrichtlinie Alle Wechselmedienklassen Jeglichen Zugriff verweigern Der Eigenschaftsdialog der Gruppenrichtlinie wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 89 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 5 W h
188. rn F r die Musterkonfiguration werden entsprechend den in diesem Kapitel aufgef hrten Empfehlungen die folgenden Benutzer angelegt Benutzer Beschreibung ENG1 PCS 7 Projekteur 1 e Projektiert auf der Engineering Station ES mit SIMATIC Manager HWKonfig NetPro CFC SFC und WinCC e L dt die Automatisierungssysteme und die OS Server von der ES e F hrt auch Bedienungen an den OS Clients aus ENG2 PCS 7 Projekteur 2 Zus tzlich zu ENG1 ist dieser Benutzer der Administrator der Anlage OSC1 Lokaler Windows Benutzer der standardm ig permanent am OS Client OSC1 angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon OSC2 Lokaler Windows Benutzer der standardm ig permanent am OS Client OSC2 angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon OSC3 OSC4 Lokaler Windows Benutzer der standardm ig permanent am OS Client OSC3 angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon Lokaler Windows Benutzer der standardm ig permanent am OS Client OSC4 angemeldet ist ger tespezifisch nicht personifiziert Anmeldung am Betriebssystem erfolgt mittels Windows Autologon OSS1A Lokaler Windows Benutzer der standardm ig permanent am OS Server OSS1A angemeldet ist
189. rogramme 1 ffnen Microsoft Outlook Im Autorenmodus ffnen Als Administrator ausf hren Weitere Ergebnisse anzeigen gpedit msc Herunterfahren F r diese Aktion sind Administratorenrechte notwendig Melden Sie sich deshalb als Administrator an oder starten Sie den Gruppenrichtlinieneditor als Administrator Geben Sie das Administratorenpasswort ein wenn dies erforderlich ist Der Gruppenrichtlinieneditor wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 105 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 3 Selektieren Sie den Ordner Computerkonfiguration gt Administrative Vorlagen gt Windows Komponenten gt Richtlinien f r die automatische Wiedergabe Im rechten Bereich des Editors werden die zum Ordner zugeh rigen Richtlinien angezeigt g Editor f r lokale Gruppenrichtlinien Datei Aktion Ansicht e9 Amel HA Fr LZ Richtlinien f r Lokaler Computer E Computerkonfiguration Autoplay deaktivieren Softwareeinstellungen i2 Kein Kontrollk stchen Vorgang immer durchf hren festlegen Windows Einstellungen i2 Automatische Wiedergabe f r andere Ger te als Volumes deaktivieren E Administrative Vorlagen JE AutoAusf hren Standardverhalten HH amp Activex Installerdienst E Anwendungskompatibilit t F Audiorecorder Aufgabenpla
190. rom the WINS database is a potentially long and resource intensive operation The response time is much improved if the database is filtered either by a specific name prefix or by a unique owner Enabling result caching makes subsequent queries faster but increases the memory consumption J Enable result caching 4 Aktivieren Sie das Kontrollkastchen Filter records matching this Name pattern 5 Tragen Sie den Computernamen des Servers die ersten Zeichen in diesem Beispiel SVW und klicken Sie anschlie end auf die Schaltfl che Find Now Das Suchergebnis wird in der WINS Management Konsole angezeigt File Action View Help eslam cisi am WINS Active Registrations Records filtered 2 Records scanned 5 amp Server Status a f5 SVW2KBR2STDBA7 192 168 2 ae pe 00h WorkStation 192 168 2 125 Active 192 168 2 125 Ga u Patan SvW2KSR2STDBA7 20h File Server 192 168 2 125 Active 192 168 2 125 C Kompendium Teil F Industrial Security V8 1 152 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller WINS Server bei DNS Lookup Zones eingetragen Der installierte WINS Server soll bei den DNS Lookup Zones eingetragen werden Dazu gehen Sie wie folgt vor 1 ffnen Sie den Server Manager ber den Befehl Start gt Administrative Tools gt Server Manager 2 ffnen Sie im linken Bereich Roles gt DNS Serv
191. ruckerfreigabe Datei und Druckerfreigabe Datei und Druckerfreigabe Datei und Druckerfreigabe Datei und Druckerfreigabe Datei und Druckerfreigabe FTP Server FTP Server FTP Server Kernnetzwerk Kernnetzwerk Kernnetzwerk BIOS Einstellungen Die folgenden BIOS Einstellungen m ssen Sie auf jedem Rechner Ihrer Anlage durchf hren Profil Privat Privat Privat Privat Privat Privat Privat Privat Privat Alle Alle Alle Alle Alle Alle Aktivi Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Lokale Adresse Remoteadresse Lokales Subnetz Lokales Subnetz Lokales Subnetz Lokales Subnetz Lokales Subnetz Lokales Subnetz Lokales Subnetz Lokales Subnetz Lokales Subnetz Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Protokoll e Der Zugang zum BIOS muss mit einem Passwort gesch tzt werden Das Passwort muss von einem Administrator festgelegt und vertraulich behandelt werden e Die Start Reihenfolge des Rechners muss im BIOS so eingestellt sein dass von der Festplatte gestartet wird Dies bedeutet dass die Festplatte als erstes Start Medium eingestellt werden muss Dadurch wird das Starten von anderen Medien z B von CD oder USB erschwert e Die Reihenfolge in der die einzelnen Medien des Rechners gestartet werden muss im BIOS so ein
192. s Microsof A Computer Management Microsof g Device Manager Microsof Microsof nee gt Advanced Ef Disk Management DNS Description View and edit the Active Directory Schema Das Active Directory Schema Snap In wird in der Management Konsole integriert 5 Klicken Sie mit der rechten Maustaste auf den Eintrag Active Directory Schema der Management Konsole und w hlen Sie im Kontextmen den Befehl Change Active Directory Domain Controller Console1 Console Root Active Directory Schema SVW2K8R2STDBA7 productioni enterprise local im File Action View Favorites Window Help 3 2350 sur Console Root Active Directory pal SKS STOEL PFREBER F Classes Change Active Directory Domain Controller S Attributes Connect to Schema Operations Master Operations Master Permissions Reload the Schema View gt New Window from Here New Taskpad View Select a different Active Directory Domain Controller Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 6 W hlen Sie im Dialog Change Directory Server die Option This Domain Controller or AD LDS instance und den entsprechenden Domain Controller aus der Liste aus Best tigen Sie die Eingabe mit der Schaltfl che OK Change Dire
193. sdialog der Richtlinie muss eingestellt werden dass Updates automatisch heruntergeladen aber nicht installiert werden d rfen cY Automatische Updates konfigurieren lol x Ei Automatische Updates konfigurieren Vorherige Einstellung N chste Einstellung C Nicht konfiguriert Kommentar a Aktiviert ore I Unterst tzt auf Mindestens Windows 2000 Service Pack 3 oder Windows XP Professional Service mer i Legt fest ob der Computer Sicherheitsupdates und Automatische Updates konfigurieren l Runge or F andere wichtige Downloads ber den Windows E Autom Herunterladen aber vor Installation benachrichtigen Dienst f r automatische Updates erh lt Folgende Einstellungen sind nur erforderlich Mit dieser Einstellung k nnen Sie festlegen ob auf 2 dem Computer automatische Updates aktiviert sind und g ltig wenn 4 ausgew hlt wird Falls der Dienst aktiviert ist m ssen Sie eine der er x 4 folgenden vier Optionen in der Gepimierlesisiliionsingg i ei Gruppenrichtlinieneinstellung ausw hlen lante Installationszei 030 se ee 2 Vor dem Herunterladen von Updates benachrichtigen und vor deren Installation erneut benachrichtigen Wenn Windows Updates ermittelt die auf den i Computer angewendet werden k nnen wird im Statusbereich ein Symbol mit einer Meldung angezeigt die dar ber informiert dass Updates heruntergeladen werden k nnen Durch Klicken auf 4 das Symbol ode
194. se Einstellung sollte nur verwendet werden wenn die Bes Einstellung Installation von Ger ten verhindern die nicht in anderen Richtlinien beschrieben sind aktiviert ist Sie hat keinen Vorrang vor irgendeiner anderen Einstellung mit der die Installation eines Ger ts verhindert wird Um eine Liste von Ger ten zu erstellen klicken Sie auf Anzeigen Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wert Wenn Sie diese Einstellung aktivieren kann jedes Ger t installiert und aktualisiert werden dessen Hardwarekennung oder kompatible Kennung mit einer der Kennungen in der Liste z B gendisk USB COMPOSITE USB Class_ff bereinstimmt sofern diese Installation nicht ausdr cklich durch eine Plug and Play Hardware ID oder eine kompatible ID ein die Richtlinieneinstellungen Installation von Ger ten mit diesen Ger te IDs verhindern Installation von Ger ten f r diese Ger teklassen verhindern oder Installation von Wechselger ten verhindern verhindert wird Wenn eine andere Richtlinieneinstellung die Installation eines Ger ts verhindert kann das Ger t auch dann nicht installiert werden wenn es durch einen Wert in dieser Richtlinieneinstellung beschrieben wird Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 97 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 3 Klicken Sie auf die Schaltfl che Anzeigen um die Ger te anzuzeigen die auf Ihrem Re
195. simatic pcs 7 Pages simatic pcs 7 aspx herunterladen F r den Fall dass eine Firewall zum Einsatz kommt die die M glichkeit der FTP Ver ffentlichung nicht bietet zeigen die folgenden Tabellen die notwendigen Firewall Regeln auf e Front Firewall Name Action Protocols From To ECN Computer to Perimeter Q PC Allow FTP 21 IP Adresse des Rechners IP Adresse des Q PC im Peri im Office Netzwerk meter Netzwerk Perimeter Q PC to ECN Computer Allow FTP 21 IP Adresse des Q PC im IP Adresse des Rechners im Perimeter Netzwerk Office Netzwerk Die Regeln in der Front Firewall sind nur notwendig wenn ein FTP Datenzugriff vom ECN Enterprise Control Network auf die Quarantane Station im Perimeter Netzwerk m glich ist e Back Firewall Name Action Protocols From To Perimeter Q PC to PCN 1 Allow FTP 21 IP Adresse des Q PC im IP Adresse des Rechners im Perimeter Netzwerk PCNx z B ES1 PCN to Perimeter Q PC 1 Allow FTP 21 IP Adresse des Rechners IP Adresse des Q PC im Peri im PCNx z B ES1 meter Netzwerk 58 Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen FTP Server Konfiguration FTP Dienst aktivieren Die folgende Vorgehensweise wird am Beispiel des Betriebssystems Windows 7 beschrieben Um auf der Quarant
196. skettenlaufwerken nicht aber CD ROM Laufwerken und auf Netzlaufwerken jeaktivi Seit Windows XP SP2 kann die automatische Wiedergabe auch auf Wechsellaufwerken einschlie lich ZIP Laufwerken und einigen USB Massenspeicherger ten verwendet werden Wenn Sie diese Einstellung aktivieren kann die automatische Wiedergabe auch auf CD ROM und Wechsellaufwerken oder generell auf allen Laufwerken deaktiviert werden Diese Einstellung deaktiviert die automatische Wiedergabe auf weiteren Laufwerktypen Sie k nnen diese Einstellung nicht zum 7 Best tigen Sie die Einstellungen mit der Schaltfl che OK 8 Starten Sie anschlie end den Rechner neu Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 103 Systemh rtung 5 6 Umgang mit mobilen Datentr gern 5 6 4 2 Deaktivieren aller AutoRun Funktionen mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 Vorgehensweise Um die AutoRun Funktion zu deaktivieren gehen Sie folgenderma en vor 1 Klicken Sie auf Start und geben Sie in das Feld Suche die Zeichenfolge gpedit msc ein Programme 1 Microsoft Outlook J9 Weitere Ergebnisse anzeigen gpedit msc E Herunterfahren gt Kompendium Teil F Industrial Security V8 1 104 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 6 Umgang mit mobilen Datentr gern 2 Starten Sie den Gruppenrichtlinieneditor als Administrator P
197. snnsnnnnennnnnnnnennnnnnn nennen 91 5 6 4 Windows AutoRun AutoPlay f r CD DVD Laufwerke und USB Speichermedien deaktivierensn 2 22 22 12ER nn En naar Eh 99 5 6 4 1 Deaktivieren der AutoPlay Funktion mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 2 000220000nu022u0 anna hassen naar nnd aan Paar aaea tiaba 100 5 6 4 2 Deaktivieren aller AutoRun Funktionen mittels Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 e a e aa ea aa a ap aA a aa aaa addaa aaa aaa 104 5 7 VW hitelisting EE 222 A E nee A E a 108 5 8 SIMATIC S7 CPUS aa a aE Aa ie aaa Henne 110 5 9 SIMATIC NET S7 400 Industrial Ethernet CPS 444404nsn nn nnennennenennnnennnne nenn 111 6 Benutzerverwaltung und Bedienberechtigungen s 22220000000000nnnnnnnnnnnnnnnn nn nnnnnnnnnnnnn anne 112 6 1 bersicht 0 erkennen 112 6 2 Windows Arbeitsgruppe oder Windows Domain 4444ss4444244nsnnnnennnnnnnennennnnennnnnnn nn 112 6 3 Verwaltung von Computern und Benutzern uursssessennsnnnennnnnnennnnnnnennnnnnnennnnnnnnnn nn 114 6 4 Passw rtrichtlinien 222er ree Satake at eine 122 6 5 Domain Controller s snin i 22a ale lanlnen 124 6 5 1 Installation und Konfiguration des ersten Domain Controllers DC1 126 6 5 2 Installation und Konfiguration eines zus tzlichen Domain Controllers DC2 DCn in einer vorhandenen Domain 2444444400snnnnennnnnnnenennn
198. sswort falls dies erforderlich ist Wenn Sie als Administrator angemeldet sind best tigen Sie die Ausf hrung der Anwendung Der Dialog Windows Firewall mit erweiterter Sicherheit wird ge ffnet Windows Firewall mit erweiterter Sicherheit Dom nenprofil ist aktiv Die Windows Firewall ist eingeschaltet Eingehende Verbindungen die diese Regel betrifft werden blockiert Ausgehende Verbindungen die diese Regel nicht betrifft werden zugelassen Privates Profil Die Windows Firewall ist eingeschaltet Eingehende Verbindungen die diese Regel betrifft werden blockiert Ausgehende Verbindungen die diese Regel nicht betrifft werden zugelassen ffentliches Profil ist aktiv Die Windows Firewall ist eingeschaltet Eingehende Verbindungen die diese Regel betrifft werden blockiert Ausgehende Verbindungen die diese Regel nicht betrifft werden zugelassen E Windows Firewalleigenschaften Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 79 Syslemh tung S 5 4 Windows Firewall 3 Klicken Sie im linken Navigationsbereich auf Eingehende Regeln Die Eingehende Regeln werden angezeigt Windows Firewall mit erweiterter Sicherheit Datei Aktion Ansicht Joe Windows Firewall mit erweiterter Eingehende Regeln E Eingehende Regeln E3 Ausgehende Regeln Me Verbindungssicherheitsregeln
199. t dll zu registrieren klicken Sie auf Start und anschlie end im Startmen auf Run 2 Geben Sie die folgende Anweisung in den Run Dialog ein und best tigen Sie die Eingabe mit der Schaltfl che OK Regsvr32 schmmgmt dll Daraufhin wird die Management Konsole ge ffnet 3 Um das Active Directory Schema Snap In zu ffnen klicken Sie auf File gt Add Remove Snap In Der Dialog Add or Remove Snap ins wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 161 Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller 162 4 Wahlen Sie aus dem linken Fenster das Active Directory Schema Snap In und klicken auf die Schaltfl che Add gt Best tigen Sie die Eingabe mit OK Add or Remove Snap ins 7 x You can select snap ins for this console from those available on your computer and configure the selected set of snap ins For extensible snap ins you can configure which extensions are enabled Available snap ins Selected snap ins Snap in E Console Root Edit Extensions g Active Directory Domains and Microsof Active Directory Schema Microsof Remove fle Active Directory Sites and Se Microsof g Active Directory Users and C Microso Move Up ActiveX Control Microsof ZZ ADSI Edit Microsof Move Bown j Authorization Manager Microsof Add gt GH Certificates Microsof Component Service
200. te zulassen m chten gehen Sie folgenderma en vor 1 Verhindern Sie die die Installation aller Ger te auf dem Rechner 2 Geben Sie explizit ein bestimmtes Ger t zur Installation frei Um die Installation aller Ger te auf dem Rechner zu verhindern gehen Sie folgenderma en vor 1 Stellen Sie sicher dass alle Ger te im Ger temanager deinstalliert sind 2 Starten Sie den Gruppenrichtlinieneditor und navigieren Sie zum Ordner Computerkonfiguration gt Administrative Vorlagen gt System gt Ger teinstallation gt Einschr nkungen bei der Ger teinstallation Die Gruppenrichtlinien werden im rechten Bereich des Editors angezeigt 3 ffnen Sie die Eigenschaften der Gruppenrichtlinie Installation von Ger ten verhindern die nicht in anderen Richtlinien beschrieben sind durch Doppelklick auf die Richtlinie Der Eigenschaftsdialog der Gruppenrichtlinie wird ge ffnet 4 Aktivieren Sie die Gruppenrichtlinie ber die Option Aktiviert und best tigen Sie die Einstellung mit der Schaltfl che OK Die Installation aller Ger te auf dem Rechner ist unterbunden Im n chsten Schritt stellen Sie ein dass f r Benutzer mit Administratorenrechten das Au erkraftsetzen der Richtlinien unter Einhaltung bei der Ger teinstallation erlaubt ist Somit k nnen Administratoren auf dem Rechner mit aktivierter eingeschr nkter Ger teinstallation ber den Assistenten zum Hinzuf gen von Hardware Treiber installieren Um diese Gruppenric
201. teilt sich in zwei mehr oder weniger unabh ngige Teilanlagen F r die Mess Steuerungs und Regelungsaufgaben der Teilanlage A werden drei S7 Steuerungen f r die der Teilanlage B insgesamt zwei S7 Steuerungen eingesetzt ber die vier OS Clients sollen eine Bedienung und Beobachtung beider Teilanlagen m glich sein Dabei sind der Teilanlage A und B je ein redundantes OS Serverpaar zugeordnet Die Teilanlage A hat zus tzlich noch einen weiteren OS Server der allerdings nicht redundant ausgef hrt ist Ein OS Client soll als Vor Ort Bedienstation einer Abf llstation dienen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 15 Netzwerksicherheit 4 4 1 Automatisierungs und Sicherheitszellen Die Strategie der Aufteilung von Anlagen und verbundenen Anlagen in Sicherheitszellen erh ht die Verf gbarkeit eines Gesamtsystems Einzelne Ausf lle oder Sicherheitsbedrohungen die Ausf lle hervorrufen lassen sich damit auf ihren unmittelbaren Wirkungskreis begrenzen Bei der Planung der Sicherheitszellen wird die Anlage zuerst in Automatisierungszellen process cells und anschlie end durch Security Ma nahmen in Sicherheitszellen security cells unterteilt Kriterien zur Aufteilung einer Anlage in Automatisierungs und Sicherheitszellen finden Sie im Dokument Sicherheitskonzept PCS 7 amp WinCC Basis http support automation siemens com W W view de 60119725 Musterkonfiguration Auft
202. ten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden Beim Auftreten mehrerer Gef hrdungsstufen wird immer der Warnhinweis zur jeweils h chsten Stufe verwendet Wenn in einem Warnhinweis mit dem Warndreieck vor Personensch den gewarnt wird dann kann im selben Warnhinweis zus tzlich eine Warnung vor Sachsch den angef gt sein Qualifiziertes Personal Das zu dieser Dokumentation zugeh rige Produkt System darf nur von f r die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der f r die jeweilige Aufgabenstellung zugeh rigen Dokumentation insbesondere der darin enthaltenen Sicherheits und Warnhinweise Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung bef higt im Umgang mit diesen Produkten Systemen Risiken zu erkennen und m gliche Gef hrdungen zu vermeiden Bestimmungsgem er Gebrauch von Siemens Produkten Marken Beachten Sie Folgendes INWARNUNG Siemens Produkte d rfen nur f r die im Katalog und in der zugeh rigen technischen Dokumentation vorgesehenen Einsatzf lle verwendet werden Falls Fremdprodukte und komponenten zum Einsatz kommen m ssen diese von Siemens empfohlen bzw zugelassen sein Der einwandfreie und sichere Betrieb der Produkte setzt sachgem en Transport sachgem e Lagerung Aufstellung Montage Installation Inbetriebnahme Bedienung und Instandhaltung voraus Die zul ssigen Umgebungsbedingungen m sse
203. terer Schutz der auch bei der Quarant ne Station implementiert werden soll siehe hierzu die entsprechenden Kapiteln in diesem Dokument Kompendium Teil F Industrial Security V8 1 64 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X Folgende Punkte m ssen bei der Konfiguration der Netzwerkkomponenten z B Ethernet Switches dringend beachtet werden e Deaktivierung nicht ben tigter Ports e ndern des vorkonfigurierten Standard Passworts Default Passwort e Deaktivierung nicht ben tigter Protokolle Hinweis Zur Konfiguration der Industrial Ethernet Switches SCALANCE X beachten Sie die Betriebsanleitungen zu den entsprechenden Ger ten Wenn Sie zum Aufbau der verschiedenen Netzwerke Switches von Fremdherstellern verwenden beachten Sie zur Konfiguration dieser Ger te die entsprechende Betriebsanleitung des Fremdherstellers Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 65 Netzwerksicherheit 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X Deaktivierung nicht ben tigter Ports Freie Ports Ports des Ethernet Switch die nicht ben tigt werden und an die somit keine Endger te angeschlossen werden m ssen deaktiviert werden Offnen Sie dazu das WBM Men Switch Ports und deaktivieren Sie in dieser Maske di
204. tes Projekt bzw eine bestimmte Bibliothek ein Nur Windows Benutzer die der Benutzerrolle Projekt Bearbeiter oder Projekt Administrator zugeordnet sind k nnen dieses Projekt bzw diese Bibliothek ffnen und bearbeiten e Legt das Projektpasswort fest Pro Projekt pro Biblio thek kann ein Projektpasswort festgelegt werden Projekt Administrator Zugriffsschutz deaktivieren Schaltet den Zugriffsschutz f r ein bestimmtes Projekt bzw eine bestimmte Bibliothek wieder aus Projekt Administrator Benutzer verwalten Legt die Projekt Administratoren und Projekt Bearbeiter fest Projekt Administrator Zugriffsschutz im Multipro jekt abgleichen Legt die Projekt Administratoren und Projekt Bearbeiter einheitlich f r alle Projekte und Bibliotheken eines Mul tiprojektes fest Projekt Administrator nderungsprotokoll anzei gen Zugriffsschutz und nde rungsprotokoll entfernen ffnet das nderungsprotokoll Entfernt den Zugriffsschutz und l scht das nderungspro tokoll eines passwortgesch tzten Projektes bzw einer passwortgesch tzten Bibliothek Projekt Administrator Projekt Bearbeiter Projekt Administrator Zugriffsschutz f r Projekte Bibliotheken aktivieren Die folgenden Voraussetzungen m ssen erf llt sein e SIMATIC Logon ist installiert e In SIMATIC Logon sind durch die PCS 7 Installation die Benutzerrollen Projekt Administrator und Projekt Bearbeiter automatisch an
205. tigten Komponenten 4 Best tigen Sie die nderungen mit der Schaltfl che OK Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 73 Systemh rtung 5 2 Installation des Betriebssystems Deaktivieren von Diensten Entsprechend den Vorgaben zur H rtung eines Systems sollen neben den Softwarepaketen die f r den Betrieb eines Systems nicht notwendig sind auch die nicht ben tigten Dienste deaktiviert werden Folgende Dienste k nnen deaktiviert werden Dienst Zertifikatverteilung Diagnoserichtliniendienst Betriebssystem Windows 7 Windows Server 2008 R2 Windows 7 Windows Server 2008 R2 Diagnosediensthost Windows 7 Windows Server 2008 R2 Windows Farbsystem Windows 7 Windows Server 2008 R2 Windows Sofortverbindung Konfigurationsregistrierungsstelle Windows 7 Leistungsprotokolle und warnungen Alle Windows Presentation Foundation Schriftartcache Alle Wenn Sie bei der Installation von SIMATIC PCS 7 die Option System Hardening w hlen werden dadurch die in der Tabelle aufgelisteten Dienste deaktiviert CPES 7 web Gert DJPCS 7 Diagnose Chere CO OstaMontor Chert OstaMonter Serve __J Options CI SMATIC Logon CI SMATIC Management Console V8 1 DversonTrad OPCS 7 Trial Mode 74 ZO Beiche ung System Hasderung erhat System Hudenng Achhrg Ge loigenden Derste werden gestoppt Certicate Propagation Diagnostic P
206. timaler proaktiver systemspezifischer Support f r das Automatisierungssystem aus der Ferne Diese Idee steckt hinter der SIEMENS Remote Service SRS Platform Dank ihres modularen Aufbaus k nnen die SIMATIC Remote Services optimal an den tats chlichen Bedarf angepasst werden Im Rahmen der angebotenen Module wird nicht nur die Remote Infrastruktur bereitgestellt auch Support und Wartung sind bereits enthalten Da die SIMATIC Remote Services auf der SIEMENS Remote Service SRS Platform basieren arbeiten Anlagenbetreiber mit einer sicheren performanten und hochverf gbaren Plattform f r den Remote Zugriff auf Ihre SIMATIC Automatisierungssysteme Die Plattform Die SIMATIC Remote Support Services basieren auf der SIEMENS Remote Service Platform Damit steht eine sichere performante und hochverf gbare remote Verbindung zur Verf gung e Abgestuftes Sicherheits und Zugangskonzept e Collaboration amp Customer Web Portal e Zentrales Monitoring Logging und Reporting e E Mail Benachrichtigung e Transparente Zugriffe zu jeder Zeit e Harte Authentifizierung e Verschllsselte Kommunikation durch SSL und VPN Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 203 Fernzugriff 10 1 Sichere Fernwartung auf Basis der SIEMENS Remote Service Platform Die folgende Abbildung zeigt die Architektur der SIEMENS Remote Service Platform Customer Business Partner Siemens Service DMZ Customer We
207. tion up S7RTM BATCHO1 a DATA D MASTER BatchProje BATCHO2 3 TrueCrypt Traveler Disk 0 CCEInfoOD BATCHO2 a Lokaler Datentr ger F 7 CCEInfoOD BATCHO2 in aa up or WinCCProject ES01 WinCCProject ES01 a EI EEE WinCCProject ES01 Papierkorb au nem mon Der Dialog Kommunikationseinstellungen wird ge ffnet Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 55 56 Netzwerksicherheit 4 6 Sichere Kommunikation zwischen Sicherheitszellen 3 Aktivieren Sie das Hackchen des Bereichs Verschl sselte Kommunikation r Kommunikationseinstellungen x M Auswahl Netzwerkadapter OK Al LAN 04 Plant Bus IF 1 S 03 SIMATI 08 00 06 22 61 33 172 26 226 133 Hilfe erkadapte Abbrechen LAN Verbindung SOFTNET IE RNA Virtual 00 19 99 DE 8C 6E 172 26 224 133 M Multicast Lebensdauer TTL fi a ica PSK Schlussel Festlegen M Multicast Proxy Portbelegung fiir TCP UDP Bereich 1024 65535 oe Hinzuf gen Port eingehend jest 0 Entfemen T Migrationsmodus Hinweis Informationen zum Migrationsmodus finden Sie im Handbuch SIMATIC Prozessleitsystem PCS 7 PCS 7 PC Konfiguration http support automation siemens com W W view de 90635791 Der Dialog PSK Schl ssel festlegen wird ge ffnet Geben Sie einen PSK Schl ssel an und klicken Sie auf die Schaltfl che OK Der
208. tionsanlage verloren geht z B bei einem OS Server e Auch eine durch Schadsoftware infizierte Projektdatei z B ein Datenbankarchiv darf nicht automatisch in die Quarant ne verschoben blockiert oder gel scht werden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 191 Schutz vor Schadsoftware mittels Virenscanner 8 1 bersicht F r die Realisierung dieser Forderung wird die folgende Virenscanner Architektur empfohlen SIMATIC IT SIMATIC IT P Production Production il iil Historian SIMATIC IT SIMATIC IT Web Client Server SQL Server a Front ill il Firewall Virus Scan Server WSUS Server TMG Perimeter Network 3 SIMATIC IT Production E Suite Web Navigator Server OS Web Server CAB Server Manufacturing Operations Network Domain Domain Controller Controller Domain Domain Controller Controller Process Control Network WinCC Client OS Client Maintanance Server Engineering Station Control System Network SCALANCE X based redundant ring il II Be aa Il Il I SIMATIC SIMATIC S7 400H S7 400 SIMATIC SIMATIC S7 400 S7 400FH Kompendium Teil F Industrial Security V8 1 192 Projektierungshandbuch 04 2015 A5E35032081 AA Update Quelle Firewall Regeln Schutz vor Schadsoftware mittels Virenscanner 8 1 bersicht Der Virenscan Server ist ein Rechner der Virenscan Clients
209. tsgruppe oder Windows Domain Bei der Verwendung einer Windows Arbeitsgruppe ist die Verwaltung der Computer und Benutzer dezentralisiert und lokal auf jedem einzelnen Computer Innerhalb einer Windows Domain Active Directory ist eine zentrale Verwaltung von Computern und Benutzern m glich Wann sollen Anlagen in einer Windows Arbeitsgruppe betrieben werden Der Betrieb einer Anlage ohne zentrale Windows Verwaltung wird unter folgenden Bedingungen empfohlen e Die Anlage hat nicht mehr als ca 10 Computer e In der Anlage werden keine regelm igen nderungen vorgenommen z B Hinzuf gen neuer Benutzer Austausch von Computern Einf hrung neuer Sicherheitsrichtlinien Passwort nderungen usw e Der Betrieb einer Windows Domain Infrastruktur kann aufgrund des fehlenden Fachpersonals nicht gew hrleistet werden e Die Einheitlichkeit von Netzwerkeinstellungen Computerkonfigurationen Sicherheitsrichtlinien Benutzern und Passw rtern kann durch eine zentrale Anlagendokumentation gew hrleistet werden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 112 Benutzerverwaltung und Bedienberechtigungen 6 2 Windows Arbeitsgruppe oder Windows Domain Folgendes soll beachtet werden Passw rter von Benutzern m ssen bei allen betroffenen Computern ge ndert werden Nicht mehr ben tigte Benutzerkonten m ssen berall entfernt werden Auf allen Computern der Anlage m ssen dieselben
210. ty V8 1 154 Projektierungshandbuch 04 2015 A5E35032081 AA Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller WINS Replikation konfigurieren Um f r den einen konfigurierten WINS Server einen Replikationspartner zu konfigurieren gehen Sie folgenderma en vor 1 ffnen Sie die WINS Management Konsole ber Start gt Administrative Tools gt WINS 2 Klicken Sie mit der rechten Maustaste auf Replication Partners und w hlen Sie im Kontextmen den Befehl New Replication Partner EG WINS Fie Action View Help Teer E WINS WINS I _ Serum TTS ff SVW2K8R2STDBA7 192 168 2 es QH Active Registrations m SAR Biswas A7 192 168 2 125 Yes New Replication Partner Der Dialog New Replication Partner wird ge ffnet 3 Geben Sie die IP Adresse des WINS Replikationspartners Enter the name or IP address of the server that you want to add as a replication partner WINS server fisaiee2 Bowe Fo a 4 Best tigen Sie die Eingabe mit der Schaltfl che OK Daraufhin wird ggf einen Dialog ge ffnet Tragen Sie in diesem Dialog den Computernamen des WINS Replikationspartners und best tigen Sie die Eingabe mit der Schaltfl che OK Der WINS Replikationspartner wird anschlie end in der WINS Management Konsole angezeigt Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 ASE35032081 AA 155 Benutzerverw
211. tzt wird Um die Projektierungsschritte im speziellen das OS Laden zu gew hrleisten m ssen Sie ebenfalls manuell folgende Zugriffsregeln konfigurieren PCN2 OS Server 1 Station 192 168 2 111 Name Action Protocols From To PCN2 OS Server to PCN ES Allow IPSec OS Server ES Engineering Station Engineering Station 1 192 168 2 141 192 168 2 111 192 168 2 142 PCN ES Engineering Station to Allow IPSec ES Engineering OS Server 192 168 2 141 192 168 2 142 1 Die Verwendung des Protokolltyps IPSec setzt voraus dass entsprechend dem Sicherheitskonzept zwischen den Komponenten in den verschiedenen Sicherheitszellen eine zertifikatsbasierte signierte Verbindung mittels IPSec besteht Besteht eine solche Verbindung nicht kann auch All outbund traffic eingestellt werden Allerdings verzichtet man bei einer solchen FW Regel auf die Portfilterung Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 39 Netzwerksicherheit 4 5 Zugangspunkte zu den Sicherheitszellen Von den OS Clients im PCN soll auch das Bedienen und Beobachten der OS Server OSS3A und OSS3B m glich sein Um dies zu gew hrleisten m ssen Sie folgende Zugriffsregeln konfigurieren Name Action Protocols From To PCN2 OS Server to PCN OS Client 1 Allow IPSec OS Server ES Client 192 168 2 141 192 168
212. ung von Netzwerken und Netzwerkdiensten Seite 33 Abschnitt DHCP Dynamic Host Configuration Protocol Festlegung von Protokollen Es wird empfohlen f r den Zugriff auf den IE Switch ausschlie lich das Protokoll HTTPS festzulegen Dazu deaktivieren Sie im Dialog Agent Configuration alle Protokolle z B FTP TELNET E Mail und aktivieren Sie ausschlie lich das Protokoll HTTPS only Agent Configuration Agent Enabled Features UI FTP C TELNET SSH HTTPS only _ E Mail C Syslog C RMON C SNTP C Simatic Time _ DHCP LC BOOTP L DCP L DCP Read Only Agent IP Configuration IP Address Subnet Mask Default Gateway Agent VLAN ID C Accessible in all VLANs Kompendium Teil F Industrial Security V8 1 68 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X Weitere Informationen Weitere Informationen finden Sie in den folgenden Handb chern e SIMATIC NET Industrial Ethernet Switches SCALANCE X 300 X 400 Projektierungshandbuch http support automation siemens com W W view de 88213893 e SIMATIC NET Industrial Ethernet Switches SCALANCE X 200 Projektierungshandbuch http support automation siemens com W W view de 102051772 Unterst tzung bei der Umsetzung bzw Implementierung der Netzwerksicherheit in Ihrer Anlage erhalten Sie bei den Industrial Security Services Weitere Informationen und die entsprechenden Ansprechpartner f
213. unkte zu den Sicherheitszellen Musterkonfiguration Web Ver ffentlichung des PCS 7 Web Server an der Front Firewall Um auf einen Web Server im Perimeter Netzwerk aus einem externen Netzwerk zuzugreifen muss dieser Uber die Front Firewall ver ffentlicht werden Die Technik der Web Ver ffentlichung welche von der Automation Firewall unterst tzt wird und hierbei zum Einsatz kommt bietet eine bessere Sicherheit als die veraltete Technik des Web Tunneling oder Web Forwarding Das ffnen der Ports 80 oder 443 und somit ein einfaches Durchreichen der Anfragen durch die Front Firewall direkt zum Web Server wie es diese Technik vorsieht soll nicht mehr angewendet werden Bei der Web Ver ffentlichung siehe nachfolgende Abbildung greift der Web Client aus dem externen Netzwerk nicht direkt auf den Web Server zu sondern stellt seine Anfrage an die Automation Firewall 1 Die Automation Firewall reicht die berpr fte Anfrage an den Web Server weiter 2 und bekommt daraufhin die gew nschten Informationen zur ck 3 Diese leitet sie anschlie end an den Web Client weiter 4 Enterprise Control Network Virus Scan Server ePo Station Perimeter Network Microsoft Patch Server 2 A WSUS Server Infrastructure Server N Quarantine PC L_ File Server Er Zwischen dem Web Client und der Automation Firewall soll nur HTTPS erlaubt werden So kann die Authentizit t des TMG per Server Zertifikat garantiert und
214. usf hrbaren Dateien durchsucht werden Die Dauer dieser Prozedur ist abh ngig von der Datenmenge und der Rechnerleistung und kann mehrere Stunden dauern Bei aktueller Hardware mit PCS 7 OS Server Installation und mittelgro en Projekten dauert dies beispielsweise ca 20 30 Minuten e Nachdem McAfee Application Control aktiviert wurde muss ein Neustart des Rechners durchgef hrt werden Alle w hrend der Pr fung gefundenen ausf hrbaren Dateien exe com dll bat usw werden nun vor nderungen Umbenennung L schung usw gesch tzt Es k nnen keine neuen Dateien ausgef hrt werden Kompendium Teil F Industrial Security V8 1 108 Projektierungshandbuch 04 2015 A5E35032081 AA Systemh rtung 5 7 Whitelisting Lokale Verwaltung von McAfee Application Control Die lokale Verwaltung erfolgt ausschlie lich ber die Kommandozeile Die Befehle sind verst ndlich und selbsterkl rend Des Weiteren bietet McAfee gute Dokumentationen an McAfee Application Control kann gut ber bat Dateien oder Skripte gesteuert werden Zentrale Verwaltung von McAfee Application Control mittels McAfee ePO McAfee ePO soll auf einem eigenen Rechner mit aktueller Hardware installiert werden Gibt es in der Anlage bereits einen Infrastruktur Rechner z B WSUS Virenscan Server kann McAfee ePO auch auf diesem installiert werden McAfee ePO darf nicht auf einem Automatisierungsger t oder einem Domain Controller installiert werden Die zentrale Verwaltu
215. ver Hinweis Das komplette Angebot zur Automation Firewall finden Sie im PCS 7 Add on Katalog Diesen Katalog k nnen Sie ber die SIMATIC PCS 7 Webseite https www automation siemens com mcms process control systems de simatic pcs 7 Pages simatic pcs 7 aspx herunterladen Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 189 Patchmanagement 7 3 Manuelles Update 7 3 190 Manuelles Update Beim manuellen Update m ssen die erforderlichen Updates zuerst ber das Microsoft Download Center auf einen beliebigen Rechner heruntergeladen werden Dabei ist auf die entsprechende Betriebssystem Version Server Betriebssystem Windows 7 zu achten Nach dem Download und ggf einem Transfer der Updates auf die Zielsysteme m ssen die Updates separat installiert werden Bei einem OS Server oder OS Client muss vor der Installation die Prozessf hrung WinCC Runtime beendet werden Starten Sie das Setup und folgen Sie den Anweisungen auf dem Bildschirm Nach der Installation kann ein Neustart notwendig werden Hinweis Diese Leitlinie gilt erst ab der Version PCS 7 V6 1 SP1 Das oben beschriebene Vorgehen gilt nicht f r neue Microsoft Service Packs deren Einsatz nach wie vor einer expliziten Freigabe bedarf Wenn die Updates einen h heren Versionsstand der Microsoft Software voraussetzen vergewissern Sie sich ber die PCS 7 Liesmich http support automation siemens c
216. waltung und Bedienberechtigungen 6 3 Verwaltung von Computern und Benutzern Zus tzliche Kriterien f r eine zentrale Verwaltung sind e Gesetzliche Anforderungen und Richtlinien m ssen erf llt werden z B Nutzung von Kerberos als Authentifizierungsmethode oder zentrales Aufzeichnen von Anmeldeereignissen usw e Zentrale fehlertolerante IP Adressenzuweisung DHCP zentrale Verwaltung der Namensaufl sung und Registrierung der Computer DNS WINS sind gefordert Hinweis Ein fehlertoleranter DHCP ist erst mit einem DHCP Server auf der Basis von Windows Server 2008 R2 oder neuer m glich e Es bestehen folgende Anforderungen eines Zertifikatservers basierend auf Active Directory f r Dienste Sichere Web Services mit verschl sselter Kommunikation ber Secure Socket Layer SSL Signaturen f r Anwendungen und Dokumente Authentifizierung Zertifikatsbasierende IP Sicherheitskommunikationsprotokolle und Tunneling Protokolle wie das Layer Two Tunneling Protocol L2TP 6 3 Verwaltung von Computern und Benutzern Die Strategie der aufgabenbezogenen Bedienungs und Zugriffsrechte role based access control beinhaltet die Einschr nkung auf minimal ben tigte Rechte und Funktionen der Benutzer Bediener Ger te Netzwerk und Softwarekomponenten Die Benutzer die in der Betriebssystemumgebung anzulegen sind k nnen dezentral oder zentral verwaltet werden Dabei ist Folgendes zu beachten e Bei der dezentralen
217. werden Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Netzwerksicherheit 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X System Passwords ndern Sie in der Maske System Passwords die Passw rter f r die Benutzer Admin und User Bei Auslieferung sind die folgenden Passworte voreingestellt e Benutzer User user e Benutzer Admin admin F r die nderung der Passw rter ist eine Anmeldung als Administrator erforderlich Die nderungen best tigen Sie ber die Schaltfl che Set Value SIMATIC NET Industrial Ethernet Switch SCALANCE X208 ES System Fam B Restan amp Defaults 3 Save amp Load HTTP BD Save amp Load TFTP E Version Numbers RR Passwords Event Log B C PLUG S 208 TE Agent ES Switch BE Statistics Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 67 Netzwerksicherheit 4 7 Konfiguration der Netzwerkkomponenten SCALANCE X Deaktivierung nicht ben tigter Protokolle Im Dialog Agent Configuration der ber das Ordnersymbol Agent ge ffnet werden kann werden u a die Zugriffsm glichkeiten auf den IE Switch festgelegt Des Weiteren kann hier die Netzwerkkonfiguration f r den IE Switch festgelegt werden Verwendung statischer IP Adressen Beachten Sie bei dieser Einstellung dass eine statische IP Adresse mit einer Subnetzmaske verwendet wird Siehe hierzu das Kapitel Verwalt
218. work null ijj 7 I I INN SIMATIC SIMATIC S7 400 S7 400H af I u Firewall I SCALANCE S Firewall SCALANCE S SIMATIC SIMATIC S7 400 S7 400H mes Perimeter In die Sicherheitszellen DCS1 DCS2 MES und Periemeter wird jeweils ein redundantes Domain Controller Paar implementiert Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA Vorbereitungen Benutzerverwaltung und Bedienberechtigungen 6 5 Domain Controller Als Domain Controller kann ein Rechner rmit einer der folgenden Betriebssysteme eingesetzt werden Windows Server 2008 R2 SP1 Standard Edition Windows Server 2012 Standard Edition Die Verwendung eines PCS 7 Rechners z B des PCS 7 OS Server PCS 7 ES Station o ist nicht zul ssig Die Installation Konfiguration eines Rechners als Domain Controller gliedert sich in die folgenden Arbeitsschritte 1 2 3 4 Netzwerkkonfiguration Konfiguration des Rechnernamens und Netzwerks IP Adresse Installation Konfiguration Active Directory Domain Services Installation Konfiguration DNS Server Konfiguration der Benutzer amp Benutzergruppen Wenn ein Bundle als Hardware verwendet wird muss f r die Betriebssysteminstallation das A1 Image Restore DVD eines Server Bundles verwendet werden Vorgehensweise Die folgenden Punkte sind zu beachten Die Installation der Domain Controller soll am Anfang des Gesamt Setups von PCS
219. ysikalische Sicherheit Geb udetechnische Ma nahmen Aufbautechnik Zugangsschutz Viedo berwachung Brandschutz Organisatorische Sicherheit Assessments und Audits Kontinuierliches Risiko Management Compliance Business Continuity Management amp Disaster Recovery Industrial Automation and Control System Kompendium Teil F Industrial Security V8 1 Projektierungshandbuch 04 2015 A5E35032081 AA 13 Security Strategien 3 3 Musterkonfiguration 3 3 Musterkonfiguration Dieses Kompendium orientiert sich in Aufbau und Struktur an dem Konzept der tiefgestaffelten Verteidigung Die einzelnen Kapitel gliedern sich entsprechend dem Konzept in die Ma nahmen der Netzwerksicherheit Einteilung in Sicherheitszellen Sicherung der Zugangspunkte und die sichere Kommunikation zwischen Komponenten in unterschiedlichen Sicherheitszellen und in die Ma nahmen der System Integrity Dazu z hlen die Kapitel Systemh rtung Benutzerverwaltung amp Bedienberechtigung Patchmanagement und Virenscanner Hinweis Beachten Sie dass die in diesem Kapitel vorgestellte Musterkonfiguration eine Anlagenkonfiguration ohne jegliche Sicherheitsma nahmen zeigt Die Musterkonfiguration ist so wie oben dargestellt aus Sicherheitssicht ein Negativbeispiel Im weiteren Verlauf dieses Dokumentes wird Schritt f r Schritt dargestellt wie diese Anlagenkonfiguration durch die Implementierung von Sicherheitsma nahmen sicherer gemacht w
220. z vor Schadsoftware mittels Virenscanner 8 2 Vorgehensweise nach einer Virusinfektion Weitere Informationen 8 2 Einleitung 196 Weitere Informationen zum Thema Schutz vor Schadsoftware mittels Virenscanner finden Sie in den folgenden Dokumenten e Handbuch SIMATIC Prozessleitsystem PCS 7 Administration von Virenscannern http support automation siemens com WW view de 38625951 e FAQ Welche Kompatibilit t besitzt SIMATIC PCS 7 V8 x V7 x V 6 x V5 x und V4 x http support automation siemens com WW view de 64847 781 Des Weiteren finden Sie im Industry Online Portal die Konfigurationsbeschreibungen fur die unterschiedlichen Virenscanner e Konfiguration McAfee VirusScan Enterprise 8 8 http support automation siemens com WW view de 66475606 e Konfiguration Trend Micro OfficeScan 11 0 http support automation siemens com WW view de 10363061 1 e Konfiguration Symantec Endpoint Protection 12 1 http support automation siemens com WW view de 7 1874887 Vorgehensweise nach einer Virusinfektion Fur den Fall einer Virusinfektion kann keine allgemeing ltige Vorgehensweise empfohlen werden Vielmehr muss bei einer solchen Infektion das Vorgehen zur Beseitigung bzw Bereinigung der betroffenen Komponenten individuell geplant werden Prinzipiell ist eine komplette Neuinstallation Betriebssystem und Anwendersoftware der infizierten Komponenten zu empfehlen Daf r kann auch ein vorhandenes aktuelles
221. zentral verwaltet Virensignaturdateien Virenpattern aus dem Internet vom Virenscan Hersteller l dt und diese auf die Virenscan Clients verteilt Der Virenscan Client ist ein Rechner der auf Schadsoftware berpr ft wird und vom Virenscan Server verwaltet wird D h PCS 7 OS Server und OS Clients sowie Batch Server und Batch Clients sind ebenso Virenscan Clients wie Engineering Stationen oder auch Maintenance Server Der Virenscan Server ist entsprechend den Regeln zur Aufteilung der Komponenten in Sicherheitszellen in einem zus tzlichen Netzwerk Perimeter Netzwerk DMZ zu separieren F r den Virenscan Server k nnen alle L sungen bez glich der Sicherung der Zugriffspunkte zu den Sicherheitszellen wie z B Front Back Firewall oder Treehomed Firewall verwendet werden Bei der Konfiguration des Regelsatzes f r die Back Firewall bzw die Treehomed Firewall ist der Virenscan Server im Perimeter Netzwerk entsprechend mittels des Industrial Wizards zu konfigurieren F r den Virenscan Server kann entweder ein vorhandener Virenscan Server in einem bergeordneten externen Netzwerk z B Betriebsnetzwerk oder Corporate Netzwerk oder aber die URL des Virenscan Provider im Internet zur Synchronisierung eingestellt werden Die Entscheidung hat einerseits Auswirkungen auf die Konfiguration der Firewall Front Firewall bzw Treehomed Firewall andererseits auf die Konfiguration des Virenscan Servers F r den Zugriff des Virenscan Servers im Peri
222. zerverwaltung und Bedienberechtigungen 6 5 Domain Controller 6 5 4 FSMO Rollen Einleitung FSMO ist die Abk rzung f r Flexible Single Master Operations W hrend man beliebig viele Domain Controller verwenden kann die auch weitgehend unabh ngig voneinander redundant arbeiten k nnen gibt es in jeder Gesamtstruktur f nf Betriebsmasterrollen die zwar auf einzelne Domain Controller verteilt werden k nnen aber als Rolle nur ein einziges Mal existent sind Die Gesamtstruktur Forest enth lt f nf Masterrollen und den Global Catalog 1 160 Schema Master Wirkt innerhalb der Gesamtstruktur und berwacht bzw konfiguriert das Schema von Active Directory z B Benutzer Computer oder Ressourcen sowie die Attribute die den einzelnen Objekten zugewiesen werden k nnen Domain Naming Master Wirkt innerhalb der Gesamtstruktur und berwacht bzw regelt das Hinzuf gen bzw Entfernen von Domains in die Gesamtstruktur RID Master Wirkt innerhalb einer Domain und ordnet den Objekten eines Active Directorys eindeutige IDs bzw SIDs zu Infrastruktur Master Wirkt innerhalb einer Domain und verwaltet die Objektreferenzen seiner Domain und gleicht diese mit anderen Domains ab Er aktualisiert die Global Catalogs anderer Domain Controller PDC Emulator Wirkt innerhalb einer Domain und emuliert einen Domain Controller DC1 um die Downlevel F higkeit f r ltere Windows Versionen zu garantieren Au erdem ist er
223. zu kommunizieren Der Name muss dabei eindeutig mit dem Rechner verbunden sein Dadurch kann sichergestellt werden dass ein Rechner zuverl ssig gefunden wird Eine versehentliche Doppelvergabe von Rechnernamen kann zu unvorhersehbarem Verhalten w hrend der Kommunikation f hren Da der NetBIOS Name vom Rechnername abgeleitet wird siehe NetBIOS Name und zur NetBIOS Namensaufl sung der NetBIOS Name eindeutig sein muss darf der Rechnername nicht l nger als 15 Zeichen sein Der Rechnername muss eindeutig sein und soll einen R ckschluss auf die Funktion des Rechners zulassen Hinweis Die Regeln zur Vergabe des Rechnernamens entnehmen Sie dem Installationshandbuch SIMATIC Prozessleitsystem PCS 7 PC Konfiguration http support automation siemens com WW view de 90635791 Beachten Sie auch die folgenden Dokumente e FAQ Warum ist in PCS 7 der Unterstrich als Zeichen beim Rechnernamen nicht erlaubt http support automation siemens com WW view de 67794552 e Microsoft Support Center Namenskonventionen in Active Directory fur Computer Dom nen Standorte und Organisationseinheiten http support microsoft com kb 909264 de Weitere Namenskonventionen finden Sie in den folgenden Dokumenten e Handbuch SIMATIC Prozessleitsystem PCS 7 Engineering System http support automation siemens com WW view de 90663380 Abschnitt Regeln f r die Namensgebung der TH e Online Hilfe WinCC Informationssystem Arbeiten mit Proje
Download Pdf Manuals
Related Search