• {{item.name}}
DCS/SIMATIC PCS7 {{item.name}}
{{item2.name}}
更多
常问问题

哪些微软安全补丁包(安全更新和重要更新)是经过SIMATIC PCS7兼容性测试的?

star star star star star
5.0 分
文档编号:18490004| 文档类型:常问问题| 发布时间:2023年10月13日
  • 0
  • 466
  • 828
这个FAQ介绍了哪些微软安全补丁包(安全更新和重要更新)是经过SIMATIC PCS7兼容性测试的

微软定期修复其产品的安全隐患,并以官方补丁的方式发布给用户。

注意事项(2023年1月26日)

常规事项

Windows DCOM服务器强化措施注意事项 (KB5004442)

已结束外延支持的微软产品的注意事项

执行了兼容性测试的Windows更新列表

微软Windows Server更新服 务(WSUS)管理补丁程序的推荐步骤

更多信息

注意


注意事项(2023年1月26日)


Windows Server 2016域控中的KB5019964(11月)和KB5021235(12月),Windows Server 2019域控中的KB5019966(11月)和KB5021237(12月)的兼容性问题,已经在1月后的更新中解决。

常规事项


最新的更新通常在每月的第二个星期二发布。Microsoft将更新划分成多个不同的类:

support.microsoft.com/help/824684

为确保SIMTIC PCS 7安全,必须安装“安全更新”、“关键更新”、“更新汇总”、“更新”和“定义更新”("Security Updates", "Critical Updates", "Update Rollups", "Updates" and "Definition Updates")”类别的补丁
   
为此,Siemens建立了一套PCS 7测试配置用于测试更新和PCS 7软件的兼容性。该测试系统总是使用最新的PCS 7支持版本和最新的用于PCS 7的微软产品。与微软已发布的更新保持一致,测试系统定期执行兼容性测试。

附录xls格式的表格是已执行兼容性测试的微软更新详细信息。该文档尽可能地在微软发布指定类别更新后两三周内更新。 此表格表示PCS 7测试配置下安装的微软产品,所以,无法排除与工程中安装产品的差异。如果安装发布列表之外的更多更新--额外的安装产品/软件组件所需更新,则由用户决定是否安装这些更新。

我们建议安装命名类别的所有可用更新,以确保系统受到保护。

但是,我们无法声明未测试过的更新的兼容性。因此,在生产环境中全面安装未测试更新之前,我们建议先在一个独立的项目特定的测试环境下安装所有更新。

Windows DCOM服务器强化措施注意事项 (KB5004442)

2021年6月,微软发布了一个关于Windows服务器强化功能的公报,因此,执行了这个更新和PCS 7 V8.2、V9.0和V9.1的兼容性测试。

微软推荐安装此更新,微软公告KB5004442—Manage changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414) 描述了更新变化和时间线。

由于Windows DCOM服务器强化,以下SIMATIC PCS  7 产品需要更新:

对于其他所有没有提到的SIMATIC  PCS 7 产品,目前未发现受到Windows DCOM服务器强化的影响。
关于SIMATIC PCS 7产品列表添加或者变化,请经常检查FAQ中的这部分。

为确保微软的Windows DCOM服务器强化措施不会引起上述SIMATIC PCS 7产品不兼容问题,推荐项目根据Windows DCOM服务器强化时间线单独规划补丁管理。

根据是否使用了上述SIMATIC PCS 7产品,以及是否在SIMATIC PCS 7项目中安装了按照微软时间线发布的更新,必须注意微软提供的、用于禁用强化措施的注册表设置。安装上述SIMATIC PCS 7产品更新之后,就可以撤销注册表设置了。

关于微软发布更新的时间线,参考上面KB5004442链接。

注意

对于使用OPC经典客户端,推荐确保PCS 7项目和Windows DCOM服务器强化兼容。根据当前状态,OPC UA应用不受此变化影响。


已结束外延支持的微软产品的注意事项

针对已结束外延支持的微软软件产品的、做为扩展安全更新(ESU)项目一部分发布的更新,SIMATIC PCS 7没有兼容性测试。

已结束外延支持的微软产品可能弹出消息显示生命周期结束,可以出现在WinCC运行系统之上。

请注意弹出消息信息和选项以永久抑制,此设置由每个用户单独执行。

 

执行了兼容性测试的Windows更新列表
描述下载依照IEC 62443-2-3的Excel文件  security_patches_iec.xls (4,0 MB) 依照 IEC 62443-2-3的XML和模型的压缩文件  security_patches_iec.zip (259,7 KB)  表 1

某个补丁在极少数情况下可能会对我们的软件产生负面影响,标注在以上列表的“注释”处。此外,我们将以时事通讯的方式尽快地通知您有关迹象及相应的补救措施。


微软Windows Server更新服 务(WSUS)管理补丁程序的推荐步骤


以下步骤假定您已在PCS 7工厂中安装了WSUS,安装的WSUS版本取决于工厂中使用的最新操作系统,推荐使用最新版的WSUS。关于如何使用WSUS参考条目38621083。

步骤
1 、WSUS 配置

在"Products and Classifications" 界面选择 "Products" 页中所有和工厂相关微软产品。

2、WSUS 配置

在 "Products and Classifications" 界面选择"Classifications" 页中 "定义更新" "安全更新" “更新汇总”,“更新”和 "关键更新"选项。


图 1

3、WSUS 配置
创建项目特定的组用于更新发布。

4、下载上述的的"security_patches_iec.xls" Excel表格至您的电脑

5、打开表格,其中按照“ReleaseDate”栏分类,顶部即为当前发布日期,日期与进一步处理(第7点)有关,例如选择"PCSVxy"。

6、检查 "Comments"列的注意内容。

7、WSUS 管理
选择上述类别中所有可用的更新和未经过检验的更新,然后仅取消上述Excel表格中没有发布的补丁。

选择第5点中提到的发布日期截止的、上述类别中所有可用的更新和未批准的更新,然后仅取消上述Excel表格中没有发布的补丁。

只选择比“ReleaseDate”日期更新的更新

在创建的项目组中批准更新安装。

8、用 administrative 权限账户登陆WSUS的客户端,检查客户端更新是否可用(客户端已经配置接收WSUS更新)。

9、确认已停止PCS 7运行系统,安装所有可用更新,重启计算机并检查是否有更多更新可安装。



更多信息

关于微软补丁管理和WSUS组态的更多信息,参考以下链接:

有关Microsoft更新和WSUS详细描述,访问Microsoft网站。

  • Microsoft Security Bulletins (English)
https://technet.microsoft.com/en-us/library/security/dn610807.aspx



注意

  • 查询计算机已安装的补丁,参考条目48844294
  • 该指导仅适用于PCS 7 V7.0 SP3及更高版本。


警告

以上描述的步骤并不适用于需要专门发布使用的微软Service Packs(服务包)。如果补丁需要更高版本的微软软件,请参考 “PCS 7 Readme”文件或者条目64847781 来检查PCS 7 是否发布使用新版本软件或者Service Packs(服务包)。


关键字

Windows更新服务,安全补丁


安全信息
为了防止工厂、系统、机器和网络受到网络攻击,需要实施并持续维护先进且全面的工业信息安全保护机制。Siemens 的产品和解决方案仅构成此类概念的其中一个要素。更多网络安全的信息,请访问

https://www.siemens.com/cybersecurity#Ouraspiration.


您可以前往全球资源库查看此文档: http://support.automation.siemens.com/CN/view/zh/18490004

  • 评论
更多
  • 分享

    扫码分享

提示
您即将前往“全球技术资源库”。
“全球技术资源库”的用户名与本地支持中心(下载中心、技术论坛、找答案、1847工业学习平台)的用户名不通用。如果需要在全球技术资源库下载文档,您需要重新登录或注册。
确定

扫码进入移动端

信息提示
很抱歉!您所访问的页面不存在,或网址发生了变化,请稍后再试。