SIMATIC. Prozessleitsystem PCS 7 Konfiguration Symantec Endpoint Protection Virenscanner einsetzen 1. Konfiguration 2. Inbetriebnahmehandbuch

Transkript

1 SIMATIC Prozessleitsystem PCS 7 Virenscanner einsetzen 1 Konfiguration 2 SIMATIC Prozessleitsystem PCS 7 Konfiguration Symantec Endpoint Protection 11.0 Inbetriebnahmehandbuch 08/2009 A5E

2 Rechtliche Hinweise Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND A5E P 08/2009 Copyright Siemens AG Änderungen vorbehalten

3 Inhaltsverzeichnis 1 Virenscanner einsetzen Vorwort Einsatz von Virenscannern Einleitung Definitionen und Hinweise Prinzipieller Aufbau der Virenscanner-Architektur Einsatz von Virenscannern Konfiguration Einleitung Client Modules Policies Virendefinitions-Manager File System Auto-Protect Dateisystem Protection Antispyware Protection TruScan Proactive Threat Scans Quarantäne Einstellungen Report Submission Einstellungen Diverse Einstellungen Client Administrator und Manipulationsschutz Optionen Endpoint Console Firewall Einstellungen Endpoint Intrusion Detection Einstellungen...34 Inbetriebnahmehandbuch, 08/2009, A5E

4

5 Virenscanner einsetzen Vorwort Wichtiger Hinweis zu diesem Whitepaper Die für PCS 7 und WinCC empfohlenen Virenscanner sind auf Verträglichkeit mit den Systemen getestet. Die empfohlenen Einstellungen dieser Virenscanner sind so gewählt, dass der zuverlässige Echtzeitbetrieb von PCS 7 durch die Virenscanner-Software nicht beeinträchtigt wird. Diese Empfehlungen beschreiben den aktuell bekannten, bestmöglichen Kompromiss zwischen dem Ziel, Viren und Schad-Software möglichst umfassend zu entdecken und unwirksam zu machen und dem Ziel, ein möglichst deterministisches Zeitverhalten des PCS 7 Leitsystems in allen Betriebsphasen zu gewährleisten. Die Wahl anderer Einstellungen der Virenscanner kann sich unter Umständen ungünstig auf das Echtzeitverhalten auswirken. Zweck der Dokumentation Diese Dokumentation beschreibt die für PCS 7 und WinCC empfohlenen Anpassungen der Virenscanner-Software nach der Installation des Virenscanners. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 bzw. WinCC tätig sind. Administrationskenntnisse und IT-Techniken für Microsoft Windows Betriebssysteme werden vorausgesetzt. Gültigkeitsbereich der Dokumentation Die Dokumentation ist gültig für prozessleittechnische Anlagen, die mit der jeweiligen Produktversion von PCS 7 bzw. WinCC realisiert sind. ACHTUNG Beachten Sie, dass bestimmte Virenscanner nur für bestimmte Produktversionen freigegeben sind. Weitere Informationen hierzu finden Sie im Internet unter folgender Adresse: Inbetriebnahmehandbuch, 08/2009, A5E

6 Virenscanner einsetzen 1.2 Einsatz von Virenscannern 1.2 Einsatz von Virenscannern Einleitung Der Einsatz von Virenscannern in einem Prozessleitsystem ist nur dann effektiv, wenn er Teil eines umfassenden Security-Konzeptes ist. Der alleinige Einsatz eines Virenscanners kann ein Prozessleitsystem nicht vor feindlichen Angriffen schützen. Das Sicherheitskonzept PCS 7 / WinCC ist im Internet verfügbar unter: Virenscanner sollten den Anforderungen entsprechen, wie sie in den Sicherheitskonzepten von PCS 7 / WinCC beschrieben sind Definitionen und Hinweise Grundsatz Der Einsatz eines Virenscanners darf den Prozessbetrieb einer Anlage nicht beeinträchtigen. Virenscanner Ein Virenscanner ist eine Software, die bekannte schädliche Programmroutinen (Computerviren, Würmer und Ähnliche) aufspürt, blockiert oder beseitigt. Scan-Engine (Scanmodul) Die Scan-Engine ist der Teil der Virenscanner-Software, der Daten auf schädliche Software untersuchen kann. Virensignaturdatei (Virenpatterndatei oder Virendefinitionsdatei) Diese Datei stellt der Scan-Engine die Virensignaturen bereit, mit deren Hilfe die Suche nach schädlicher Software in den Daten durchgeführt wird. Virenscan-Client Der Virenscan-Client ist ein Computer, der auf Viren überprüft wird und vom Virenscan- Server verwaltet wird. Virenscan-Server Der Virenscan-Server ist ein Computer, der Virenscan-Clients zentral verwaltet, Virensignaturdateien lädt und auf die Virenscan-Clients verteilt. 6 Inbetriebnahmehandbuch, 08/2009, A5E

7 Virenscanner einsetzen 1.2 Einsatz von Virenscannern Prinzipieller Aufbau der Virenscanner-Architektur Der Virenscan-Server erhält die Virensignaturen aus dem Internet vom Update-Server des jeweiligen Virenscanner-Herstellers oder von einem übergeordneten Virenscan-Server und verwaltet seine Virenscan-Clients. Der Remote-Zugriff auf den Virenscan-Server ist z. B. über eine Webkonsole möglich. Internet Virenscan-Server Webkonsole Virenscan-Client Virenscan-Client Virenscan-Client Inbetriebnahmehandbuch, 08/2009, A5E

8 Virenscanner einsetzen 1.2 Einsatz von Virenscannern Einsatz von Virenscannern Informationen für die Konfiguration von lokalen Virenscannern Integrierte Firewall der Virenscanner Ab PCS 7 V7.0 wird die lokale Windows-Firewall genutzt und mit der Komponente SIMATIC Security Control (SSC) parametriert. Deshalb wird die in den Virenscannern integrierte Firewall nicht installiert. Manueller Scan (Manuelle Prüfung, Scannen auf Anforderung) Ein manueller Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Dieser sollte in regelmäßigen Abständen, z. B. während eines Wartungsintervalls auf allen Computern der Anlage erfolgen. Automatischer Scan (Auto-Protect, Scannen bei Zugriff) Beim automatischen Scan ist es ausreichend, den eingehenden Datenverkehr zu prüfen. Zeitgesteuerter Scan (Geplante Prüfung, Scannen auf Anforderung) Der zeitgesteuerte Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Anzeigen von Meldungen Um den Prozessbetrieb nicht zu beeinträchtigen, darf auf den Virenscan-Clients keine Meldung angezeigt werden. Laufwerke Es werden ausschließlich die lokalen Laufwerke gescannt, um sich überschneidende Scans auf Netzwerklaufwerken zu verhindern. -Scan Der -Scan kann, außer auf einer Engineering Station, die s empfängt, deaktiviert werden. Einteilung in Gruppen Teilen Sie Ihre Virenscan-Clients in Gruppen ein. Verteilung der Virensignaturen (Patternupdate) Die Verteilung der Virensignaturen auf Virenscan-Clients wird vom übergeordneten Virenscan-Server durchgeführt. Der rückwirkungsfreie Einsatz der Virensignaturen ist vor dem Einsatz im Prozessbetrieb in einer Testanlage zu überprüfen. Die Virensignaturen sind manuell auf die jeweiligen Gruppen zu verteilen. Update der Virenscan-Engine Updates der Virenscan-Engine sind nicht während des Prozessbetriebes (Runtime) durchzuführen, da diese einen Neustart der Virenscan-Clients erfordern können. Hinweis zur Installation Die Installation von Software muss von einem virenfreien Ablageort durchgeführt werden (zum Beispiel von einem Dateiserver mit eigenem Virenscanner oder einer geprüften DVD). Bei der Installation von Software werden oft automatisch Änderungen im Betriebssystem durchgeführt. Ein aktivierter Virenscanner darf die Installation der Software nicht behindern oder verfälschen. 8 Inbetriebnahmehandbuch, 08/2009, A5E

9 2 2.1 Einleitung Symantec Endpoint Protection 11.0 von Symantec der Nachfolger von Norton Antivirus Für einige Versionen von PCS 7 ist vom Virenscanner Symantec Endpoint Protection ausschließlich in der Version 11.0 freigegeben. Die im Folgenden, gegenüber dem Standard, geänderten Einstellungen wurden für PCS 7 getestet. Freigabe der Virenscanner für folgende PCS 7 Versionen Eine aktuelle Übersicht der für eine PCS 7 Version freigegebenen Virenscanner finden Sie im Internet unter folgender Adresse: Client Modules Das einzige Modul, das im Dialog "Deployment Wizard" aktiviert werden muss, ist der "Antivirus and Antispyware Protection". Folgende Client Module sollen deaktiviert werden: Protection Network Threat Protection Proactive Threat Protection Im Management Server werden diese Client Module auch deaktiviert. 2.3 Policies Es ist möglich Client-Gruppen (Rechnergruppen) mit unterschiedlichen Einstellungen zu definieren. Die Einstellungen der Client-Gruppen werden über die Policies bestimmt. Jeder Programmteil (Antivirus, Firewall, Updates, ) hat seine eigene Policy, die im Endpoint Protection Manager Console definiert werden muss. Inbetriebnahmehandbuch, 08/2009, A5E

10 2.4 Virendefinitions-Manager 2.4 Virendefinitions-Manager Updates Folgende Unterschiede sind zu beachten: Management Server Updates werden als lokale Eigenschaften eines Rechners eingestellt. Client Updates werden als "Policy" definiert. Server Update Einstellungen im Dialogfeld "Site Properties" Menu Admin > Servers > Edit Site Properties > Register "LiveUpdate" Optionsfeld "Frequency": Continuously Client Update Einstellungen im Dialogfeld "Site Properties" Menu Policies > Live Update Policy > Register "Server Settings" Optionskästchen "Use the default management server": aktiviert 10 Inbetriebnahmehandbuch, 08/2009, A5E

11 2.4 Virendefinitions-Manager Nur aktivierte Update-Möglichkeiten können als Quelle für Updates dienen. Die Clients werden die nicht aktualisiert wenn beide Update-Möglichkeiten deaktiviert sind. Sind beide Update-Möglichkeiten aktiviert, dürfen die Clients nur Updates vom "Management Server" erhalten. Bei einer manuellen Verteilung der Virendefinitionsdateien aktivieren Sie dieses Optionskästchen nur zur Verteilung der Virendefinitionsdateien. Die Verteilung der Virendefinitionsdateien wird bei aktiviertem Optionskästchen automatisch ausgeführt. Überprüfen Sie die Verteilung im Protokoll. Inbetriebnahmehandbuch, 08/2009, A5E

12 2.5.1 File System Auto-Protect In den vorherigen Versionen der Virenscanner-Software von Symantec wurde diese Option als "Client Auto-Protect" bezeichnet. 12 Inbetriebnahmehandbuch, 08/2009, A5E

13 2.5.2 Dateisystem File System Auto-Protect Einstellungen im Dialogfeld "Scan Details" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Scan Details" Optionskästchen "Enable File System Auto-Protect": aktiviert Optionskästchen "Block security risks from being installed": deaktiviert Optionskästchen "Network settings": deaktiviert Optionskästchen "Check floppies for boot viruses when accessed": aktiviert Inbetriebnahmehandbuch, 08/2009, A5E

14 File System Auto-Protect Einstellungen im Dialogfeld "Advanced Scanning and Monitoring" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Scan Details" > Advanced Scanning and Monitoring Optionsfeld "Scan when a file is modified": aktiviert Optionskästchen "Scan when a file is backed up": aktiviert Optionskästchen "Delete newly created infected files if the action is Leave alone (log only)": deaktiviert 14 Inbetriebnahmehandbuch, 08/2009, A5E

15 File System Auto-Protect Einstellungen im Dialogfeld "Actions" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Actions" Auswahl in der Klappliste "First action": Leave alone (log only) Diese Auswahl gilt auch für "Non-macro virus" und "Security risks" Optionskästchen "Back up files before attempting to repair them": deaktiviert Optionskästchen "Terminate processes automatically": deaktiviert Optionskästchen "Terminate services automatically": deaktiviert Inbetriebnahmehandbuch, 08/2009, A5E

16 File System Auto-Protect Einstellungen im Dialogfeld "Notifications" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Notifications" Optionskästchen "Display a notification message on the infected computer": deaktiviert Optionskästchen "Display the Auto-Protect results dialog on the infected computer": deaktiviert 16 Inbetriebnahmehandbuch, 08/2009, A5E

17 File System Auto-Protect Einstellungen im Dialogfeld "Advanced" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Advanced" Optionskästchen "Check floppies when the computer shuts down": deaktiviert Optionskästchen "Enable after ": deaktiviert Optionsfeld "Wait until the computer is restarted": aktiviert Inbetriebnahmehandbuch, 08/2009, A5E

18 File System Auto-Protect Einstellungen im Dialogfeld "File Cache" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Advanced" > Dialog "File Cache..." File System Auto-Protect Einstellungen im Dialogfeld "Risk Tracer" Menu Policies > Antivirus and Antispyware > File System Auto-Protect > Register "Advanced" > Dialog "Risk Tracer..." 18 Inbetriebnahmehandbuch, 08/2009, A5E

19 Protection In einer PCS 7 Umgebung ist der Virusschutz ist nicht nötig, deshalb werden die Optionen für Internet , Microsoft Outlook und Lotus Notes deaktiviert. Menu Policies > Antivirus und Antispyware Policy > Die nachfolgende Einstellung in folgenden Registern vorzunehmen: Register "Internet Auto-Protect" Register "Microsoft Outlook Auto-Protect" Register "Lotus Notes Auto-Protect" Einstellung Optionskästchen "Internet Auto-Protect": deaktiviert Inbetriebnahmehandbuch, 08/2009, A5E

20 2.5.4 Antispyware Protection TruScan Proactive Threat Scans Einleitung Antispywareschutz ist nicht nötig, da von anderen Anwendungen schon kontrolliert wird, deswegen müssen alle die Einstellungen deaktiviert werden. TruScan Proactive Threat Scans Einstellungen im Dialogfeld "Scan Details" Menu Policies > Antivirus und Antispyware Policy > TruScan Proactive Threat Scans > Register "Scan Details" Optionskästchen "Scan for trojans and worms": deaktiviert Optionskästchen "Scan for keyloggers": deaktiviert 20 Inbetriebnahmehandbuch, 08/2009, A5E

21 TruScan Proactive Threat Scans Einstellungen im Dialogfeld "Notifications" Menu Policies > Antivirus und Antispyware Policy > TruScan Proactive Threat Scans > Register "Notifications" Optionskästchen "Display a message when there is a detection": deaktiviert Inbetriebnahmehandbuch, 08/2009, A5E

22 2.5.5 Quarantäne Einstellungen Quarantäne Einstellungen im Dialogfeld "General" Menu Policies > Antivirus und Antispyware Policy > Quarantine > Register "General" Optionsfeld "Do Nothing": aktiviert 22 Inbetriebnahmehandbuch, 08/2009, A5E

23 Quarantäne Einstellungen im Dialogfeld "Cleanup" Menu Policies > Antivirus und Antispyware Policy > Quarantine > Register "Cleanup" Optionskästchen "Enable automatic deleting of repaired files": deaktiviert Optionskästchen "Enable automatic deleting of backup files": deaktiviert Optionskästchen "Enable automatic deleting of quarantined files that could not be repaired": deaktiviert Inbetriebnahmehandbuch, 08/2009, A5E

24 2.5.6 Report Submission Einstellungen Ein Client darf keinen Report senden, nur direkt beim Server loggen (Log only), deswegen müssen die "Report Submissions" deaktiviert werden. Submissions Einstellungen Menu Policies > Antivirus und Antispyware Policy > Submissions Optionskästchen "Alllow client computers to submit processes detected by scans": deaktiviert Optionskästchen "Alllow client computers to submit threat detection rates": deaktiviert Optionskästchen "Alllow client computers to manually submit quarantined items to Symantec Security Response": deaktiviert 24 Inbetriebnahmehandbuch, 08/2009, A5E

25 2.5.7 Diverse Einstellungen Einstellungen im Register "Miscellaneous" Menu Policies > Antivirus und Antispyware Policy > Miscellaneous > Register "Miscellaneous" Auswahl in der Klappliste "Disable Windows Security Center": Never Auswahl in der Klappliste "Display antivirus events within Windows Security Center": Disable Inbetriebnahmehandbuch, 08/2009, A5E

26 Einstellungen im Register "Log Handling" Menu Policies > Antivirus und Antispyware Policy > Miscellaneous > Register "Log Handling" Auswahl in der Klappliste "Show": All antivirus and antispyware events Die Einstellungen sollen folgenden Abbildungen entsprechen. 26 Inbetriebnahmehandbuch, 08/2009, A5E

27 Inbetriebnahmehandbuch, 08/2009, A5E

28 Einstellungen im Register "Notifications" Menu Policies > Antivirus und Antispyware Policy > Miscellaneous > Register "Notifications" Optionskästchen "Display a warning when definitions are outdated": deaktiviert Optionskästchen "Display a warning when Symantec Endpoint Protection is running without virus definitions": deaktiviert Optionskästchen "Display error messages with a URL to a solution": deaktiviert 28 Inbetriebnahmehandbuch, 08/2009, A5E

29 2.6 Client Administrator und Manipulationsschutz Optionen 2.6 Client Administrator und Manipulationsschutz Optionen Im Folgenden finden Sie die allgemeinen Einstellungen. Menu Clients > Registerkarte "Policies" > General Settings Inbetriebnahmehandbuch, 08/2009, A5E

30 2.6 Client Administrator und Manipulationsschutz Optionen Sicherheits und Berechtigungen Einstellungen Menu Clients > Registerkarte "Policies" > General Settings > Register "Security Settings" Optionskästchen "Require a password to stop the client service": deaktiviert Optionskästchen "Require a password to uninstall the client": deaktiviert Passwort eingeben 30 Inbetriebnahmehandbuch, 08/2009, A5E

31 2.6 Client Administrator und Manipulationsschutz Optionen Manipulationsschutz (Tamper Protection) Einstellungen Menu Clients > Registerkarte "Policies" > General Settings > Register "Tamper Protection" Optionskästchen "Protect Symantec security software from being tampered with or shut down": aktiviert Auswahl in der Klappliste "Actions to take ": Log the event only Optionskästchen "Require Display a notification message when tampering is detected": deaktiviert Inbetriebnahmehandbuch, 08/2009, A5E

32 2.7 Endpoint Console Firewall Einstellungen 2.7 Endpoint Console Firewall Einstellungen Da die Funktionen des Firewalls nicht vom Endpoint wahrgenommen werden, müssen alle die eingestellte Regel desaktiviert werden. Firewall Policy - Rules Menu Policies > Firewall Policy > Register "Rules" ALLE Optionskästchen von den Firewall-Regeln: deaktiviert 32 Inbetriebnahmehandbuch, 08/2009, A5E

33 2.7 Endpoint Console Firewall Einstellungen Menu Policies > Firewall Policy> Register "Smart Traffic Filtering" Optionskästchen "Enable Smart DHCP": deaktiviert Optionskästchen "Enable Smart DNS": deaktiviert Optionskästchen "Enable Smart WINS": deaktiviert Inbetriebnahmehandbuch, 08/2009, A5E

34 2.8 Endpoint Intrusion Detection Einstellungen 2.8 Endpoint Intrusion Detection Einstellungen Symantec Endpoint Protection wird in PCS 7 nicht zur Intrusion Detection eingesetzt. Daher werden die zugehörigen Funktionen deaktiviert. Register "Settings" Menu Policies > Intrusion Prevention Policy > Register "Settings" Optionskästchen "Enable Intrusion Prevention": deaktiviert Optionskästchen "Enable denial of service detection": deaktiviert Optionskästchen "Enable port scan detection": deaktiviert Optionskästchen "Enable excluded hosts": deaktiviert Optionskästchen "Automatically block an attacker s IP address": deaktiviert 34 Inbetriebnahmehandbuch, 08/2009, A5E