SIMATIC. Prozessleitsystem PCS 7 V7.0 SP1 Security Information Note: Einstellung von Virenscannern. Vorwort. Einsatz von Virenscannern 2

Transkript

1 SIMATIC Prozessleitsystem PCS 7 V7.0 SP1 SIMATIC Prozessleitsystem PCS 7 V7.0 SP1 Security Information Note: Einstellung von Virenscannern Whitepaper Vorwort 1 Einsatz von Virenscannern 2 Konfiguration Trend Micro Office Scan V7.3 incl. 3 Patch 2 Konfiguration Symantec AntiVirus V Konfiguration McAfee VirusScan V8.5i 5 09/2007 A5E

2 Sicherheitshinweise Sicherheitshinweise Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG Qualifiziertes Personal bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Das zugehörige Gerät/System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben werden. Inbetriebsetzung und Betrieb eines Gerätes/Systems dürfen nur von qualifiziertem Personal vorgenommen werden. Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser Dokumentation sind Personen, die die Berechtigung haben, Geräte, Systeme und Stromkreise gemäß den Standards der Sicherheitstechnik in Betrieb zu nehmen, zu erden und zu kennzeichnen. Bestimmungsgemäßer Gebrauch Beachten Sie Folgendes: Marken WARNUNG Das Gerät darf nur für die im Katalog und in der technischen Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung und Montage sowie sorgfältige Bedienung und Instandhaltung voraus. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Automation and Drives Postfach NÜRNBERG DEUTSCHLAND Dokumentbestellnummer: A5E P 09/2007 Copyright Siemens AG Änderungen vorbehalten

3 Inhaltsverzeichnis 1 Vorwort Einsatz von Virenscannern Einleitung Definitionen und Hinweise Prinzipieller Aufbau der Virenscanner-Architektur Einsatz von Virenscannern Zugelassene Virenscanner für PCS Konfiguration Trend Micro Office Scan V7.3 incl. Patch Einleitung Integrierte Firewall Manuelle Suche Echtzeitsuche Zeitgesteuerte Suche Berechtigungen und Einstellungen des Clients Allgemeine Client-Einstellungen Client-Update Protokolle Konfiguration Symantec AntiVirus V Einleitung Lokale Windows-Firewall-Einstellung auf dem Virenscan-Client Optionen im Symantec System Center (SSC) Virendefinitions-Manager Quarantäneoptionen Client-Auto-Protect-Optionen Dateisystem Internet Lotus Notes Microsoft Exchange Client-Administratoroptionen Client Manipulationsschutz Optionen...42 Whitepaper, 09/2007, A5E

4 Inhaltsverzeichnis 5 Konfiguration McAfee VirusScan V8.5i Einleitung Konfiguration der Richtlinien Zentrale Einstellungen Register "Einstellungen" Tasks im Prozessbetrieb Verteilen der Virendefinitionsdateien Prüfen der Verteilung der Virendefinitionsdateien Allgemeine Richtlinien beim Zugriff Register "Allgemein" Register "ScriptScan" Register "Blockieren" Register "Nachrichten" Richtlinien bei Zugriff für Standardvorgänge Register "Erkennung" Register "Erweitert" Register "Aktionen" Register "Unerwünschte Programme" Richtlinien bei Zugriff für Vorgänge mit geringem Risiko Richtlinien bei Zugriff für Vorgänge mit hohem Risiko Richtlinien für das Scannen von s beim Empfang Richtlinien für die Benutzeroberfläche Register "Anzeigeoptionen" Register "Kennwortoptionen" Warnungsrichtlinien Richtlinien für den Zugriffsschutz Richtlinien für den Pufferüberlaufschutz Richtlinien für unerwünschte Programme Quarantänemanager-Richtlinien Whitepaper, 09/2007, A5E

5 Inhaltsverzeichnis Bilder Bild 3-1 Dialogfeld "Manuelle Suche - Einstellungen"...16 Bild 3-2 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 1 von Bild 3-3 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 2 von Bild 3-4 Dialogfeld "Zeitgesteuerte Suche - Einstellungen"...19 Bild 3-5 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 1 von Bild 3-6 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 2 von Bild 3-7 Dialogfeld "Allgemeine Client-Einstellungen"...22 Bild 3-8 Dialogfeld "Client-Update": Bereich "Update-Adresse"...23 Bild 3-9 Dialogfeld "Client-Update": Bereich "Automatische Verteilung"...24 Bild 3-10 Dialogfeld "Client-Update": Bereich "Manuelle Verteilung"...25 Bild 3-11 Dialogfeld "Client-Update-Protokolle"...26 Bild 4-1 Dialogfeld "Eigenschaften von SSC-Konsolenoptionen": Register "Client-Anzeige"...28 Bild 4-2 Dialogfeld "Virendefinitions-Manager"...29 Bild 4-3 Dialogfeld "Aktualisierungen für den primären Server konfigurieren"...30 Bild 4-4 Dialogfeld "Quarantäneoptionen"...31 Bild 4-5 Dialogfeld "Client-Auto-Protect- Optionen": Register "Dateisystem"...32 Bild 4-6 Dialogfeld "Auto-Protect Weitere Optionen"...33 Bild 4-7 Dialogfeld "Disketten prüfen"...34 Bild 4-8 Dialogfeld "Aktionen"...35 Bild 4-9 Dialogfeld "Benachrichtigungsoptionen"...36 Bild 4-10 Dialogfeld "Client-Auto-Protect-Optionen": Register "Internet- "...37 Bild 4-11 Dialogfeld "Client-Auto-Protect-Optionen": Register "Lotus Notes"...38 Bild 4-12 Dialogfeld "Client-Auto-Protect-Optionen": Register "Microsoft Exchange"...39 Bild 4-13 Dialogfeld "Client-Administratoroptionen": Register "Allgemein"...40 Bild 4-14 Dialogfeld "Client-Administratoroptionen": Register "Sicherheit"...41 Bild 4-15 Dialogfeld "Client Manipulationsschutz Optionen"...42 Whitepaper, 09/2007, A5E

6 Inhaltsverzeichnis Bild 5-1 Dialogfeld epolicy Orchestrator, Register "Servereinstellungen" Bild 5-2 Dialogfeld "epolicy Orchestrator-Planer", Register "Task" Bild 5-3 Dialogfeld "epolicy Orchestrator-Planer", Register "Plan" Bild 5-4 Prüfen der Verteilung der Virendefinitionsdateien Bild 5-5 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Allgemein" Bild 5-6 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "ScriptScan" Bild 5-7 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Blockieren" Bild 5-8 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Nachrichten" Bild 5-9 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erkennung" Bild 5-10 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erweitert" Bild 5-11 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Aktionen" Bild 5-12 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Unerwünschte Programme" Bild 5-13 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Anzeigeoptionen" Bild 5-14 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Kennwortoptionen" Bild 5-15 Dialogfeld "Richtlinien für den Pufferüberlaufschutz": Register "Pufferüberlaufschutz" Whitepaper, 09/2007, A5E

7 Vorwort 1 Wichtiger Hinweis zu diesem Whitepaper Die in diesem Whitepaper beschriebenen Virenscanner sind auf Verträglichkeit mit PCS 7 V7.0 SP1 getestet. Die empfohlenen Einstellungen dieser Virenscanner sind so gewählt, dass der zuverlässige Echtzeitbetrieb von PCS 7 durch die Virenscanner-Software nicht beeinträchtigt wird. Diese Empfehlungen beschreiben den aktuell bekannten, bestmöglichen Kompromiss zwischen dem Ziel, Viren und Schad-Software möglichst umfassend zu entdecken und unwirksam zu machen und dem Ziel, ein möglichst deterministisches Zeitverhalten des PCS 7 Leitsystems in allen Betriebsphasen zu gewährleisten. Die Wahl anderer Einstellungen der Virenscanner kann sich unter Umständen ungünstig auf das Echtzeitverhalten von PCS 7 auswirken. Zweck der Dokumentation Diese Dokumentation beschreibt die für PCS 7 V7.0 SP1 freigegebenen Virenscanner, die empfohlenen Anpassungen der Virenscanner-Software nach der Installation. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 tätig sind. Administrationskenntnisse und IT-Techniken für Microsoft Windows Betriebssysteme werden vorausgesetzt. Gültigkeitsbereich der Dokumentation Die Dokumentation Prozessleitsystem PCS 7 V7.0 SP1; Security Information Note: Einstellung von Virenscannern ist gültig für prozessleittechnische Anlagen, die mit PCS 7 V7.0 SP1 realisiert sind. Siehe auch Security concept ( Whitepaper, 09/2007, A5E

8 Vorwort 8 Whitepaper, 09/2007, A5E

9 Einsatz von Virenscannern Einleitung Der Einsatz von Virenscannern in einem Prozessleitsystem ist nur dann effektiv, wenn er Teil eines umfassenden Security-Konzeptes ist. Der alleinige Einsatz eines Virenscanners kann ein Prozessleitsystem nicht vor feindlichen Angriffen schützen. Das Sicherheitskonzept PCS 7 / WinCC ist im Internet verfügbar unter: Virenscanner sollten den Anforderungen entsprechen, wie sie in den Sicherheitskonzepten von PCS 7 / WinCC beschrieben sind. 2.2 Definitionen und Hinweise Grundsatz Der Einsatz eines Virenscanners darf den Prozessbetrieb einer Anlage nicht beeinträchtigen. Virenscanner Ein Virenscanner ist eine Software, die bekannte schädliche Programmroutinen (Computerviren, Würmer und Ähnliche) aufspürt, blockiert oder beseitigt. Scan-Engine (Scanmodul) Die Scan-Engine ist der Teil der Virenscanner-Software, der Daten auf schädliche Software untersuchen kann. Virensignaturdatei (Virenpatterndatei oder Virendefinitionsdatei) Diese Datei stellt der Scan-Engine die Virensignaturen bereit, mit deren Hilfe die Suche nach schädlicher Software in den Daten durchgeführt wird. Whitepaper, 09/2007, A5E

10 Einsatz von Virenscannern 2.2 Definitionen und Hinweise Virenscan-Client Der Virenscan-Client ist ein Computer, der auf Viren überprüft wird und vom Virenscan-Server verwaltet wird. Virenscan-Server Der Virenscan-Server ist ein Computer, der Virenscan-Clients zentral verwaltet, Virensignaturdateien lädt und auf die Virenscan-Clients verteilt. 10 Whitepaper, 09/2007, A5E

11 Einsatz von Virenscannern 2.3 Prinzipieller Aufbau der Virenscanner-Architektur 2.3 Prinzipieller Aufbau der Virenscanner-Architektur Der Virenscan-Server erhält die Virensignaturen aus dem Internet vom Update-Server des jeweiligen Virenscanner-Herstellers oder von einem übergeordneten Virenscan-Server und verwaltet seine Virenscan-Clients. Der Remote-Zugriff auf den Virenscan-Server ist z. B. über eine Webkonsole möglich. Internet Virenscan-Server Webkonsole Virenscan-Client Virenscan-Client Virenscan-Client Whitepaper, 09/2007, A5E

12 Einsatz von Virenscannern 2.4 Einsatz von Virenscannern 2.4 Einsatz von Virenscannern Informationen für die Konfiguration von lokalen Virenscannern Integrierte Firewall der Virenscanner Ab PCS 7 V7.0 wird die lokale Windows-Firewall genutzt und mit der Komponente SIMATIC Security Control (SSC) parametriert. Deshalb wird die in den Virenscannern integrierte Firewall nicht installiert. Manueller Scan (Manuelle Prüfung, Scannen auf Anforderung) Ein manueller Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Dieser sollte in regelmäßigen Abständen, z. B. während eines Wartungsintervalls auf allen Computern der Anlage erfolgen. Automatischer Scan (Auto-Protect, Scannen bei Zugriff) Beim automatischen Scan ist es ausreichend, den eingehenden Datenverkehr zu prüfen. Zeitgesteuerter Scan (Geplante Prüfung, Scannen auf Anforderung) Der zeitgesteuerte Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Anzeigen von Meldungen Um den Prozessbetrieb nicht zu beeinträchtigen, darf auf den Virenscan-Clients keine Meldung angezeigt werden. Laufwerke Es werden ausschließlich die lokalen Laufwerke gescannt, um sich überschneidende Scans auf Netzwerklaufwerken zu verhindern. -Scan Der -Scan kann, außer auf einer Engineering Station, die s empfängt, deaktiviert werden. Einteilung in Gruppen Teilen Sie Ihre Virenscan-Clients in Gruppen ein. Verteilung der Virensignaturen (Patternupdate) Die Verteilung der Virensignaturen auf Virenscan-Clients wird vom übergeordneten Virenscan-Server durchgeführt. Der rückwirkungsfreie Einsatz der Virensignaturen ist vor dem Einsatz im Prozessbetrieb in einer Testanlage zu überprüfen. Die Virensignaturen sind manuell auf die jeweiligen Gruppen zu verteilen. Update der Virenscan-Engine Updates der Virenscan-Engine sind nicht während des Prozessbetriebes (Runtime) durchzuführen, da diese einen Neustart der Virenscan-Clients erfordern können. Hinweis zur Installation Die Installation von Software muss von einem virenfreien Ablageort durchgeführt werden (zum Beispiel von einem Dateiserver mit eigenem Virenscanner oder einer geprüften DVD). Bei der Installation von Software werden oft automatisch Änderungen im Betriebssystem durchgeführt. Ein aktivierter Virenscanner darf die Installation der Software nicht behindern oder verfälschen. 12 Whitepaper, 09/2007, A5E

13 Einsatz von Virenscannern 2.5 Zugelassene Virenscanner für PCS Zugelassene Virenscanner für PCS 7 Für PCS 7 Version 7.0 SP 1 sind folgende Virenscanner zugelassen: Trend Micro Office Scan Corporate Edition V7.3 incl. Patch 2 Symantec AntiVirusTM Corporate Edition V10.2 (Norton Antivirus) McAfee VirusScan Enterprise V8.5. Whitepaper, 09/2007, A5E

14 Einsatz von Virenscannern 2.5 Zugelassene Virenscanner für PCS 7 14 Whitepaper, 09/2007, A5E

15 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Einleitung Für PCS 7 V7.0 SP1 ist vom Virenscanner Trend Micro "OFFICE Scan" ausschließlich die Corperate Edition V7.3 freigegeben. Die im Folgenden gezeigten Einstellungen stellen einen Auszug der Einstellungen dar, die im Verträglichkeitstest mit PCS 7 V7.0 SP1 verwendet wurden. 3.2 Integrierte Firewall Bereits während der Installation kann die Option "Enterprise Client Firewall installieren" deaktiviert werden. Whitepaper, 09/2007, A5E

16 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Manuelle Suche 3.3 Manuelle Suche Einstellungen im Dialogfeld "Manuelle Suche - Einstellungen" Bereich "Suchziel" Optionskästchen "Zugeordnete Laufwerke und Freigabeordner im Netzwerk durchsuchen": deaktiviert Bild 3-1 Dialogfeld "Manuelle Suche - Einstellungen" 16 Whitepaper, 09/2007, A5E

17 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Echtzeitsuche 3.4 Echtzeitsuche Einstellungen im Dialogfeld "Echtzeitsuche - Einstellungen" Bereich "Suchziel" Optionskästchen "Echtzeitsuche aktivieren": aktiviert Optionsfeld "Eingehende Dateien durchsuchen": aktiviert Optionsfeld "IntelliScan verwenden True-File-Type-Erkennung": aktiviert Optionskästchen "Zugeordnete Laufwerke und Freigabeordner im Netzwerk durchsuchen": deaktiviert Bild 3-2 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 1 von 2 Whitepaper, 09/2007, A5E

18 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Echtzeitsuche Bereich "Suchaktion" Optionskästchen "Bei Virenfund eine Warnmeldung auf dem Client anzeigen": deaktiviert Optionsfeld "Dieselbe Aktion für alle Typen verwenden": aktiviert; ausgewählt ist für den Typ "Alle Arten" in der Spalte "Aktion1" die Einstellung: Übergehen Bild 3-3 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 2 von 2 18 Whitepaper, 09/2007, A5E

19 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Zeitgesteuerte Suche 3.5 Zeitgesteuerte Suche Bei allen am Prozessbetrieb beteiligten PC-Stationen muss im Prozessbetrieb (Runtime) das Optionskästchen "Zeitgesteuerte Suche aktivieren" deaktiviert sein. Optionskästchen "Zeitgesteuerte Suche aktivieren": deaktiviert Bild 3-4 Dialogfeld "Zeitgesteuerte Suche - Einstellungen" Whitepaper, 09/2007, A5E

20 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Berechtigungen und Einstellungen des Clients 3.6 Berechtigungen und Einstellungen des Clients Einstellungen im Dialogfeld "Berechtigungen und Einstellungen des Clients" Es sind folgende Bereiche deaktiviert: "Virenschutz", "Mail Scan", "Toolbox", "Proxy-Einstellungen" und "Update Berechtigungen" Optionskästchen "Registerkarte Mail Scan anzeigen": deaktiviert Optionskästchen "Registerkarte Toolbox anzeigen": deaktiviert Optionskästchen "Der Client-Benutzer darf Proxy-Einstellungen konfigurieren": deaktiviert Optionskästchen " 'Sofort Aktualisieren!' ausführen ": deaktiviert Optionskästchen "Zeitgesteuertes Update aktivieren": deaktiviert Bild 3-5 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 1 von 2 20 Whitepaper, 09/2007, A5E

21 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Berechtigungen und Einstellungen des Clients Bereich "Update-Einstellungen" Optionskästchen "Zeitgesteuertes Update aktivieren": deaktiviert Optionskästchen "Programmupdate und Hotfix-Installationen nicht zulassen": aktiviert Bild 3-6 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 2 von 2 Whitepaper, 09/2007, A5E

22 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Allgemeine Client-Einstellungen 3.7 Allgemeine Client-Einstellungen Einstellungen im Dialogfeld "Allgemeine Client-Einstellungen" Die allgemeinen Einstellungen beziehen sich auf alle Virenscan-Clients, die am Virenscan-Server registriert sind. Bereich "Warneinstellungen" Optionskästchen "Beim Start den OfficeScan Begrüßungsbildschirm anzeigen": deaktiviert Optionskästchen "Warnsymbol in der Windows Taskleiste anzeigen, wenn ": deaktiviert Bild 3-7 Dialogfeld "Allgemeine Client-Einstellungen" 22 Whitepaper, 09/2007, A5E

23 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Client-Update 3.8 Client-Update Hinweis zum Update Führen Sie das Update der Virenscan-Engine nicht während des Prozessbetriebes (Runtime) durch, da einige Updates einen Neustart des Virenscan-Clients erfordern können. Einstellungen im Dialogfeld "Client-Update" Bereich "Update-Adresse" Optionsfeld "Standardmäßige Update-Adresse (Update vom OfficeScan Server)": aktiviert Bild 3-8 Dialogfeld "Client-Update": Bereich "Update-Adresse" Whitepaper, 09/2007, A5E

24 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Client-Update Bereich "Automatische Verteilung" Optionskästchen "Aktuelle Komponenten sofort nach dem Download auf die Clients verteilen": deaktiviert Optionskästchen "Aktuelle Komponenten nach dem Neustart der OfficeScan Clients auf diese verteilen (nicht auf Rooming-Clients)": deaktiviert Bild 3-9 Dialogfeld "Client-Update": Bereich "Automatische Verteilung" 24 Whitepaper, 09/2007, A5E

25 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Client-Update Bereich "Manuelle Verteilung" Optionsfeld "Clients manuell auswählen": aktiviert Bild 3-10 Dialogfeld "Client-Update": Bereich "Manuelle Verteilung" Whitepaper, 09/2007, A5E

26 Konfiguration Trend Micro Office Scan V7.3 incl. Patch Protokolle 3.9 Protokolle Kontrolle der Verteilung der Virensignaturen im Dialogfeld "Client-Update-Protokolle" Bild 3-11 Dialogfeld "Client-Update-Protokolle" 26 Whitepaper, 09/2007, A5E

27 Konfiguration Symantec AntiVirus V Einleitung Für PCS 7 V7.0 SP1 ist der Virenscanner Symantec Antivirus ausschließlich in der Version 10.2 freigegeben. Die im Folgenden gezeigten Einstellungen stellen einen Auszug der Einstellungen dar, die im Verträglichkeitstest mit PCS 7 V7.0 SP1 verwendet wurden. 4.2 Lokale Windows-Firewall-Einstellung auf dem Virenscan-Client Damit vom Virenscan-Server die Protokolle des Virenscan-Clients gelesen werden können, muss in der Ausnahmeliste der Firewall des Virenscan-Clients die Applikation "RTvscan.exe" mit entsprechendem Scope eingetragen werden. Whitepaper, 09/2007, A5E

28 Konfiguration Symantec AntiVirus V Optionen im Symantec System Center (SSC) 4.3 Optionen im Symantec System Center (SSC) Einstellungen im Dialogfeld "Eigenschaften von SSC-Konsolenoptionen" Optionskästchen "Client-Computer bei der Anzeige von Client-Gruppen": aktiviert Optionskästchen "Client-Listen erstellen, wenn Server-Gruppe entsperrt ist": aktiviert Bild 4-1 Dialogfeld "Eigenschaften von SSC-Konsolenoptionen": Register "Client-Anzeige" 28 Whitepaper, 09/2007, A5E

29 Konfiguration Symantec AntiVirus V Virendefinitions-Manager 4.4 Virendefinitions-Manager Einstellungen im Dialogfeld "Virendefinitions-Manager" Optionskästchen "Client darf LiveUpdate nicht manuell starten": aktiviert Bild 4-2 Dialogfeld "Virendefinitions-Manager" Vom Virenscan-Client können Virendefinitionsdateien (Virenpattern) nur aktualisiert werden, wenn das Optionskästchen "Virendefinitionen vom übergeordneten Server aktualisieren" aktiviert ist. Dies gilt sowohl für die manuelle als auch für die automatische Verteilung der Virendefinitionsdateien. Bei einer manuellen Verteilung der Virendefinitionsdateien aktivieren Sie dieses Optionskästchen nur dann, wenn die Verteilung stattfinden soll. Nach Aktivierung erfolgt die Verteilung der Virendefinitionsdateien automatisch. Überprüfen Sie die Verteilung im Protokoll. Whitepaper, 09/2007, A5E

30 Konfiguration Symantec AntiVirus V Virendefinitions-Manager Einstellungen im Dialogfeld "Aktualisierungen für den primären Server konfigurieren" Optionskästchen "Permanentes LiveUpdate aktivieren (nur Windows)": aktiviert Bild 4-3 Dialogfeld "Aktualisierungen für den primären Server konfigurieren" 30 Whitepaper, 09/2007, A5E

31 Konfiguration Symantec AntiVirus V Quarantäneoptionen 4.5 Quarantäneoptionen Einstellungen im Dialogfeld "Quarantäneoptionen" Optionskästchen "Isolierung oder 'Prüfen und Senden' aktivieren": deaktiviert Optionsfeld "nichts unternehmen": aktiviert Bild 4-4 Dialogfeld "Quarantäneoptionen" Whitepaper, 09/2007, A5E

32 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen 4.6 Client-Auto-Protect-Optionen Dateisystem Einstellungen der Antivirus-Client-Auto-Protect-Optionen im Register "Dateisystem" Optionskästchen "Auto-Protect aktivieren": aktiviert Bereich "Optionen" Optionskästchen "Sicherheitsrisiken blockieren": deaktiviert Bereich "Netzwerkprüfoptionen" Optionskästchen "Prüfung aktivieren": deaktiviert Bild 4-5 Dialogfeld "Client-Auto-Protect- Optionen": Register "Dateisystem" 32 Whitepaper, 09/2007, A5E

33 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Einstellungen im Dialogfeld "Weitere Optionen" Aufruf über das Dialogfeld "Symantec Antivirus-Client-Auto-Protect-Optionen" im Register "Dateisystem", Schaltfläche "Erweitert" Bereich "Optionen für die Dateiprüfung" Optionsfeld "Geänderte (Prüfen beim Erstellen)": aktiviert Optionskästchen "Nichts unternehmen, infizierte Dateien beim Erstellen löschen": deaktiviert Bereich "Risikoverfolgung" Optionskästchen "Risikoverfolgung aktivieren": deaktiviert Bild 4-6 Dialogfeld "Auto-Protect Weitere Optionen" Whitepaper, 09/2007, A5E

34 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Bereich "Zusätzliche erweiterte Optionen" Einstellung über Schaltfläche "Disketten" Optionskästchen "Bei Zugriff Disketten auf Boot-Viren prüfen": aktiviert Optionskästchen "Disketten beim Herunterfahren des Systems nicht prüfen": aktiviert Bild 4-7 Dialogfeld "Disketten prüfen" 34 Whitepaper, 09/2007, A5E

35 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Einstellungen im Dialogfeld "Aktionen" Aufruf über das Dialogfeld "Symantec Antivirus-Client-Auto-Protect-Optionen" im Register "Dateisystem", Schaltfläche "Aktionen" Auswahl in der Klappliste "Erste Aktion": Nichts unternehmen (nur protokollieren) Diese Auswahl gilt auch für "Nicht-Makrovirus" und "Sicherheitsrisiken" Bild 4-8 Dialogfeld "Aktionen" Whitepaper, 09/2007, A5E

36 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Einstellungen im Dialogfeld "Benachrichtigungsoptionen" Aufruf über das Dialogfeld "Symantec Antivirus-Client-Auto-Protect-Optionen" im Register "Dateisystem", Schaltfläche "Benachrichtigungen" Bereich "Erkennungsoptionen" Optionskästchen "Benachrichtigungsmeldung auf infiziertem Computer anzeigen": deaktiviert Optionskästchen "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen": deaktiviert Bereich "Fehlerbehebungsoptionen" Optionskästchen "Prozesse automatisch beenden": deaktiviert Optionskästchen "Dienste automatisch anhalten": deaktiviert Bild 4-9 Dialogfeld "Benachrichtigungsoptionen" 36 Whitepaper, 09/2007, A5E

37 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Internet- Einstellungen der Antivirus-Client-Auto-Protect-Optionen im Register "Internet- " Optionskästchen "Internet- - Auto-Protect aktivieren": deaktiviert Bild 4-10 Dialogfeld "Client-Auto-Protect-Optionen": Register "Internet- " Whitepaper, 09/2007, A5E

38 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Lotus Notes Einstellungen im Dialogfeld "Client-Auto-Protect-Optionen": Register "Lotus Notes" Optionskästchen "Lotus Notes - Auto-Protect aktivieren": deaktiviert Bild 4-11 Dialogfeld "Client-Auto-Protect-Optionen": Register "Lotus Notes" 38 Whitepaper, 09/2007, A5E

39 Konfiguration Symantec AntiVirus V Client-Auto-Protect-Optionen Microsoft Exchange Einstellungen im Dialogfeld "Client-Auto-Protect-Optionen": Register "Microsoft Exchange" Optionskästchen "Microsoft Exchange - Auto-Protect aktivieren": deaktiviert Bild 4-12 Dialogfeld "Client-Auto-Protect-Optionen": Register "Microsoft Exchange" Whitepaper, 09/2007, A5E

40 Konfiguration Symantec AntiVirus V Client-Administratoroptionen 4.7 Client-Administratoroptionen Einstellungen im Dialogfeld "Client-Administratoroptionen": Register "Allgemein" Bereich "Aktionen" Optionskästchen "Meldung bei veralteten Definitionen anzeigen": deaktiviert Optionskästchen "Meldung anzeigen, wenn Symantec Antivirus ohne Virendefinition läuft": deaktiviert Bild 4-13 Dialogfeld "Client-Administratoroptionen": Register "Allgemein" 40 Whitepaper, 09/2007, A5E

41 Konfiguration Symantec AntiVirus V Client-Administratoroptionen Einstellungen im Dialogfeld "Client-Administratoroptionen": Register "Sicherheit" Bereich "Entladen/Deinstallieren" Optionskästchen "Benutzer darf keine Symantec AntiVirus-Dienste entladen": aktiviert Optionskästchen "Bei Deinstallation der Symantec Antivirus-Client Software Kennwort abfragen" aktiviert Bild 4-14 Dialogfeld "Client-Administratoroptionen": Register "Sicherheit" Whitepaper, 09/2007, A5E

42 Konfiguration Symantec AntiVirus V Client Manipulationsschutz Optionen 4.8 Client Manipulationsschutz Optionen Bereich "Benachrichtigungen": Optionskästchen "Meldung auf betroffenem Computer anzeigen": deaktiviert Bild 4-15 Dialogfeld "Client Manipulationsschutz Optionen" 42 Whitepaper, 09/2007, A5E

43 Konfiguration McAfee VirusScan V8.5i Einleitung Für PCS 7 V7.0 SP1 ist ausschließlich die Version 8.5i des Virenscanners "McAfee VirusScan" freigegeben. Die im Folgenden gezeigten Einstellungen stellen einen Auszug der Einstellungen dar, die im Verträglichkeitstest mit PCS 7 V7.0 SP1 verwendet wurden. 5.2 Konfiguration der Richtlinien Sämtliche nachfolgend aufgeführten Einstellungen für "Workstation" müssen immer auch für "Server" ausgeführt werden. Whitepaper, 09/2007, A5E

44 Konfiguration McAfee VirusScan V8.5i 5.3 Zentrale Einstellungen 5.3 Zentrale Einstellungen Register "Einstellungen" Einstellung "Globale Aktualisierung aktivieren"; Optionsfeld "nein": aktiviert Bild 5-1 Dialogfeld epolicy Orchestrator, Register "Servereinstellungen" 44 Whitepaper, 09/2007, A5E

45 Konfiguration McAfee VirusScan V8.5i 5.3 Zentrale Einstellungen Tasks im Prozessbetrieb Im Prozessbetrieb wurde mit folgenden Tasks keine Beeinträchtigung festgestellt: Tasktyp Software Parameter Zweck Agentenreaktivierung Aktualisierung epolicy Orchestrator Agent epolicy Orchestrator Agent DAT, Extra.DAT, SuperDAT Damit wird der Agent auf einem Virenscan- Client aufgefordert, mit dem epolicy Orchestrator-Server Kontakt aufzunehmen. Aktualisieren der Virensignaturdateien Verteilen der Virendefinitionsdateien Task und Planungseinstellungen Bild 5-2 Dialogfeld "epolicy Orchestrator-Planer", Register "Task" Whitepaper, 09/2007, A5E

46 Konfiguration McAfee VirusScan V8.5i 5.3 Zentrale Einstellungen Stellen Sie sicher, dass für die Aktualisierungstask als Tasktyp "Aktualisierung" ausgewählt ist. Erst wenn die Virendefinitionsdateien verteilt werden sollen, aktivieren Sie das Optionskästchen "Aktivieren (geplante Task wird zu festgelegter Zeit ausgeführt"). Der Virenscan-Client aktualisiert die Virendefinitionsdateien entsprechend den Planungseinstellungen, wenn er die geänderte Richtlinie übernommen hat. Wählen Sie in der Klappliste "Task planen" die Einstellung "Sofort ausführen". Bild 5-3 Dialogfeld "epolicy Orchestrator-Planer", Register "Plan" Prüfen der Verteilung der Virendefinitionsdateien Die Übersicht finden Sie über die Baumstruktur McAffee > Reporting > epo-datenbanken > <Datenbankname> > Abfragen > Ereignisse > Alle Produktaktualisierungsereignisse. Bild 5-4 Prüfen der Verteilung der Virendefinitionsdateien 46 Whitepaper, 09/2007, A5E

47 Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff 5.4 Allgemeine Richtlinien beim Zugriff Register "Allgemein" Optionskästchen "Disketten beim Herunterfahren": deaktiviert Bild 5-5 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Allgemein" Whitepaper, 09/2007, A5E

48 Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff Register "ScriptScan" Optionskästchen "ScriptScan aktivieren": aktiviert Bild 5-6 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "ScriptScan" SIMATIC Batch Server / BATCH Single Station Auf einem SIMATIC BATCH Server / BATCH Single Server muss im Feld "Auszuschließende Prozesse" die Applikation "bfmappersrvx.exe" eingetragen werden. 48 Whitepaper, 09/2007, A5E

49 Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff Register "Blockieren" Optionskästchen "Die Verbindung blockieren": deaktiviert Bild 5-7 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Blockieren" Whitepaper, 09/2007, A5E

50 Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff Register "Nachrichten" Optionskästchen "Bei Auftreten einer Erkennung Nachrichtendialogfeld anzeigen": deaktivert Optionskästchen "Nachrichten aus der Liste entfernen": deaktiviert Optionskästchen "Dateien säubern": deaktiviert Optionskästchen "Dateien löschen": deaktiviert Bild 5-8 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Nachrichten" 50 Whitepaper, 09/2007, A5E

51 Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge 5.5 Richtlinien bei Zugriff für Standardvorgänge Register "Erkennung" Optionskästchen "Beim Lesen vom Datenträger": deaktiviert Optionskästchen "Auf Netzlaufwerken": deaktiviert Bild 5-9 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erkennung" Whitepaper, 09/2007, A5E

52 Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge Register "Erweitert" Optionskästchen "Inhalt von Archiven scannen (z. B. ZIP)": aktiviert Bild 5-10 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erweitert" 52 Whitepaper, 09/2007, A5E

53 Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge Register "Aktionen" Wichtiger Hinweis Im Sicherheitskonzept von PCS 7 ist ein folgendes Verhalten beim Auffinden eines Computer-Virus gefordert: Nach dem Auffinden des Virus: Warnmeldung Anschließend keine weiteren Dateioperationen ohne den Eingriff des Nutzers Damit soll sichergestellt werden, dass keine wichtigen Projektdaten zerstört werden. Im McAfee VirusScan 8.5i ist dieses Verhalten nicht konfigurierbar. Wählen Sie in der Klappliste "Primäre Aktion Wenn eine Bedrohung gefunden wird:" die Einstellung "Dateien automatisch säubern". Wählen Sie in der Klappliste "Sekundäre Aktion Wenn die erste Aktion fehlschlägt:" die Einstellung "Zugriff auf Dateien verweigern". Bild 5-11 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Aktionen" Whitepaper, 09/2007, A5E

54 Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge Register "Unerwünschte Programme" Wählen Sie in der Klappliste "Primäre Aktion Wenn ein unerwünschtes Programm gefunden wird:" die Einstellung "Zugriff auf Dateien erlauben". Hinweis Damit soll erreicht werden, dass eine fälschlicherweise als "unerwünschtes Programm" identifizierte Software nicht in ihrer Funktion eingeschränkt wird. Bild 5-12 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Unerwünschte Programme" 54 Whitepaper, 09/2007, A5E

55 Konfiguration McAfee VirusScan V8.5i 5.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko 5.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.7 Richtlinien bei Zugriff für Vorgänge mit hohem Risiko Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.8 Richtlinien für das Scannen von s beim Empfang Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. Whitepaper, 09/2007, A5E

56 Konfiguration McAfee VirusScan V8.5i 5.9 Richtlinien für die Benutzeroberfläche 5.9 Richtlinien für die Benutzeroberfläche Register "Anzeigeoptionen" Optionsfeld "Symbol in Systemablage mit minimalen Menüoptionen anzeigen": aktiviert Optionskästchen "Startbildschirm aktivieren": deaktiviert Bild 5-13 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Anzeigeoptionen" 56 Whitepaper, 09/2007, A5E

57 Konfiguration McAfee VirusScan V8.5i 5.9 Richtlinien für die Benutzeroberfläche Register "Kennwortoptionen" Optionsfeld "Kennwortschutz für alle aufgelisteten Elemente:" aktivieren Bild 5-14 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Kennwortoptionen" Whitepaper, 09/2007, A5E

58 Konfiguration McAfee VirusScan V8.5i 5.10 Warnungsrichtlinien 5.10 Warnungsrichtlinien Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten Richtlinien für den Zugriffsschutz Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten Richtlinien für den Pufferüberlaufschutz Optionskästchen "Pufferüberlaufschutz aktivieren": deaktiviert Bild 5-15 Dialogfeld "Richtlinien für den Pufferüberlaufschutz": Register "Pufferüberlaufschutz" 5.13 Richtlinien für unerwünschte Programme Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten Quarantänemanager-Richtlinien Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 58 Whitepaper, 09/2007, A5E