SIMATIC Prozessleitsystem PCS 7 V7.0 SP1 SIMATIC Prozessleitsystem PCS 7 V7.0 SP1 Security Information Note: Einstellung von Virenscannern Whitepaper Vorwort 1 Einsatz von Virenscannern 2 Konfiguration Trend Micro Office Scan V7.3 incl. 3 Patch 2 Konfiguration Symantec AntiVirus V10.2 4 Konfiguration McAfee VirusScan V8.5i 5 09/2007 A5E01057945-01
Sicherheitshinweise Sicherheitshinweise Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG Qualifiziertes Personal bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Das zugehörige Gerät/System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben werden. Inbetriebsetzung und Betrieb eines Gerätes/Systems dürfen nur von qualifiziertem Personal vorgenommen werden. Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser Dokumentation sind Personen, die die Berechtigung haben, Geräte, Systeme und Stromkreise gemäß den Standards der Sicherheitstechnik in Betrieb zu nehmen, zu erden und zu kennzeichnen. Bestimmungsgemäßer Gebrauch Beachten Sie Folgendes: Marken WARNUNG Das Gerät darf nur für die im Katalog und in der technischen Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung und Montage sowie sorgfältige Bedienung und Instandhaltung voraus. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Automation and Drives Postfach 48 48 90327 NÜRNBERG DEUTSCHLAND Dokumentbestellnummer: A5E01057945-01 P 09/2007 Copyright Siemens AG 2007. Änderungen vorbehalten
Inhaltsverzeichnis 1 Vorwort... 7 2 Einsatz von Virenscannern... 9 2.1 Einleitung...9 2.2 Definitionen und Hinweise...9 2.3 Prinzipieller Aufbau der Virenscanner-Architektur...11 2.4 Einsatz von Virenscannern...12 2.5 Zugelassene Virenscanner für PCS 7...13 3 Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2... 15 3.1 Einleitung...15 3.2 Integrierte Firewall...15 3.3 Manuelle Suche...16 3.4 Echtzeitsuche...17 3.5 Zeitgesteuerte Suche...19 3.6 Berechtigungen und Einstellungen des Clients...20 3.7 Allgemeine Client-Einstellungen...22 3.8 Client-Update...23 3.9 Protokolle...26 4 Konfiguration Symantec AntiVirus V10.2... 27 4.1 Einleitung...27 4.2 Lokale Windows-Firewall-Einstellung auf dem Virenscan-Client...27 4.3 Optionen im Symantec System Center (SSC)...28 4.4 Virendefinitions-Manager...29 4.5 Quarantäneoptionen...31 4.6 Client-Auto-Protect-Optionen...32 4.6.1 Dateisystem...32 4.6.2 Internet-E-mail...37 4.6.3 Lotus Notes...38 4.6.4 Microsoft Exchange...39 4.7 Client-Administratoroptionen...40 4.8 Client Manipulationsschutz Optionen...42 Whitepaper, 09/2007, A5E01057945-01 3
Inhaltsverzeichnis 5 Konfiguration McAfee VirusScan V8.5i... 43 5.1 Einleitung... 43 5.2 Konfiguration der Richtlinien... 43 5.3 Zentrale Einstellungen... 44 5.3.1 Register "Einstellungen"... 44 5.3.2 Tasks im Prozessbetrieb... 45 5.3.3 Verteilen der Virendefinitionsdateien... 45 5.3.4 Prüfen der Verteilung der Virendefinitionsdateien... 46 5.4 Allgemeine Richtlinien beim Zugriff... 47 5.4.1 Register "Allgemein"... 47 5.4.2 Register "ScriptScan"... 48 5.4.3 Register "Blockieren"... 49 5.4.4 Register "Nachrichten"... 50 5.5 Richtlinien bei Zugriff für Standardvorgänge... 51 5.5.1 Register "Erkennung"... 51 5.5.2 Register "Erweitert"... 52 5.5.3 Register "Aktionen"... 53 5.5.4 Register "Unerwünschte Programme"... 54 5.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko... 55 5.7 Richtlinien bei Zugriff für Vorgänge mit hohem Risiko... 55 5.8 Richtlinien für das Scannen von E-Mails beim Empfang... 55 5.9 Richtlinien für die Benutzeroberfläche... 56 5.9.1 Register "Anzeigeoptionen"... 56 5.9.2 Register "Kennwortoptionen"... 57 5.10 Warnungsrichtlinien... 58 5.11 Richtlinien für den Zugriffsschutz... 58 5.12 Richtlinien für den Pufferüberlaufschutz... 58 5.13 Richtlinien für unerwünschte Programme... 58 5.14 Quarantänemanager-Richtlinien... 58 4 Whitepaper, 09/2007, A5E01057945-01
Inhaltsverzeichnis Bilder Bild 3-1 Dialogfeld "Manuelle Suche - Einstellungen"...16 Bild 3-2 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 1 von 2...17 Bild 3-3 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 2 von 2...18 Bild 3-4 Dialogfeld "Zeitgesteuerte Suche - Einstellungen"...19 Bild 3-5 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 1 von 2...20 Bild 3-6 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 2 von 2...21 Bild 3-7 Dialogfeld "Allgemeine Client-Einstellungen"...22 Bild 3-8 Dialogfeld "Client-Update": Bereich "Update-Adresse"...23 Bild 3-9 Dialogfeld "Client-Update": Bereich "Automatische Verteilung"...24 Bild 3-10 Dialogfeld "Client-Update": Bereich "Manuelle Verteilung"...25 Bild 3-11 Dialogfeld "Client-Update-Protokolle"...26 Bild 4-1 Dialogfeld "Eigenschaften von SSC-Konsolenoptionen": Register "Client-Anzeige"...28 Bild 4-2 Dialogfeld "Virendefinitions-Manager"...29 Bild 4-3 Dialogfeld "Aktualisierungen für den primären Server konfigurieren"...30 Bild 4-4 Dialogfeld "Quarantäneoptionen"...31 Bild 4-5 Dialogfeld "Client-Auto-Protect- Optionen": Register "Dateisystem"...32 Bild 4-6 Dialogfeld "Auto-Protect Weitere Optionen"...33 Bild 4-7 Dialogfeld "Disketten prüfen"...34 Bild 4-8 Dialogfeld "Aktionen"...35 Bild 4-9 Dialogfeld "Benachrichtigungsoptionen"...36 Bild 4-10 Dialogfeld "Client-Auto-Protect-Optionen": Register "Internet-E-Mail"...37 Bild 4-11 Dialogfeld "Client-Auto-Protect-Optionen": Register "Lotus Notes"...38 Bild 4-12 Dialogfeld "Client-Auto-Protect-Optionen": Register "Microsoft Exchange"...39 Bild 4-13 Dialogfeld "Client-Administratoroptionen": Register "Allgemein"...40 Bild 4-14 Dialogfeld "Client-Administratoroptionen": Register "Sicherheit"...41 Bild 4-15 Dialogfeld "Client Manipulationsschutz Optionen"...42 Whitepaper, 09/2007, A5E01057945-01 5
Inhaltsverzeichnis Bild 5-1 Dialogfeld epolicy Orchestrator, Register "Servereinstellungen"... 44 Bild 5-2 Dialogfeld "epolicy Orchestrator-Planer", Register "Task"... 45 Bild 5-3 Dialogfeld "epolicy Orchestrator-Planer", Register "Plan"... 46 Bild 5-4 Prüfen der Verteilung der Virendefinitionsdateien... 46 Bild 5-5 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Allgemein"... 47 Bild 5-6 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "ScriptScan"... 48 Bild 5-7 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Blockieren"... 49 Bild 5-8 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Nachrichten"... 50 Bild 5-9 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erkennung"... 51 Bild 5-10 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erweitert"... 52 Bild 5-11 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Aktionen"... 53 Bild 5-12 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Unerwünschte Programme"... 54 Bild 5-13 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Anzeigeoptionen"... 56 Bild 5-14 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Kennwortoptionen"... 57 Bild 5-15 Dialogfeld "Richtlinien für den Pufferüberlaufschutz": Register "Pufferüberlaufschutz"... 58 6 Whitepaper, 09/2007, A5E01057945-01
Vorwort 1 Wichtiger Hinweis zu diesem Whitepaper Die in diesem Whitepaper beschriebenen Virenscanner sind auf Verträglichkeit mit PCS 7 V7.0 SP1 getestet. Die empfohlenen Einstellungen dieser Virenscanner sind so gewählt, dass der zuverlässige Echtzeitbetrieb von PCS 7 durch die Virenscanner-Software nicht beeinträchtigt wird. Diese Empfehlungen beschreiben den aktuell bekannten, bestmöglichen Kompromiss zwischen dem Ziel, Viren und Schad-Software möglichst umfassend zu entdecken und unwirksam zu machen und dem Ziel, ein möglichst deterministisches Zeitverhalten des PCS 7 Leitsystems in allen Betriebsphasen zu gewährleisten. Die Wahl anderer Einstellungen der Virenscanner kann sich unter Umständen ungünstig auf das Echtzeitverhalten von PCS 7 auswirken. Zweck der Dokumentation Diese Dokumentation beschreibt die für PCS 7 V7.0 SP1 freigegebenen Virenscanner, die empfohlenen Anpassungen der Virenscanner-Software nach der Installation. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 tätig sind. Administrationskenntnisse und IT-Techniken für Microsoft Windows Betriebssysteme werden vorausgesetzt. Gültigkeitsbereich der Dokumentation Die Dokumentation Prozessleitsystem PCS 7 V7.0 SP1; Security Information Note: Einstellung von Virenscannern ist gültig für prozessleittechnische Anlagen, die mit PCS 7 V7.0 SP1 realisiert sind. Siehe auch Security concept (http://support.automation.siemens.com/ww/view/de/22229786) Whitepaper, 09/2007, A5E01057945-01 7
Vorwort 8 Whitepaper, 09/2007, A5E01057945-01
Einsatz von Virenscannern 2 2.1 Einleitung Der Einsatz von Virenscannern in einem Prozessleitsystem ist nur dann effektiv, wenn er Teil eines umfassenden Security-Konzeptes ist. Der alleinige Einsatz eines Virenscanners kann ein Prozessleitsystem nicht vor feindlichen Angriffen schützen. Das Sicherheitskonzept PCS 7 / WinCC ist im Internet verfügbar unter: http://support.automation.siemens.com Virenscanner sollten den Anforderungen entsprechen, wie sie in den Sicherheitskonzepten von PCS 7 / WinCC beschrieben sind. 2.2 Definitionen und Hinweise Grundsatz Der Einsatz eines Virenscanners darf den Prozessbetrieb einer Anlage nicht beeinträchtigen. Virenscanner Ein Virenscanner ist eine Software, die bekannte schädliche Programmroutinen (Computerviren, Würmer und Ähnliche) aufspürt, blockiert oder beseitigt. Scan-Engine (Scanmodul) Die Scan-Engine ist der Teil der Virenscanner-Software, der Daten auf schädliche Software untersuchen kann. Virensignaturdatei (Virenpatterndatei oder Virendefinitionsdatei) Diese Datei stellt der Scan-Engine die Virensignaturen bereit, mit deren Hilfe die Suche nach schädlicher Software in den Daten durchgeführt wird. Whitepaper, 09/2007, A5E01057945-01 9
Einsatz von Virenscannern 2.2 Definitionen und Hinweise Virenscan-Client Der Virenscan-Client ist ein Computer, der auf Viren überprüft wird und vom Virenscan-Server verwaltet wird. Virenscan-Server Der Virenscan-Server ist ein Computer, der Virenscan-Clients zentral verwaltet, Virensignaturdateien lädt und auf die Virenscan-Clients verteilt. 10 Whitepaper, 09/2007, A5E01057945-01
Einsatz von Virenscannern 2.3 Prinzipieller Aufbau der Virenscanner-Architektur 2.3 Prinzipieller Aufbau der Virenscanner-Architektur Der Virenscan-Server erhält die Virensignaturen aus dem Internet vom Update-Server des jeweiligen Virenscanner-Herstellers oder von einem übergeordneten Virenscan-Server und verwaltet seine Virenscan-Clients. Der Remote-Zugriff auf den Virenscan-Server ist z. B. über eine Webkonsole möglich. Internet Virenscan-Server Webkonsole Virenscan-Client Virenscan-Client Virenscan-Client Whitepaper, 09/2007, A5E01057945-01 11
Einsatz von Virenscannern 2.4 Einsatz von Virenscannern 2.4 Einsatz von Virenscannern Informationen für die Konfiguration von lokalen Virenscannern Integrierte Firewall der Virenscanner Ab PCS 7 V7.0 wird die lokale Windows-Firewall genutzt und mit der Komponente SIMATIC Security Control (SSC) parametriert. Deshalb wird die in den Virenscannern integrierte Firewall nicht installiert. Manueller Scan (Manuelle Prüfung, Scannen auf Anforderung) Ein manueller Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Dieser sollte in regelmäßigen Abständen, z. B. während eines Wartungsintervalls auf allen Computern der Anlage erfolgen. Automatischer Scan (Auto-Protect, Scannen bei Zugriff) Beim automatischen Scan ist es ausreichend, den eingehenden Datenverkehr zu prüfen. Zeitgesteuerter Scan (Geplante Prüfung, Scannen auf Anforderung) Der zeitgesteuerte Scan darf auf Virenscan-Clients nicht während des Prozessbetriebes (Runtime) durchgeführt werden. Anzeigen von Meldungen Um den Prozessbetrieb nicht zu beeinträchtigen, darf auf den Virenscan-Clients keine Meldung angezeigt werden. Laufwerke Es werden ausschließlich die lokalen Laufwerke gescannt, um sich überschneidende Scans auf Netzwerklaufwerken zu verhindern. E-Mail-Scan Der E-Mail-Scan kann, außer auf einer Engineering Station, die E-Mails empfängt, deaktiviert werden. Einteilung in Gruppen Teilen Sie Ihre Virenscan-Clients in Gruppen ein. Verteilung der Virensignaturen (Patternupdate) Die Verteilung der Virensignaturen auf Virenscan-Clients wird vom übergeordneten Virenscan-Server durchgeführt. Der rückwirkungsfreie Einsatz der Virensignaturen ist vor dem Einsatz im Prozessbetrieb in einer Testanlage zu überprüfen. Die Virensignaturen sind manuell auf die jeweiligen Gruppen zu verteilen. Update der Virenscan-Engine Updates der Virenscan-Engine sind nicht während des Prozessbetriebes (Runtime) durchzuführen, da diese einen Neustart der Virenscan-Clients erfordern können. Hinweis zur Installation Die Installation von Software muss von einem virenfreien Ablageort durchgeführt werden (zum Beispiel von einem Dateiserver mit eigenem Virenscanner oder einer geprüften DVD). Bei der Installation von Software werden oft automatisch Änderungen im Betriebssystem durchgeführt. Ein aktivierter Virenscanner darf die Installation der Software nicht behindern oder verfälschen. 12 Whitepaper, 09/2007, A5E01057945-01
Einsatz von Virenscannern 2.5 Zugelassene Virenscanner für PCS 7 2.5 Zugelassene Virenscanner für PCS 7 Für PCS 7 Version 7.0 SP 1 sind folgende Virenscanner zugelassen: Trend Micro Office Scan Corporate Edition V7.3 incl. Patch 2 Symantec AntiVirusTM Corporate Edition V10.2 (Norton Antivirus) McAfee VirusScan Enterprise V8.5. Whitepaper, 09/2007, A5E01057945-01 13
Einsatz von Virenscannern 2.5 Zugelassene Virenscanner für PCS 7 14 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3 3.1 Einleitung Für PCS 7 V7.0 SP1 ist vom Virenscanner Trend Micro "OFFICE Scan" ausschließlich die Corperate Edition V7.3 freigegeben. Die im Folgenden gezeigten Einstellungen stellen einen Auszug der Einstellungen dar, die im Verträglichkeitstest mit PCS 7 V7.0 SP1 verwendet wurden. 3.2 Integrierte Firewall Bereits während der Installation kann die Option "Enterprise Client Firewall installieren" deaktiviert werden. Whitepaper, 09/2007, A5E01057945-01 15
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.3 Manuelle Suche 3.3 Manuelle Suche Einstellungen im Dialogfeld "Manuelle Suche - Einstellungen" Bereich "Suchziel" Optionskästchen "Zugeordnete Laufwerke und Freigabeordner im Netzwerk durchsuchen": deaktiviert Bild 3-1 Dialogfeld "Manuelle Suche - Einstellungen" 16 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.4 Echtzeitsuche 3.4 Echtzeitsuche Einstellungen im Dialogfeld "Echtzeitsuche - Einstellungen" Bereich "Suchziel" Optionskästchen "Echtzeitsuche aktivieren": aktiviert Optionsfeld "Eingehende Dateien durchsuchen": aktiviert Optionsfeld "IntelliScan verwenden True-File-Type-Erkennung": aktiviert Optionskästchen "Zugeordnete Laufwerke und Freigabeordner im Netzwerk durchsuchen": deaktiviert Bild 3-2 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 1 von 2 Whitepaper, 09/2007, A5E01057945-01 17
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.4 Echtzeitsuche Bereich "Suchaktion" Optionskästchen "Bei Virenfund eine Warnmeldung auf dem Client anzeigen": deaktiviert Optionsfeld "Dieselbe Aktion für alle Typen verwenden": aktiviert; ausgewählt ist für den Typ "Alle Arten" in der Spalte "Aktion1" die Einstellung: Übergehen Bild 3-3 Dialogfeld "Echtzeitsuche - Einstellungen": Bild 2 von 2 18 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.5 Zeitgesteuerte Suche 3.5 Zeitgesteuerte Suche Bei allen am Prozessbetrieb beteiligten PC-Stationen muss im Prozessbetrieb (Runtime) das Optionskästchen "Zeitgesteuerte Suche aktivieren" deaktiviert sein. Optionskästchen "Zeitgesteuerte Suche aktivieren": deaktiviert Bild 3-4 Dialogfeld "Zeitgesteuerte Suche - Einstellungen" Whitepaper, 09/2007, A5E01057945-01 19
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.6 Berechtigungen und Einstellungen des Clients 3.6 Berechtigungen und Einstellungen des Clients Einstellungen im Dialogfeld "Berechtigungen und Einstellungen des Clients" Es sind folgende Bereiche deaktiviert: "Virenschutz", "Mail Scan", "Toolbox", "Proxy-Einstellungen" und "Update Berechtigungen" Optionskästchen "Registerkarte Mail Scan anzeigen": deaktiviert Optionskästchen "Registerkarte Toolbox anzeigen": deaktiviert Optionskästchen "Der Client-Benutzer darf Proxy-Einstellungen konfigurieren": deaktiviert Optionskästchen " 'Sofort Aktualisieren!' ausführen ": deaktiviert Optionskästchen "Zeitgesteuertes Update aktivieren": deaktiviert Bild 3-5 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 1 von 2 20 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.6 Berechtigungen und Einstellungen des Clients Bereich "Update-Einstellungen" Optionskästchen "Zeitgesteuertes Update aktivieren": deaktiviert Optionskästchen "Programmupdate und Hotfix-Installationen nicht zulassen": aktiviert Bild 3-6 Dialogfeld "Berechtigungen und Einstellungen des Clients": Bild 2 von 2 Whitepaper, 09/2007, A5E01057945-01 21
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.7 Allgemeine Client-Einstellungen 3.7 Allgemeine Client-Einstellungen Einstellungen im Dialogfeld "Allgemeine Client-Einstellungen" Die allgemeinen Einstellungen beziehen sich auf alle Virenscan-Clients, die am Virenscan-Server registriert sind. Bereich "Warneinstellungen" Optionskästchen "Beim Start den OfficeScan Begrüßungsbildschirm anzeigen": deaktiviert Optionskästchen "Warnsymbol in der Windows Taskleiste anzeigen, wenn ": deaktiviert Bild 3-7 Dialogfeld "Allgemeine Client-Einstellungen" 22 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.8 Client-Update 3.8 Client-Update Hinweis zum Update Führen Sie das Update der Virenscan-Engine nicht während des Prozessbetriebes (Runtime) durch, da einige Updates einen Neustart des Virenscan-Clients erfordern können. Einstellungen im Dialogfeld "Client-Update" Bereich "Update-Adresse" Optionsfeld "Standardmäßige Update-Adresse (Update vom OfficeScan Server)": aktiviert Bild 3-8 Dialogfeld "Client-Update": Bereich "Update-Adresse" Whitepaper, 09/2007, A5E01057945-01 23
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.8 Client-Update Bereich "Automatische Verteilung" Optionskästchen "Aktuelle Komponenten sofort nach dem Download auf die Clients verteilen": deaktiviert Optionskästchen "Aktuelle Komponenten nach dem Neustart der OfficeScan Clients auf diese verteilen (nicht auf Rooming-Clients)": deaktiviert Bild 3-9 Dialogfeld "Client-Update": Bereich "Automatische Verteilung" 24 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.8 Client-Update Bereich "Manuelle Verteilung" Optionsfeld "Clients manuell auswählen": aktiviert Bild 3-10 Dialogfeld "Client-Update": Bereich "Manuelle Verteilung" Whitepaper, 09/2007, A5E01057945-01 25
Konfiguration Trend Micro Office Scan V7.3 incl. Patch 2 3.9 Protokolle 3.9 Protokolle Kontrolle der Verteilung der Virensignaturen im Dialogfeld "Client-Update-Protokolle" Bild 3-11 Dialogfeld "Client-Update-Protokolle" 26 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4 4.1 Einleitung Für PCS 7 V7.0 SP1 ist der Virenscanner Symantec Antivirus ausschließlich in der Version 10.2 freigegeben. Die im Folgenden gezeigten Einstellungen stellen einen Auszug der Einstellungen dar, die im Verträglichkeitstest mit PCS 7 V7.0 SP1 verwendet wurden. 4.2 Lokale Windows-Firewall-Einstellung auf dem Virenscan-Client Damit vom Virenscan-Server die Protokolle des Virenscan-Clients gelesen werden können, muss in der Ausnahmeliste der Firewall des Virenscan-Clients die Applikation "RTvscan.exe" mit entsprechendem Scope eingetragen werden. Whitepaper, 09/2007, A5E01057945-01 27
Konfiguration Symantec AntiVirus V10.2 4.3 Optionen im Symantec System Center (SSC) 4.3 Optionen im Symantec System Center (SSC) Einstellungen im Dialogfeld "Eigenschaften von SSC-Konsolenoptionen" Optionskästchen "Client-Computer bei der Anzeige von Client-Gruppen": aktiviert Optionskästchen "Client-Listen erstellen, wenn Server-Gruppe entsperrt ist": aktiviert Bild 4-1 Dialogfeld "Eigenschaften von SSC-Konsolenoptionen": Register "Client-Anzeige" 28 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.4 Virendefinitions-Manager 4.4 Virendefinitions-Manager Einstellungen im Dialogfeld "Virendefinitions-Manager" Optionskästchen "Client darf LiveUpdate nicht manuell starten": aktiviert Bild 4-2 Dialogfeld "Virendefinitions-Manager" Vom Virenscan-Client können Virendefinitionsdateien (Virenpattern) nur aktualisiert werden, wenn das Optionskästchen "Virendefinitionen vom übergeordneten Server aktualisieren" aktiviert ist. Dies gilt sowohl für die manuelle als auch für die automatische Verteilung der Virendefinitionsdateien. Bei einer manuellen Verteilung der Virendefinitionsdateien aktivieren Sie dieses Optionskästchen nur dann, wenn die Verteilung stattfinden soll. Nach Aktivierung erfolgt die Verteilung der Virendefinitionsdateien automatisch. Überprüfen Sie die Verteilung im Protokoll. Whitepaper, 09/2007, A5E01057945-01 29
Konfiguration Symantec AntiVirus V10.2 4.4 Virendefinitions-Manager Einstellungen im Dialogfeld "Aktualisierungen für den primären Server konfigurieren" Optionskästchen "Permanentes LiveUpdate aktivieren (nur Windows)": aktiviert Bild 4-3 Dialogfeld "Aktualisierungen für den primären Server konfigurieren" 30 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.5 Quarantäneoptionen 4.5 Quarantäneoptionen Einstellungen im Dialogfeld "Quarantäneoptionen" Optionskästchen "Isolierung oder 'Prüfen und Senden' aktivieren": deaktiviert Optionsfeld "nichts unternehmen": aktiviert Bild 4-4 Dialogfeld "Quarantäneoptionen" Whitepaper, 09/2007, A5E01057945-01 31
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen 4.6 Client-Auto-Protect-Optionen 4.6.1 Dateisystem Einstellungen der Antivirus-Client-Auto-Protect-Optionen im Register "Dateisystem" Optionskästchen "Auto-Protect aktivieren": aktiviert Bereich "Optionen" Optionskästchen "Sicherheitsrisiken blockieren": deaktiviert Bereich "Netzwerkprüfoptionen" Optionskästchen "Prüfung aktivieren": deaktiviert Bild 4-5 Dialogfeld "Client-Auto-Protect- Optionen": Register "Dateisystem" 32 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen Einstellungen im Dialogfeld "Weitere Optionen" Aufruf über das Dialogfeld "Symantec Antivirus-Client-Auto-Protect-Optionen" im Register "Dateisystem", Schaltfläche "Erweitert" Bereich "Optionen für die Dateiprüfung" Optionsfeld "Geänderte (Prüfen beim Erstellen)": aktiviert Optionskästchen "Nichts unternehmen, infizierte Dateien beim Erstellen löschen": deaktiviert Bereich "Risikoverfolgung" Optionskästchen "Risikoverfolgung aktivieren": deaktiviert Bild 4-6 Dialogfeld "Auto-Protect Weitere Optionen" Whitepaper, 09/2007, A5E01057945-01 33
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen Bereich "Zusätzliche erweiterte Optionen" Einstellung über Schaltfläche "Disketten" Optionskästchen "Bei Zugriff Disketten auf Boot-Viren prüfen": aktiviert Optionskästchen "Disketten beim Herunterfahren des Systems nicht prüfen": aktiviert Bild 4-7 Dialogfeld "Disketten prüfen" 34 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen Einstellungen im Dialogfeld "Aktionen" Aufruf über das Dialogfeld "Symantec Antivirus-Client-Auto-Protect-Optionen" im Register "Dateisystem", Schaltfläche "Aktionen" Auswahl in der Klappliste "Erste Aktion": Nichts unternehmen (nur protokollieren) Diese Auswahl gilt auch für "Nicht-Makrovirus" und "Sicherheitsrisiken" Bild 4-8 Dialogfeld "Aktionen" Whitepaper, 09/2007, A5E01057945-01 35
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen Einstellungen im Dialogfeld "Benachrichtigungsoptionen" Aufruf über das Dialogfeld "Symantec Antivirus-Client-Auto-Protect-Optionen" im Register "Dateisystem", Schaltfläche "Benachrichtigungen" Bereich "Erkennungsoptionen" Optionskästchen "Benachrichtigungsmeldung auf infiziertem Computer anzeigen": deaktiviert Optionskästchen "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen": deaktiviert Bereich "Fehlerbehebungsoptionen" Optionskästchen "Prozesse automatisch beenden": deaktiviert Optionskästchen "Dienste automatisch anhalten": deaktiviert Bild 4-9 Dialogfeld "Benachrichtigungsoptionen" 36 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen 4.6.2 Internet-E-mail Einstellungen der Antivirus-Client-Auto-Protect-Optionen im Register "Internet-E-Mail" Optionskästchen "Internet-E-Mail - Auto-Protect aktivieren": deaktiviert Bild 4-10 Dialogfeld "Client-Auto-Protect-Optionen": Register "Internet-E-Mail" Whitepaper, 09/2007, A5E01057945-01 37
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen 4.6.3 Lotus Notes Einstellungen im Dialogfeld "Client-Auto-Protect-Optionen": Register "Lotus Notes" Optionskästchen "Lotus Notes - Auto-Protect aktivieren": deaktiviert Bild 4-11 Dialogfeld "Client-Auto-Protect-Optionen": Register "Lotus Notes" 38 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.6 Client-Auto-Protect-Optionen 4.6.4 Microsoft Exchange Einstellungen im Dialogfeld "Client-Auto-Protect-Optionen": Register "Microsoft Exchange" Optionskästchen "Microsoft Exchange - Auto-Protect aktivieren": deaktiviert Bild 4-12 Dialogfeld "Client-Auto-Protect-Optionen": Register "Microsoft Exchange" Whitepaper, 09/2007, A5E01057945-01 39
Konfiguration Symantec AntiVirus V10.2 4.7 Client-Administratoroptionen 4.7 Client-Administratoroptionen Einstellungen im Dialogfeld "Client-Administratoroptionen": Register "Allgemein" Bereich "Aktionen" Optionskästchen "Meldung bei veralteten Definitionen anzeigen": deaktiviert Optionskästchen "Meldung anzeigen, wenn Symantec Antivirus ohne Virendefinition läuft": deaktiviert Bild 4-13 Dialogfeld "Client-Administratoroptionen": Register "Allgemein" 40 Whitepaper, 09/2007, A5E01057945-01
Konfiguration Symantec AntiVirus V10.2 4.7 Client-Administratoroptionen Einstellungen im Dialogfeld "Client-Administratoroptionen": Register "Sicherheit" Bereich "Entladen/Deinstallieren" Optionskästchen "Benutzer darf keine Symantec AntiVirus-Dienste entladen": aktiviert Optionskästchen "Bei Deinstallation der Symantec Antivirus-Client Software Kennwort abfragen" aktiviert Bild 4-14 Dialogfeld "Client-Administratoroptionen": Register "Sicherheit" Whitepaper, 09/2007, A5E01057945-01 41
Konfiguration Symantec AntiVirus V10.2 4.8 Client Manipulationsschutz Optionen 4.8 Client Manipulationsschutz Optionen Bereich "Benachrichtigungen": Optionskästchen "Meldung auf betroffenem Computer anzeigen": deaktiviert Bild 4-15 Dialogfeld "Client Manipulationsschutz Optionen" 42 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5 5.1 Einleitung Für PCS 7 V7.0 SP1 ist ausschließlich die Version 8.5i des Virenscanners "McAfee VirusScan" freigegeben. Die im Folgenden gezeigten Einstellungen stellen einen Auszug der Einstellungen dar, die im Verträglichkeitstest mit PCS 7 V7.0 SP1 verwendet wurden. 5.2 Konfiguration der Richtlinien Sämtliche nachfolgend aufgeführten Einstellungen für "Workstation" müssen immer auch für "Server" ausgeführt werden. Whitepaper, 09/2007, A5E01057945-01 43
Konfiguration McAfee VirusScan V8.5i 5.3 Zentrale Einstellungen 5.3 Zentrale Einstellungen 5.3.1 Register "Einstellungen" Einstellung "Globale Aktualisierung aktivieren"; Optionsfeld "nein": aktiviert Bild 5-1 Dialogfeld epolicy Orchestrator, Register "Servereinstellungen" 44 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.3 Zentrale Einstellungen 5.3.2 Tasks im Prozessbetrieb Im Prozessbetrieb wurde mit folgenden Tasks keine Beeinträchtigung festgestellt: Tasktyp Software Parameter Zweck Agentenreaktivierung Aktualisierung epolicy Orchestrator Agent epolicy Orchestrator Agent DAT, Extra.DAT, SuperDAT Damit wird der Agent auf einem Virenscan- Client aufgefordert, mit dem epolicy Orchestrator-Server Kontakt aufzunehmen. Aktualisieren der Virensignaturdateien 5.3.3 Verteilen der Virendefinitionsdateien Task und Planungseinstellungen Bild 5-2 Dialogfeld "epolicy Orchestrator-Planer", Register "Task" Whitepaper, 09/2007, A5E01057945-01 45
Konfiguration McAfee VirusScan V8.5i 5.3 Zentrale Einstellungen Stellen Sie sicher, dass für die Aktualisierungstask als Tasktyp "Aktualisierung" ausgewählt ist. Erst wenn die Virendefinitionsdateien verteilt werden sollen, aktivieren Sie das Optionskästchen "Aktivieren (geplante Task wird zu festgelegter Zeit ausgeführt"). Der Virenscan-Client aktualisiert die Virendefinitionsdateien entsprechend den Planungseinstellungen, wenn er die geänderte Richtlinie übernommen hat. Wählen Sie in der Klappliste "Task planen" die Einstellung "Sofort ausführen". Bild 5-3 Dialogfeld "epolicy Orchestrator-Planer", Register "Plan" 5.3.4 Prüfen der Verteilung der Virendefinitionsdateien Die Übersicht finden Sie über die Baumstruktur McAffee > Reporting > epo-datenbanken > <Datenbankname> > Abfragen > Ereignisse > Alle Produktaktualisierungsereignisse. Bild 5-4 Prüfen der Verteilung der Virendefinitionsdateien 46 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff 5.4 Allgemeine Richtlinien beim Zugriff 5.4.1 Register "Allgemein" Optionskästchen "Disketten beim Herunterfahren": deaktiviert Bild 5-5 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Allgemein" Whitepaper, 09/2007, A5E01057945-01 47
Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff 5.4.2 Register "ScriptScan" Optionskästchen "ScriptScan aktivieren": aktiviert Bild 5-6 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "ScriptScan" SIMATIC Batch Server / BATCH Single Station Auf einem SIMATIC BATCH Server / BATCH Single Server muss im Feld "Auszuschließende Prozesse" die Applikation "bfmappersrvx.exe" eingetragen werden. 48 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff 5.4.3 Register "Blockieren" Optionskästchen "Die Verbindung blockieren": deaktiviert Bild 5-7 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Blockieren" Whitepaper, 09/2007, A5E01057945-01 49
Konfiguration McAfee VirusScan V8.5i 5.4 Allgemeine Richtlinien beim Zugriff 5.4.4 Register "Nachrichten" Optionskästchen "Bei Auftreten einer Erkennung Nachrichtendialogfeld anzeigen": deaktivert Optionskästchen "Nachrichten aus der Liste entfernen": deaktiviert Optionskästchen "Dateien säubern": deaktiviert Optionskästchen "Dateien löschen": deaktiviert Bild 5-8 Dialogfeld "Allgemeine Richtlinien bei Zugriff": Register "Nachrichten" 50 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge 5.5 Richtlinien bei Zugriff für Standardvorgänge 5.5.1 Register "Erkennung" Optionskästchen "Beim Lesen vom Datenträger": deaktiviert Optionskästchen "Auf Netzlaufwerken": deaktiviert Bild 5-9 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erkennung" Whitepaper, 09/2007, A5E01057945-01 51
Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge 5.5.2 Register "Erweitert" Optionskästchen "Inhalt von Archiven scannen (z. B. ZIP)": aktiviert Bild 5-10 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Erweitert" 52 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge 5.5.3 Register "Aktionen" Wichtiger Hinweis Im Sicherheitskonzept von PCS 7 ist ein folgendes Verhalten beim Auffinden eines Computer-Virus gefordert: Nach dem Auffinden des Virus: Warnmeldung Anschließend keine weiteren Dateioperationen ohne den Eingriff des Nutzers Damit soll sichergestellt werden, dass keine wichtigen Projektdaten zerstört werden. Im McAfee VirusScan 8.5i ist dieses Verhalten nicht konfigurierbar. Wählen Sie in der Klappliste "Primäre Aktion Wenn eine Bedrohung gefunden wird:" die Einstellung "Dateien automatisch säubern". Wählen Sie in der Klappliste "Sekundäre Aktion Wenn die erste Aktion fehlschlägt:" die Einstellung "Zugriff auf Dateien verweigern". Bild 5-11 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Aktionen" Whitepaper, 09/2007, A5E01057945-01 53
Konfiguration McAfee VirusScan V8.5i 5.5 Richtlinien bei Zugriff für Standardvorgänge 5.5.4 Register "Unerwünschte Programme" Wählen Sie in der Klappliste "Primäre Aktion Wenn ein unerwünschtes Programm gefunden wird:" die Einstellung "Zugriff auf Dateien erlauben". Hinweis Damit soll erreicht werden, dass eine fälschlicherweise als "unerwünschtes Programm" identifizierte Software nicht in ihrer Funktion eingeschränkt wird. Bild 5-12 Dialogfeld "Richtlinien bei Zugriff für Standardvorgänge": Register "Unerwünschte Programme" 54 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko 5.6 Richtlinien bei Zugriff für Vorgänge mit geringem Risiko Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.7 Richtlinien bei Zugriff für Vorgänge mit hohem Risiko Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.8 Richtlinien für das Scannen von E-Mails beim Empfang Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. Whitepaper, 09/2007, A5E01057945-01 55
Konfiguration McAfee VirusScan V8.5i 5.9 Richtlinien für die Benutzeroberfläche 5.9 Richtlinien für die Benutzeroberfläche 5.9.1 Register "Anzeigeoptionen" Optionsfeld "Symbol in Systemablage mit minimalen Menüoptionen anzeigen": aktiviert Optionskästchen "Startbildschirm aktivieren": deaktiviert Bild 5-13 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Anzeigeoptionen" 56 Whitepaper, 09/2007, A5E01057945-01
Konfiguration McAfee VirusScan V8.5i 5.9 Richtlinien für die Benutzeroberfläche 5.9.2 Register "Kennwortoptionen" Optionsfeld "Kennwortschutz für alle aufgelisteten Elemente:" aktivieren Bild 5-14 Dialogfeld "Richtlinien für die Benutzeroberfläche": Register "Kennwortoptionen" Whitepaper, 09/2007, A5E01057945-01 57
Konfiguration McAfee VirusScan V8.5i 5.10 Warnungsrichtlinien 5.10 Warnungsrichtlinien Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.11 Richtlinien für den Zugriffsschutz Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.12 Richtlinien für den Pufferüberlaufschutz Optionskästchen "Pufferüberlaufschutz aktivieren": deaktiviert Bild 5-15 Dialogfeld "Richtlinien für den Pufferüberlaufschutz": Register "Pufferüberlaufschutz" 5.13 Richtlinien für unerwünschte Programme Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 5.14 Quarantänemanager-Richtlinien Richtlinienname: McAfee Default Für diese Richtlinien werden die Defaulteinstellungen von McAfee beibehalten. 58 Whitepaper, 09/2007, A5E01057945-01