Společnost AVEVA vydala upozornění na bezpečnostní aktualizaci firmy Microsoft KB5004442, která může mít potencionální vliv na AVEVA software.
Cílem upozornění je připravit se v dostatečném předstihu na očekávané změny.
Situace
Aktualizace operačních systémů Windows KB5004442, z důvodu kybernetické bezpečnosti, zpřísňuje chování protokolu DCOM a je schopna pro úroveň autentifikace vyžadovat tzv. Packet Integrity, což může mít vliv na síťovou komunikaci přes protokol OPC DA.
Tyto změny mohou ovlivnit komunikaci mezi OPC klientem (typicky FSGateway, OI Gateway nebo Application Server) a vzdáleným OPC Serverem. Pokud jsou OPC klient a OPC Server na jednom PC, nedojde k žádným změnám.
Aktualizace KB5004442 má 3 fáze:
- Od června 2021 je nainstalovaná, ale není aktivní. Lze ji povolit v registrech a otestovat vliv na OPC DA komunikaci využívající DCOM.
- Během prvního čtvrtletí 2022 bude aktualizace ve výchozím stavu aktivní. V případě potřeby ji lze zakázat, což je v tuto chvíli i doporučení firmy AVEVA.
- Během druhého čtvrtletí 2022 bude aktualizace vždy aktivní bez možnosti ji zakázat.
Řešení
- V případě, že aktualizace má vliv na stávající OPC DA komunikaci, společnost Pantek (CS) v tuto chvíli doporučuje, aby OPC DA síťová komunikace využívající DCOM byla nahrazena protokolem SuiteLink využívající TCP protokol (vyžaduje pouze jediný otevřený port). V praxi to znamená, nainstalovat OI Gateway (příp. FSGateway) na stejný počítač, kde běží OPC Server a překonfigurovat nastavení komunikace.
- Druhou alternativou je aktualizace stávající OPC DA komunikace na OPC UA protokol, který nepoužívá DCOM a je navržen v souladu s požadavky kybernetické bezpečnosti.
- Případné další tipy se mohou objevit při aktualizaci dokumentu Tech Alert TA000032813.
Další informace
Tech Alert TA000032813 – System Platform issue with Microsoft Update KB5004442 (Tech Alert bude průběžně aktualizován, především s ohledem na finální fázi v druhém čtvrtletí 2022, kdy aktualizace bude stále aktivní.)
