Dnia 8 czerwca 2021 Microsoft wydał aktualizację zabezpieczeń, która zmieniła sposób, w jaki system operacyjny Windows wdraża zabezpieczenia interfejsu programistycznego DCOM. Ta aktualizacja Windows została przygotowana w odpowiedzi na niedawno odkryty słaby punkt zabezpieczeń (CVE 2021 26414). W wyniku tej zmiany oparta na DCOM komunikacja według standardu OPC może przestać działać, gdy zmiany w systemie Windows zaczną być wdrażane w 2022 roku.
Firma Microsoft wdroży kompletną aktualizację zabezpieczeń DCOM w trzech fazach, aby dać użytkownikom systemu operacyjnego Windows czas na odpowiednie przygotowanie się na te zmiany, zanim aktualizacja stanie się obowiązującą.
Użytkownikom pragnącym nadal używać swojej infrastruktury OPC Classic w architekturach opartych na komunikacji DCOM usilnie zaleca się, aby wykonali jedno z podanych niżej działań:
- Rozwiązanie problemu: Eliminacja zależności od DCOM poprzez przejście na rozwiązanie OPC UA Tunneller (UAT) firmy Matrikon, na które nie ma wpływu obecna lub późniejsza aktualizacja DCOM i która nie wymaga zmian w istniejących aplikacjach OPC.
- Złagodzenie problemu: Przetestowanie systemów i dokonanie niezbędnych przygotowań na zmiany wprowadzone przez obecną serię aktualizacji zabezpieczeń DCOM. Przyszłe aktualizacje najprawdopodobniej będą wymagały wykonania dalszych badań i poprawek.
Obecna aktualizacja Windows DCOM Security wymaga aplikacji OPC Classic do wspierania uwierzytelniania poziomu Integralności Pakietów, jeśli są one wykorzystywane w architekturach, które nadal opierają się na DCOM.
Aby aplikacja OPC Classic wspierała poziom uwierzytelniania Integralności Pakietów, funkcjonalność ta musi być wdrożona w samej tej aplikacji. Będą wymagane aktualizacje oprogramowania pochodzące od producentów tego oprogramowania, których aplikacje nie wspierają tego poziomu uwierzytelniania. Zatem użytkownicy końcowi nie będą mogli obejść tego problemu za pomocą zmian wprowadzonych w ustawieniach zabezpieczeń Windows.
Po wprowadzeniu aktualizacji zabezpieczeń DCOM:
- klienci OPC Classic, którzy nie wspierają poziomu uwierzytelniania Integralności Pakietów i opierają się na interfejsie DCOM, nie będą mogli połączyć się ze zdalnymi serwerami OPC Classic,
- lokalna komunikacja klient/serwer OPC Classic pozostanie niezmieniona,
- aplikacje OPC UA nie zmienią się, ponieważ OPC UA nie wykorzystuje DCOM.
Jak oprogramowanie OPC UA Tunneller firmy Matrikon rozwiązuje problemy związane z DCOM?
Oprogramowanie Matrikon UAT dostarcza rozwiązanie tego problemu, ponieważ komponenty UAT:
- tworzą połączenia lokalne z odpowiednimi klientami i serwerami firm trzecich,
- wykorzystują bezpieczne wzajemne połączenie, oparte na protokole TCP/IP (obecna aktualizacja zabezpieczeń DCOM nie wpływa na UAT).
Poprzez usunięcie zależności zdalnej komunikacji OPC od DCOM oprogramowanie Matrikon UAT:
- eliminuje problemy stworzone przez obecną aktualizację zabezpieczeń DCOM,
- uodparnia architektury OPC Classic na przyszłe aktualizacje zabezpieczeń Microsoft DCOM.
Na koniec UAT oferuje kompletną interoperacyjność z oprogramowaniem OPC Classic wszystkich producentów. Dzięki proaktywnemu instalowaniu UAT, klienci firmy Matrikon są uwolnieni od zależności od innych producentów oprogramowania OPC przy wdrażaniu zmian w swoim oprogramowaniu w celu wprowadzenia aktualizacji zabezpieczeń Microsoft DCOM.
Harmonogram aktualizacji zabezpieczeń DCOM
8 czerwca 2021
- Aktualizacje zabezpieczeń Windows DCOM są wdrożone, ale domyślnie wyłączone.
- MSFT dostarcza klucz rejestru do włączenia nowych funkcji.
8 marca 2022
- Nowe funkcje zabezpieczeń są domyślnie włączone.
- Użytkownicy mogą wyłączyć te funkcje za pomocą klucza rejestru.
14 czerwca 2022
- Nowe funkcje zabezpieczeń DCOM są domyślnie włączone.
- Administratorzy nie będą już dalej mieli możliwości wyłączenia tych funkcji zabezpieczeń.
Po tym terminie jedynymi możliwymi opcjami będą:
- Otrzymanie zaktualizowanych wersji aplikacji, na które mają wpływ aktualizacje DCOM, od producentów tych aplikacji.
- Przejście na wykorzystywanie rozwiązań takich jak UA Tuneller, które eliminuje użycie DCOM.
- Migracja na inne metody komunikacji, takie jak OPC UA.
W tym terminie nie będzie możliwości dokonania obejścia konfiguracyjnego w celu rozwiązania tego problemu z zabezpieczeniami.
Środki zaradcze firmy Matrikon
Klienci pragnący rozwiązać ten i przyszłe problemy związane z zabezpieczeniami DCOM w swoich architekturach opartych na OPC Classic, używając oprogramowania OPC UA Tunneller firmy Matrikon mogą skontaktować się ze swoim przedstawicielem handlowym firmy Matrikon w celu uzyskania informacji licencyjnych pod adresem matrikon@kfb.sk
Pobierz darmową wersję próbną oprogramowania Matrikon OPC UA Tunneller: Matrikon OPC UA Tunneller.