dataFEED OPC Suite V5.20轻松应对Windows DCOM安全更新
供稿:Softing 中国
- 关键词:OPC,Windows,DCOM
- 摘要:Softing新发布的dataFEED OPC Suite 5.20版本提供Windows安全更新补丁KB5004442(CVE-2021-26414)所需的身份验证级别“数据包完整性”和“数据包保密性”,并支持安全更新后的OPC Classic远程网络通信。
| 针对DCOM的Windows安全更新KB5004442(CVE-2021-26414)
2021年6月8日,微软发布了针对DCOM的Windows安全更新KB5004442(CVE-2021-26414)——强制更改了Windows操作系统DCOM安全机制。该更新要求DCOM应用程序提供“数据包完整性”身份验证级别,否则可能会出现无法兼容的问题。
分布式组件对象模型(DCOM)远程协议是一种使用远程过程调用(RPC)公开应用程序对象的协议,它支持远程过程调用,并且可用于网络设备的软件组件之间的通信。
Windows安全更新链接如下:
KB5004442 — 管理Windows DCOM Server安全功能旁路(CVE-2021-26414的更改)。
| 对于目前的OPC Classic通信有什么影响?
OPC Classic正是使用了DCOM协议进行计算机到计算机的网络通信。目前OPC Classic应用程序使用的身份验证主要是“无”或者“所有人”,因此Windows安全更新KB5004442终止了现有的基于DCOM的OPC Classic远程通信。如果OPC Classic应用程序不支持“数据包完整性”身份验证,那么OPC Classic用户的数据通信将会受到影响,而运行在同一台计算机上的OPC Classic服务器和客户端之间的通信不会受到影响。
从2022年6月14日起,所有Windows版本都将对KB5004442安全补丁进行更新。而到2023年3月14日之前,您必须在系统环境中完成测试,以解决补丁更新和应用程序的兼容性问题。
| Softing的解决方案
• 解决方案一:更新至Softing dataFEED OPC Suite 5.20及以上版本
Softing新发布的dataFEED OPC Suite 5.20版本提供Windows安全更新补丁KB5004442(CVE-2021-26414)所需的身份验证级别“数据包完整性”和“数据包保密性”,并支持安全更新后的OPC Classic远程网络通信。
dataFEED OPC Suite是用于OPC UA和OPC Classic通信以及单个产品中的云连接的软件解决方案。通过集成的OPC UA服务器(包括存储与转发),dataFEED OPC Suite可以安全可靠地访问所有知名制造商的PLC,例如Siemens SIMATIC S7、Rockwell ControlLogix、B&R、Mitsubishi和Modbus控制器(像BECKHOFF TwinCAT、施耐德PLC等)。
作为两种OPC标准之间的网关,dataFEED OPC Suite支持将现有的OPC Classic组件和应用程序集成到现代工业4.0 OPC UA解决方案中。通过MQTT和REST协议,dataFEED OPC Suite可将生产数据传输到物联网云或博世PPM和西门子MindSphere等平台中。此外,dataFEED OPC Suite不仅支持将生产数据存储在本地文件、SQL数据库或MongoDB和CouchDB中,而且支持广泛的数据预处理功能,还可以轻松灵活地对数据进行处理,再将处理过的数据转发出去,从而实现边缘计算功能。
(Softing dataFEED OPC Suite:一体化数据集成解决方案)
但是,通过传统的DCOM来实现OPC Classic网络通信存在以下两个弊端:
1. 设置DCOM时,需要用到的“dcomcfng”服务程序将深入Windows操作系统,因此任何错误的配置调整都可能导致系统不稳定;
2. 特别是端口135的开放会造成严重的安全漏洞——应用程序可以通过“远程过程调用(RPC)”来干扰Windows组件,并且毫无限制。实际上,这为许多计算机病毒提供了一个入口。
因此,Softing建议使用dataFEED OPC Tunnel而不是DCOM来进行OPC Classic网络通信。
• 解决方案二:Softing dataFEED OPC Tunnel
dataFEED OPC Tunnel利用OPC Tunnel巧妙绕过了DCOM通信配置,从而为您带来了一种安全且简单的跨网络OPC通信。dataFEED OPC Tunnel设计为“DCOM旁路”,允许在联网计算机上的OPC组件之间进行可靠、高性能的通信。
dataFEED OPC Tunnel需要安装在OPC客户端计算机和OPC服务器计算机上,并且客户端和服务器端的dataFEED OPC Tunnel通过可选加密的TCP/IP连接来进行通信。如此一来,在客户端和服务器应用程序之间交换的数据可通过TCP/IP来进行“Tunnel传输”,从而完全避免了耗时且复杂的DCOM安全配置。
(Softing dataFEED OPC Tunnel方案)
此外,通过dataFEED OPC Tunnel进行通信,不仅可使带宽需求大大减少,还能让性能有所提高。下图显示了通过DCOM来使用“标准OPC”(左)和dataFEED OPC Tunnel(右)通信时,在OPC客户端和OPC服务器之间的传输数据量(以kB为单位)。可见,与基于DCOM的数据传输相比......
请点击此处,查看剩余30%精彩内容!
| 往期回顾