哪些微软安全补丁包（安全更新和重要更新）是经过SIMATIC PCS7兼容性测试的？

微软定期修复其产品的安全隐患，并以官方补丁的方式发布给用户。

注意事项（2023年1月26日）

常规事项

Windows DCOM服务器强化措施注意事项 (KB5004442)

已结束外延支持的微软产品的注意事项

执行了兼容性测试的Windows更新列表

微软Windows Server更新服 务（WSUS）管理补丁程序的推荐步骤

更多信息

注意

注意事项（2023年1月26日）

Windows Server 2016域控中的KB5019964（11月）和KB5021235（12月），Windows Server 2019域控中的KB5019966（11月）和KB5021237（12月）的兼容性问题，已经在1月后的更新中解决。

常规事项

最新的更新通常在每月的第二个星期二发布。Microsoft将更新划分成多个不同的类：

support.microsoft.com/help/824684

为确保SIMTIC PCS 7安全，必须安装“安全更新”、“关键更新”、“更新汇总”、“更新”和“定义更新”（"Security Updates", "Critical Updates", "Update Rollups", "Updates" and "Definition Updates"）”类别的补丁
   
为此，Siemens建立了一套PCS 7测试配置用于测试更新和PCS 7软件的兼容性。该测试系统总是使用最新的PCS 7支持版本和最新的用于PCS 7的微软产品。与微软已发布的更新保持一致，测试系统定期执行兼容性测试。

附录xls格式的表格是已执行兼容性测试的微软更新详细信息。该文档尽可能地在微软发布指定类别更新后两三周内更新。 此表格表示PCS 7测试配置下安装的微软产品，所以，无法排除与工程中安装产品的差异。如果安装发布列表之外的更多更新--额外的安装产品/软件组件所需更新，则由用户决定是否安装这些更新。

我们建议安装命名类别的所有可用更新，以确保系统受到保护。

但是，我们无法声明未测试过的更新的兼容性。因此，在生产环境中全面安装未测试更新之前，我们建议先在一个独立的项目特定的测试环境下安装所有更新。

Windows DCOM服务器强化措施注意事项 (KB5004442)

2021年6月，微软发布了一个关于Windows服务器强化功能的公报，因此，执行了这个更新和PCS 7 V8.2、V9.0和V9.1的兼容性测试。

微软推荐安装此更新，微软公告KB5004442—Manage changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414) 描述了更新变化和时间线。

由于Windows DCOM服务器强化，以下SIMATIC PCS  7 产品需要更新：

• Open OS V9.1 SP1  109808849
• Open OS V9.0 Upd2  109817373
• Open OS V8.2 Upd2 (计划2023第一季度更新) 109757796

对于其他所有没有提到的SIMATIC  PCS 7 产品，目前未发现受到Windows DCOM服务器强化的影响。
关于SIMATIC PCS 7产品列表添加或者变化，请经常检查FAQ中的这部分。

为确保微软的Windows DCOM服务器强化措施不会引起上述SIMATIC PCS 7产品不兼容问题，推荐项目根据Windows DCOM服务器强化时间线单独规划补丁管理。

根据是否使用了上述SIMATIC PCS 7产品，以及是否在SIMATIC PCS 7项目中安装了按照微软时间线发布的更新，必须注意微软提供的、用于禁用强化措施的注册表设置。安装上述SIMATIC PCS 7产品更新之后，就可以撤销注册表设置了。

关于微软发布更新的时间线，参考上面KB5004442链接。

注意

对于使用OPC经典客户端，推荐确保PCS 7项目和Windows DCOM服务器强化兼容。根据当前状态，OPC UA应用不受此变化影响。

已结束外延支持的微软产品的注意事项

针对已结束外延支持的微软软件产品的、做为扩展安全更新（ESU）项目一部分发布的更新，SIMATIC PCS 7没有兼容性测试。

已结束外延支持的微软产品可能弹出消息显示生命周期结束，可以出现在WinCC运行系统之上。

请注意弹出消息信息和选项以永久抑制，此设置由每个用户单独执行。

执行了兼容性测试的Windows更新列表
描述下载依照IEC 62443-2-3的Excel文件  security_patches_iec.xls (4,0 MB) 依照 IEC 62443-2-3的XML和模型的压缩文件  security_patches_iec.zip (259,7 KB)  表 1

某个补丁在极少数情况下可能会对我们的软件产生负面影响，标注在以上列表的“注释”处。此外，我们将以时事通讯的方式尽快地通知您有关迹象及相应的补救措施。

微软Windows Server更新服 务（WSUS）管理补丁程序的推荐步骤

以下步骤假定您已在PCS 7工厂中安装了WSUS，安装的WSUS版本取决于工厂中使用的最新操作系统，推荐使用最新版的WSUS。关于如何使用WSUS参考条目38621083。

步骤
1 、WSUS 配置

在"Products and Classifications" 界面选择 "Products" 页中所有和工厂相关微软产品。

2、WSUS 配置

在 "Products and Classifications" 界面选择"Classifications" 页中 "定义更新" "安全更新" “更新汇总”，“更新”和 "关键更新"选项。

图 1

3、WSUS 配置
创建项目特定的组用于更新发布。

4、下载上述的的"security_patches_iec.xls" Excel表格至您的电脑

5、打开表格，其中按照“ReleaseDate”栏分类，顶部即为当前发布日期，日期与进一步处理（第7点）有关，例如选择"PCSVxy"。

6、检查 "Comments"列的注意内容。

7、WSUS 管理
选择上述类别中所有可用的更新和未经过检验的更新，然后仅取消上述Excel表格中没有发布的补丁。

选择第5点中提到的发布日期截止的、上述类别中所有可用的更新和未批准的更新，然后仅取消上述Excel表格中没有发布的补丁。

只选择比“ReleaseDate”日期更新的更新

在创建的项目组中批准更新安装。

8、用 administrative 权限账户登陆WSUS的客户端，检查客户端更新是否可用（客户端已经配置接收WSUS更新）。

9、确认已停止PCS 7运行系统，安装所有可用更新，重启计算机并检查是否有更多更新可安装。

更多信息

关于微软补丁管理和WSUS组态的更多信息，参考以下链接：

• SIMATIC Process Control System PCS 7 Compendium Part F - Industrial Security (V9.1)

有关Microsoft更新和WSUS详细描述，访问Microsoft网站。

• Microsoft Security Bulletins (English)

https://technet.microsoft.com/en-us/library/security/dn610807.aspx

• Microsoft WSUS
  https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

注意

• 查询计算机已安装的补丁，参考条目48844294。
• 该指导仅适用于PCS 7 V7.0 SP3及更高版本。

警告

以上描述的步骤并不适用于需要专门发布使用的微软Service Packs（服务包）。如果补丁需要更高版本的微软软件，请参考 “PCS 7 Readme”文件或者条目64847781 来检查PCS 7 是否发布使用新版本软件或者Service Packs（服务包）。

关键字

Windows更新服务，安全补丁

安全信息
为了防止工厂、系统、机器和网络受到网络攻击，需要实施并持续维护先进且全面的工业信息安全保护机制。Siemens 的产品和解决方案仅构成此类概念的其中一个要素。更多网络安全的信息，请访问

https://www.siemens.com/cybersecurity#Ouraspiration.

您可以前往全球资源库查看此文档： http://support.automation.siemens.com/CN/view/zh/18490004

剩余80%未阅读，请登录后下载/查看文档