Security-Hinweise 1

Vorwort 2

Konfiguration 3
SIMATIC

Prozessleitsystem PCS 7
Konfiguration Trend Micro™
OfficeScan™ Server XG

Inbetriebnahmehandbuch

03/2018
A5E44395614-AA
Rechtliche Hinweise
Warnhinweiskonzept
Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von
Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck
hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden
die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

GEFAHR
bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden
Vorsichtsmaßnahmen nicht getroffen werden.

WARNUNG
bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden
Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT
bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht
getroffen werden.

ACHTUNG
bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen
werden.
Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet.
Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben
Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.
Qualifiziertes Personal
Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung
qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen
Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf
Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen
und mögliche Gefährdungen zu vermeiden.
Bestimmungsgemäßer Gebrauch von Siemens-Produkten
Beachten Sie Folgendes:

WARNUNG
Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen
Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von
Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen
Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und
Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den
zugehörigen Dokumentationen müssen beachtet werden.

Marken
Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der
Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für
deren Zwecke die Rechte der Inhaber verletzen kann.
Haftungsausschluss
Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.
Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung
keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige
Korrekturen sind in den nachfolgenden Auflagen enthalten.

Siemens AG A5E44395614-AA Copyright © Siemens AG 2018.

Division Process Industries and Drives Ⓟ 05/2018 Änderungen vorbehalten Alle Rechte vorbehalten
Postfach 48 48
90026 NÜRNBERG
DEUTSCHLAND
Inhaltsverzeichnis

1 Security-Hinweise.........................................................................................................................................5
2 Vorwort.........................................................................................................................................................7
3 Konfiguration ...............................................................................................................................................9
3.1 Einleitung.................................................................................................................................9
3.2 TMOS Funktionen....................................................................................................................9
3.2.1 Installation..............................................................................................................................10
3.2.2 Allgemeines............................................................................................................................10
3.2.3 Anti-Virus................................................................................................................................10
3.2.4 Behavior Monitoring...............................................................................................................12
3.2.5 Device Control........................................................................................................................12
3.2.6 Predictive Machine Learning..................................................................................................13
3.2.7 Updates..................................................................................................................................13

Konfiguration Trend Micro™ OfficeScan™ Server XG

Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA 3
Inhaltsverzeichnis

Konfiguration Trend Micro™ OfficeScan™ Server XG

4 Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA
Security-Hinweise 1
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren
Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.
Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist
es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und
kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die
Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts.
Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen
und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem
Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies
notwendig ist und entsprechende Schutzmaßnahmen (z. B. Nutzung von Firewalls und
Netzwerksegmentierung) ergriffen wurden.
Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen
beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter:
https://www.siemens.com/industrialsecurity
Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch
sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald
die entsprechenden Updates zur Verfügung stehen, und immer nur die aktuellen
Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter
Versionen kann das Risiko von Cyber-Bedrohungen erhöhen.
Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial
Security RSS Feed unter:
https://www.siemens.com/industrialsecurity

Konfiguration Trend Micro™ OfficeScan™ Server XG

Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA 5
Security-Hinweise

Konfiguration Trend Micro™ OfficeScan™ Server XG

6 Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA
Vorwort 2
Die vorliegende Dokumentation beschreibt die zu ändernden Einstellungen für Trend Micro™
OfficeScan™ Server (TMOS) beim Einsatz in einer Industrie Anlage.
Die Konfiguration stellt einen Auszug der Einstellungen von TMOS dar, die im
Verträglichkeitstest mit PCS 7 und WinCC verwendet wurden.

Wichtiger Hinweis zu diesem Whitepaper

Hinweis
Die empfohlenen Einstellungen dieser Virenscanner sind so gewählt, dass der zuverlässige
Echtzeitbetrieb von PCS 7 durch die Virenscanner-Software nicht beeinträchtigt wird.
Diese Empfehlungen beschreiben den aktuell bekannten, bestmöglichen Kompromiss
zwischen dem Ziel, Viren- und Schad-Software möglichst umfassend zu entdecken und
unwirksam zu machen und dem Ziel, ein möglichst deterministisches Zeitverhalten des PCS
7 Prozessleitsystems in allen Betriebsphasen zu gewährleisten.
Die Wahl anderer Einstellungen der Virenscanner kann sich unter Umständen ungünstig auf
das Echtzeitverhalten auswirken.

Zweck der Dokumentation

Diese Dokumentation beschreibt die für PCS 7 und WinCC empfohlenen Anpassungen der
Virenscanner-Software nach der Installation des Virenscanners.

Erforderliche Kenntnisse
Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung,
Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 bzw. WinCC
tätig sind. Administrationskenntnisse und IT-Techniken für Microsoft Windows
Betriebssysteme werden vorausgesetzt.
Des Weiteren sollte das Sicherheitskonzept PCS 7 & WinCC bekannt sein.
Weitere Informationen hierzu finden Sie im Internet unter folgender Adresse:
Sicherheitskonzept (https://support.industry.siemens.com/cs/ww/de/view/60119725)

Konfiguration Trend Micro™ OfficeScan™ Server XG

Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA 7
Vorwort

Gültigkeitsbereich der Dokumentation

Die Dokumentation ist gültig für prozessleittechnische Anlagen, die mit der jeweiligen
Produktversion von PCS 7 bzw. WinCC realisiert sind.

Hinweis
Beachten Sie, dass bestimmte Virenscanner nur für bestimmte Produktversionen freigegeben
sind. Weitere Informationen hierzu finden Sie im Internet unter folgender Adresse:
Kompatibilitäts-Tool (http://www.siemens.de/kompatool)

Konfiguration Trend Micro™ OfficeScan™ Server XG

8 Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA
Konfiguration 3
3.1 Einleitung
Mit Trend Micro™ OfficeScan™ Server (TMOS) werden zusätzliche Funktionen, über den
klassischen Virenscanner hinaus freigegeben. Die nachfolgenden Konfigurationen beziehen
sich auf die zentral verwaltete Variante des TMOS, die mittels TMOS Web Console konfiguriert
wird. Der Einsatz einer lokalen, nicht verwalteten Installation ist erlaubt, wird aber nicht
beschrieben. Des Weiteren wird nur auf eine englische Installation eingegangen. Alle
beschriebenen Konfigurationen sind Abweichungen von den Default Konfigurationen, das
heißt nicht beschriebene Einstellungen werden nicht verändert.

3.2 TMOS Funktionen

TMOS hat folgende Funktionen (konfigurierbar über den TMOS Web Console)
● Anti-Virus for desktops
● Anti-Virus for servers
● Ransomware Protection
● Connected Thread Defence
● Plug-in Manager and Plug-in Solutions
● Centralized Management
● Security Risk Protection
● Damage Cleanup Services
● Web Reputation
● OfficeScan Firewall
● Data Loss Prevention
● Device Control
● Behavior Monitoring
Für den Einsatz im PCS 7 und WinCC Umfeld sind folgende Module und Einstellungen
empfohlen und auf Verträglichkeit getestet:
● Anti-Virus for desktops
● Anti-Virus for servers
● Antivirus for desktops
● Antivirus for servers
● Web Reputation and Anti-spyware for desktops

Konfiguration Trend Micro™ OfficeScan™ Server XG

Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA 9
Konfiguration
3.2 TMOS Funktionen

● Web Reputation and Anti-spyware for servers

● Damage Cleanup Services
Folgende Funktionen sind nicht empfohlen und werden im Verträglichkeitstest nicht geprüft:
● Firewall for endpoints – Nur die Windows-Firewall ist für den Einsatz mit PCS 7 und WinCC
freigegeben, da diese automatisch, je nach installiertem Produkt, konfiguriert wird.
● Smart Protection / Web reputation Settings – File and Web Reputation; Es ist nicht
empfohlen Daten mit Dritten auszutauschen.
Der Einsatz nicht empfohlener Module und Einstellungen erfolgt auf eigene Verantwortung.

3.2.1 Installation
Während der Installation sind folgende Optionen zu konfigurieren, alle anderen Optionen
können die Default Konfiguration behalten.

Installation/Setup Install integrated Smart Protection Server No. ...

Installation/Setup Enable Trend Micro Smart Feedback Uncheck

Installation/Setup Enable Firewall Uncheck

Installation/Setup Anti Spyware assessment Feature No. ...

Installation/Setup Enable web reputation policy Uncheck

3.2.2 Allgemeines
Alle OfficeScan-Clients müssen am Server als "Internal Clients" konfiguriert werden.

3.2.3 Anti-Virus
Die nachfolgenden Konfigurationen beziehen sich auf eine Default Installation.

Agents – Global Agent Settings

Scan Settings Do not scan files in the compressed Set to 1000

file if the size exceeds
Scan Settings In compressed file, scan only the first Set to 100000

Konfiguration Trend Micro™ OfficeScan™ Server XG

10 Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA
 Konfiguration
3.2 TMOS Funktionen

Scan Settings Clean/Delete infected files within Uncheck

compressed files
Alert Settings Display a notification message if the Uncheck
endpoint needs a restart to load a ker‐
nel mode driver

Agents – Agent Management

Settings -> Scan Settings -> Conventional scan Select

Scan Methods
Settings-> Scan Settings-> Created/modified Select
Real-time Scan Settings->
Target-> User Activity on Files
Settings -> Scan Settings -> All scannable files Select
Real-time Scan Settings->
Target-> Scan Settings
Settings-> Scan Settings-> Scan the boot sector of the USB sto‐ Check
Real-time Scan Settings-> rage device after plugging in
Target-> Scan Settings
Settings-> Scan Settings-> Scan all files in removable storage de‐ Check
Real-time Scan Settings-> vice after plugging in
Target-> Scan Settings
Settings-> Scan Settings-> Quarantine malware variants detec‐ Check
Real-time Scan Settings-> ted in memory
Target-> Scan Settings
Settings-> Scan Settings-> Scan compressed files Set to 6
Real-time Scan Settings->
Target-> Scan Settings
Settings-> Scan Settings-> Scan OLE objects Set to 10
Real-time Scan Settings->
Target-> Scan Settings
Settings-> Scan Settings-> Use the same action for all virus/mal‐ Select
Real-time Scan Settings-> ware types Set 1st "Clean"
Action-> Virus/Malware
Set 2nd "Quarantine"
Settings-> Scan Settings-> Display a notification on the Endpo‐ Uncheck
Real-time Scan Settings-> ints when virus/malware is detected
Action-> Virus/Malware
Settings-> Scan Settings-> Deny access Select
Real-time Scan Settings->
Action-> Spyware/Grayware
Settings-> Scan Settings-> Display a notification on endpoints Uncheck
Real-time Scan Settings-> when spyware/grayware is detected
Action-> Spyware/Grayware
Settings-> Allow users to configure proxy set‐ Uncheck
Privileges and other Settings-> tings
Privileges->
Proxy Settings

Konfiguration Trend Micro™ OfficeScan™ Server XG

Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA 11
Konfiguration
3.2 TMOS Funktionen

Settings-> Perform "Update Now!" Uncheck

Privileges and other Settings->
Privileges->
Component Updates
Settings-> OfficeScan agents download updates Uncheck
Privileges and other Settings-> from the Trend Micro ActiveUpdate
Other Settings-> Update Settings Server
Settings-> Enable schedule-based updates on Uncheck
Privileges and other Settings-> OfficeScan agents
Other Settings-> Update Settings
Settings-> Display a notification when a web site Uncheck
Privileges and other Settings-> is blocked
Other Settings->
Web Reputation Settings
Settings-> Display a notification when a program Uncheck
Privileges and other Settings-> is blocked
Other Settings->
Behavior Monitoring Settings
Settings-> Display a notification when a C&C Uncheck
Privileges and other Settings-> callback is detected
Other Settings->
C&C Contact Alert Settings
Settings-> Display a notification when a threat is Uncheck
Privileges and other Settings-> detected
Other Settings->
Predictive Machine Learning Settings
Settings-> Privileges and other Set‐ Display a notification if the endpoint Uncheck
tings-> Other Settings-> Restart Noti‐ needs to restart to finish cleaning in‐
fication fected files

3.2.4 Behavior Monitoring

Die nachfolgenden Konfigurationen beziehen sich auf eine Default Installation.

Agents - Agent Management

Settings -> Enable Malware Behavior Blocking Uncheck

Behavior Monitoring Settings -> Ru‐
les -> Maleware Behavior Blocking

3.2.5 Device Control

Die nachfolgenden Konfigurationen beziehen sich auf eine Default Installation.
Nur die Verwendung von Device Control, um zum Beispiel die Verwendung von USB-Geräten
zu verhindern wird empfohlen.

Konfiguration Trend Micro™ OfficeScan™ Server XG

12 Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA
 Konfiguration
3.2 TMOS Funktionen

Agents - Agent Management

Settings -> Display a notification on endpoints Uncheck

Device Control Settings -> when OfficeScan detects unauthori‐
Internal Agents-> Notification zed device access

3.2.6 Predictive Machine Learning

Die nachfolgenden Konfigurationen beziehen sich auf eine Default Installation.

Agents - Agent Management

Settings->Predictive Machine File Set to Log only

Learning Settings->Detection
Settings

Settings->Predictive Machine Process Set to Log only

Learning Settings->Detection
Settings

3.2.7 Updates
Die nachfolgenden Konfigurationen beziehen sich auf eine Default Installation.
Die Einstellungen um den Trend Micro Update-Server im Internet zu erreichen oder einen
überlagerten Update-Server, müssen der jeweiligen Netztopologie angepasst werden.

Updates – Agents - Automatic Update

Event-triggered Update Initiate component update on agents Uncheck

Event-triggered Update
immediately after the OfficeScan ser‐
ver downloads a new component
Let agents initiate component update Uncheck
after restarting and connecting to the
OfficeScan server (independent
agents excluded)

Da es nicht möglich ist "Schedule-based Update" zu deaktivieren, wählen Sie:

Schedule-based Update Daily Set to a start time of

your choice and set
"Update for a period
of" to 1 hour.

Konfiguration Trend Micro™ OfficeScan™ Server XG

Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA 13
Konfiguration
3.2 TMOS Funktionen

Konfiguration Trend Micro™ OfficeScan™ Server XG

14 Inbetriebnahmehandbuch, 03/2018, A5E44395614-AA