DCOM Security

为了对
Microsoft
 分布式组件对象模型 (Distributed Component Object Model, DCOM) 强化修补程序 (MS KB5004442) 进行响应,由
Rockwell Automation
 产品使用的最低 DCOM 验证级别已提升为数据包完整性。
重要提示:
如果将本产品的最新版本与其他
FactoryTalk
 产品或使用经典 OPC -DA 连接的产品的早期未修补版本一起安装,则可能会由于 DCOM 验证级别的差异而导致连接断开。有关更多信息,请参见知识库文档 ID:IN39461 - Microsoft DCOM 强化信息 TOC
Microsoft
 为了对 CVE-2021-26414 进行响应而发布了 DCOM 强化修补程序。此修补程序将提升建立 DCOM 连接所需的最小 DCOM 验证级别。DCOM 被许多
Rockwell Automation
 产品使用,并可能受
Microsoft
 修补程序所做更改的影响。有关受影响
Rockwell Automation
 产品的更多信息,请参见知识库文档 ID:PN1581 - 产品通知 2022-01-001 - 安装 Microsoft DCOM 强化修补程序 (MS KB5004442) 后,Rockwell Automation 产品无法建立正确的 DCOM 连接
Rockwell Automation
 软件的影响
如果网络中的计算机上装有
Microsoft
 修补程序,则这些计算机上的客户端或服务器应用程序的 DCOM 验证级别需要更新到 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY,而其他计算机上的应用程序验证级别无此要求。因此,两种类型的计算机之间将无法通信。
小贴士:
  • 第三方分布式 OPC-DA 服务器和客户端应用程序也会受到影响。
  • 为确保通信正常,服务器应用程序和客户端应用程序的验证级别应相同。
解决方案
我们建议安装最新版本的
Rockwell Automation
 软件或安装相应软件版本的修补程序。
为避免兼容性问题,请确保您使用的所有
Rockwell Automation
 应用程序已更新。
如果网络中的任何计算机未安装
Microsoft
 修补程序,或者某些
Rockwell Automation
 应用程序未更新到最新版本,则可以降低所有计算机上 DCOM 应用程序的身份验证级别。要降低计算机上应用程序的验证级别,请执行以下操作之一:
  • 移除系统中所有工作站的 Microsoft DCOM 修补程序。
  • 采用以下方法之一切换系统中所有工作站的 DCOM 身份验证级别:
    • 使用
      注册表编辑器
      • FactoryTalk 软件
        • 打开
          注册表编辑器
          ,选择
          HKEY_LOCAL_MACHINE
           >
          SOFTWARE
           >
          WOW6432Node
          >
          Rockwell Software
           >
          FactoryTalk
          >
          Platform
          ,右键单击
          DCOMAuthLevel
          >
          修改
          ,然后将
          数值数据
          设置为 1。升级
          Rockwell Automation
           应用程序后的默认值为 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY),以前的默认值为 1 (RPC_C_AUTHN_LEVEL_PKT_NONE)。
      • RSLinx Classic 软件
        • 打开
          注册表编辑器
          ,选择
          HKEY_LOCAL_MACHINE
           >
          SOFTWARE
           >
          WOW6432Node
          >
          Rockwell Software
           >
          RSLinx
          ,右键单击
          DCOMAuthLevel
          >
          修改
          ,然后将
          数值数据
          设置为 1。升级
          Rockwell Automation
           应用程序后的默认值为 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY),以前的默认值为 1 (RPC_C_AUTHN_LEVEL_PKT_NONE)。
    • 使用
      DCOMAuthLevel
       实用程序。
      • 打开
        DCOMAuthLevel
        ,选择
        无 (用于后向兼容)
        ,然后单击
        确定
        小贴士:
        • 安装
          Microsoft
           修补程序后,将不支持低于 5 的验证级别。
        • 该工具将调整 FactoryTalk Services Platform、FactoryTalk Live Data OPC-DA 客户端接口、FactoryTalk Linx Gateway OPC-DA 服务器接口和 RSLinx Classic OPC-DA 服务器接口的身份验证级别。
        • FactoryTalk 软件或 RSLinx Classic 不使用或不支持 Windows Component Services DCOM 配置设置。
更改应用程序验证级别后,需要更新工作组和域设置。
将应用程序验证级别调整为 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 后,确保网络中包含
Rockwell Automation
 软件和第三方 OPC-DA 的所有用户都满足 DCOM 对 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 的要求:
  • 在工作组中工作时,需要在参与连接的每台计算机上本地创建每个用户。此外,工作组中的每个工作站都必须使用同一个用户帐户,在每台机器上使用相同的用户名和密码,以进行身份验证。大多数情况下,空密码无效。在某些情况下,即使用户帐户具有管理权限,也可能会出现 DCOM 身份验证问题,因此我们建议使用 Windows 内置管理员帐户,使 DCOM 身份验证正常工作。
  • 在域中工作时,不需要将本地用户和组添加到每台计算机上。如果喜欢在域中工作,则网络管理员可能需要实施更改。
有关更多信息,请参见 Microsoft 文档如何配置域用户或组
提供反馈
对本文档有问题或反馈吗? 请在这里提交您的反馈
Normal