KB5004442 — 管理 Windows DCOM Server 安全功能旁路 opc (CVE-2021-26414 的更
需积分: 22 128 浏览量
2022-07-04
22:35:44
上传
评论
收藏 398KB PDF 举报
基于CVE-2021-26414的OPC Classic注意事项
2021年6月8日,微软发布了一个安全更新,强制更改了Windows操作系统DCOM安全机制。这次
Windows更新是针对最近发现的漏洞进行修补的,详细信息可参见CVE-2021-26414。由于此次更
新,当Windows系统运行2022年时,依赖DCOM的OPC通信可能会停止工作。
Windows DCOM安全更新概述
因为OPC Classic应用程序仍就依赖Windows DCOM安全机制,所以这些应用程序需要支持数据包
完整性级别的身份验证功能。
OPC Classic应用程序本身需要实现数据包完整性身份验证功能。如果OPC Classic应用程序不
支持数据包完整性身份验证,则需要软件开发商将软件进行更新,否则,最终OPC Classic用户
的数据通信将受到影响。
此次更新如何影响OPC Classic通信
COM和DCOM背景知识
所有的OPC Classic应用程序均基于微软专有的组件对象模型技术(COM)。因此,当基于COM技
术的应用程序尝试通过网络进行通信时,Windows会自动使用分布式COM功能(DCOM)。虽然
DCOM最终将被淘汰,但由于依赖它的庞大安装基础,它将继续在Windows系统中得到支持。
由于所有的OPC Classic客户端和服务器都是COM组件,所以它们的通信受到Windows DCOM安全
框架的约束和掣肘。因此,通过操作系统更新更改Windows安全设置可能会对OPC Classic应用
程序的通信能力产生影响。
此处讨论的DCOM安全机制更新可能影响OPC组件的连接性,因为这些应用程序中的许多应用程序
仅在首次与其对应方建立连接时进行身份验证,而不是每个数据包都进行身份验证。
对OPC Classic客户端的影响
客户端权限设置是通过CoInitializeSecurity函数来完成的。该函数每个实例只能调用一次;
随后的调用将不会被执行并且会返回一个错误。如果OPC Classic客户端调用此函数,则设置基
于调用中包含的参数。如果客户端不调用此函数,操作系统将根据默认DCOM设置代表应用程序
调用它。任何调用此函数的客户端都需要更改其源代码以将所需的安全对象(身份验证级别)
设置为所需的值(数据包完整性)。假设默认DCOM权限设置正确,不调用
CoInitializeSecurity的客户端不会收到影响。
对OPC Classic服务器的影响
服务器应用程序也可以调用CoInitializeSecurity函数。Matrikon服务器应用程序是通过
DCOMCNFG公共程序建立的权限。因此,修改自定义权限决定了要使用的安全设置。此安全更新
不会像客户端一样影响服务器端。
Windows DCOM安全更新计划
KB5004442 — 管理 Windows DCOM Server 安全功能旁路
(CVE-2021-26414 的更改)
分区 微软opc更新 的第 1 页
fuyun76270
- 粉丝: 2
- 资源: 19
评论0