Zabezpieczanie DCOM – istotna zmiana w koncepcji bezpieczeństwa firmy Microsoft

Serwery Windows można łączyć w sieć za pośrednictwem interfejsów DCOM. Interfejsy te działają w oparciu o skomplikowany system zabezpieczeń. Ta bariera bezpieczeństwa jest dla wielu użytkowników zbyt złożona, dlatego często rezygnują oni z koncepcji zabezpieczeń firmy Microsoft. Microsoft zamierza teraz zapobiec takim odstępstwom i wprowadza obowiązkowe stosowanie swoich systemów zabezpieczeń w aplikacjach. To zaostrzenie środków bezpieczeństwa nazywa się „wzmocnieniem zabezpieczeń DCOM” (DCOM Hardening). W naszym artykule dowiesz się więcej o tym, co musisz wiedzieć na ten temat i na co powinieneś zwrócić uwagę przed 14 marca 2023 r.

Czym jest DCOM?

Skrót DCOM oznacza Distributed Component Object Model i określa interfejsy służące do komunikacji wewnątrz firmy. Dzięki wykorzystaniu DCOM serwery i klienci mogą komunikować się w sieci wewnętrznej firmy. W ten sposób DCOM zapewnia interfejs dla oprogramowania, który gwarantuje połączenie różnych komponentów. DCOM korzysta z protokołu bezpieczeństwa TCP.

DCOM w praktyce

W praktyce koncepcja szyfrowania i zabezpieczeń związana z DCOM nie jest często stosowana. Ponieważ zasady bezpieczeństwa DCOM są skomplikowane, uciążliwe, a tym samym trudne do wdrożenia, niektóre firmy rezygnują z ich stosowania. W ustawieniach DCOM można wprowadzić zmiany w taki sposób, aby ominąć barierę bezpieczeństwa. Aby zabezpieczyć komunikację wewnętrzną, firmy te stosują szyfrowanie w przypadku dostępu zewnętrznego, próbując w ten sposób chronić swoją infrastrukturę systemową przed nieuprawnionym dostępem.

Zabezpieczanie DCOM

Ponieważ wiele firm omija koncepcję bezpieczeństwa DCOM firmy Microsoft, korporacja planuje obecnie zapobiec temu z technicznego punktu widzenia. Wraz z nadchodzącą aktualizacją, która ukaże się 14 marca 2023 r., Microsoft wprowadzi funkcję „DCOM Hardening”. Począwszy od tej aktualizacji, Microsoft uniemożliwi wyłączanie i omijanie koncepcji bezpieczeństwa DCOM, zobowiązując tym samym użytkowników do spełnienia kryteriów bezpieczeństwa.

Użytkownicy, którzy nie dostosują swoich ustawień DCOM przed aktualizacją w marcu, będą mieli problemy z połączeniem. Po aktualizacji połączenia, które nie spełniają wymogów bezpieczeństwa DCOM, będą blokowane. W ten sposób komunikacja wewnętrzna natychmiast się załamie.

Których klientów to dotyczy?

Zabezpieczenia DCOM dotyczą głównie użytkowników korzystających z protokołu OPC DA (Classic) na serwerze z systemem Windows. Protokół OPC DA (Classic) wykorzystuje technologie COM i DCOM firmy Microsoft, w związku z czym po aktualizacji systemu Windows nie będzie już działał. Obecnie wiele serwerów OPC nadal działa w oparciu o protokół OPC DA (Classic).

Jakie są alternatywy?

DCOM

Jednym ze sposobów zapewnienia ciągłości wewnętrznej komunikacji w firmie jest przestrzeganie wytycznych bezpieczeństwa firmy Microsoft. Zalecamy jednak, aby odpowiednio wcześnie zadbać o spełnienie warunków Microsoftu, tak aby komunikacja nie uległa zakłóceniu po aktualizacji, która nastąpi 14 marca.

OPC UA

Alternatywą dla DCOM jest OPC UA (OPC Unified Architecture). Dzięki niezależności od platformy i interoperacyjności następca standardu OPC, OPC DA, stanowi realną alternatywę dla OPC Classic i DCOM.

OPC UA został opracowany z myślą o „kompatybilności z zaporami sieciowymi” i dzięki temu może być kontrolowany i zarządzany za pomocą standardowych technik sieciowych. Liczne protokoły bezpieczeństwa oraz wymiana certyfikatów z każdym klientem OPC zapewniają bezpieczną komunikację i płynny transfer danych.

Tunelowanie

Aby zastąpić komunikację za pomocą technologii DCOM, niektórzy producenci oprogramowania stworzyli tunelowanie. Dzięki tunelowaniu dane są konwertowane na prosty protokół TCP/IP, a tym samym szyfrowane i kierowane poza zaporę sieciową. Dane są ponownie rozpakowywane w sieci docelowej i przekazywane do serwera OPC. Rozwiązanie to może zastąpić DCOM i stanowi alternatywę dla szyfrowania DCOM. Jeśli już korzystasz z OPC UA, tunelowanie nie jest już konieczne.