| 针对DCOM的Windows安全更新KB5004442（CVE-2021-26414）

2021年6月8日，微软发布了针对DCOM的Windows安全更新KB5004442（CVE-2021-26414）——强制更改了Windows操作系统DCOM安全机制。该更新要求DCOM应用程序提供“数据包完整性”身份验证级别，否则可能会出现无法兼容的问题。

分布式组件对象模型（DCOM）远程协议是一种使用远程过程调用（RPC）公开应用程序对象的协议，它支持远程过程调用，并且可用于网络设备的软件组件之间的通信。

Windows安全更新链接如下：

KB5004442 — 管理Windows DCOM Server安全功能旁路（CVE-2021-26414的更改）。

| 对于目前的OPC Classic通信有什么影响？

OPC Classic正是使用了DCOM协议进行计算机到计算机的网络通信。目前OPC Classic应用程序使用的身份验证主要是“无”或者“所有人”，因此Windows安全更新KB5004442终止了现有的基于DCOM的OPC Classic远程通信。如果OPC Classic应用程序不支持“数据包完整性”身份验证，那么OPC Classic用户的数据通信将会受到影响，而运行在同一台计算机上的OPC Classic服务器和客户端之间的通信不会受到影响。

从2022年6月14日起，所有Windows版本都将对KB5004442安全补丁进行更新。而到2023年3月14日之前，您必须在系统环境中完成测试，以解决补丁更新和应用程序的兼容性问题。

| Softing的解决方案

• 解决方案一：更新至Softing dataFEED OPC Suite 5.20及以上版本

Softing新发布的dataFEED OPC Suite 5.20版本提供Windows安全更新补丁KB5004442（CVE-2021-26414）所需的身份验证级别“数据包完整性”和“数据包保密性”，并支持安全更新后的OPC Classic远程网络通信。

dataFEED OPC Suite是用于OPC UA和OPC Classic通信以及单个产品中的云连接的软件解决方案。通过集成的OPC UA服务器（包括存储与转发），dataFEED OPC Suite可以安全可靠地访问所有知名制造商的PLC，例如Siemens SIMATIC S7、Rockwell ControlLogix、B&R、Mitsubishi和Modbus控制器（像BECKHOFF TwinCAT、施耐德PLC等）。

作为两种OPC标准之间的网关，dataFEED OPC Suite支持将现有的OPC Classic组件和应用程序集成到现代工业4.0 OPC UA解决方案中。通过MQTT和REST协议，dataFEED OPC Suite可将生产数据传输到物联网云或博世PPM和西门子MindSphere等平台中。此外，dataFEED OPC Suite不仅支持将生产数据存储在本地文件、SQL数据库或MongoDB和CouchDB中，而且支持广泛的数据预处理功能，还可以轻松灵活地对数据进行处理，再将处理过的数据转发出去，从而实现边缘计算功能。

（Softing dataFEED OPC Suite：一体化数据集成解决方案）

但是，通过传统的DCOM来实现OPC Classic网络通信存在以下两个弊端：

1. 设置DCOM时，需要用到的“dcomcfng”服务程序将深入Windows操作系统，因此任何错误的配置调整都可能导致系统不稳定；

2. 特别是端口135的开放会造成严重的安全漏洞——应用程序可以通过“远程过程调用（RPC）”来干扰Windows组件，并且毫无限制。实际上，这为许多计算机病毒提供了一个入口。

因此，Softing建议使用dataFEED OPC Tunnel而不是DCOM来进行OPC Classic网络通信。

• 解决方案二：Softing dataFEED OPC Tunnel

dataFEED OPC Tunnel利用OPC Tunnel巧妙绕过了DCOM通信配置，从而为您带来了一种安全且简单的跨网络OPC通信。dataFEED OPC Tunnel设计为“DCOM旁路”，允许在联网计算机上的OPC组件之间进行可靠、高性能的通信。

dataFEED OPC Tunnel需要安装在OPC客户端计算机和OPC服务器计算机上，并且客户端和服务器端的dataFEED OPC Tunnel通过可选加密的TCP/IP连接来进行通信。如此一来，在客户端和服务器应用程序之间交换的数据可通过TCP/IP来进行“Tunnel传输”，从而完全避免了耗时且复杂的DCOM安全配置。

（Softing dataFEED OPC Tunnel方案）

此外，通过dataFEED OPC Tunnel进行通信，不仅可使带宽需求大大减少，还能让性能有所提高。下图显示了通过DCOM来使用“标准OPC”（左）和dataFEED OPC Tunnel（右）通信时，在OPC客户端和OPC服务器之间的传输数据量（以kB为单位）。可见，与基于DCOM的数据传输相比，通过dataFEED OPC Tunnel来进行的通信平均仅需50％的带宽。

（带宽需求对比）

dataFEED OPC Tunnel具有以下优势：

1. 数据传输没有系统安全漏洞；

2. 无需进行费时且反复的试验来寻找合适的DCOM设置；

3. 调试跨网OPC通信仅需几分钟；

4. 跨越防火墙的OPC通信；

5. 可立即检测到通讯中断（使用DCOM可能需要花费几分钟）；

6. 当服务器与OPC客户端的连接断开时，dataFEED OPC Tunnel不仅可自动缓存OPC服务器发送的数据，还可自动与OPC客户端重新建立连接并转发缓存数据；

7. 通过OPC Tunnel进行OPC Classic网络通信与通过DCOM的不同，因为前者计算机并不需要开放来自外部未经授权的访问。

如需下载OPC安装包，请点击此处。