Authentifizierung

FactoryTalk Remote Access – Hilfe

Wichtige Benutzerinformationen

Versionshinweise zu FactoryTalk® Remote Access™

Erste Schritte

Einführung

Abkürzungen und Akronyme

Systemarchitektur

Interaktion mit Systemelementen

Verbindung zwischen FactoryTalk Remote Access Manager und Remotegeräten

Client- und Serverkonnektivität

Proxy

Whitepaper zur Sicherheitsarchitektur

Netzwerk- und Protokolldesign

Transportsicherheit

Sicherheit von Remote Access Tools

Authentifizierung

Aktionsaudit

Autorisierung

Gegenmaßnahmen bei Cyberangriffen

Rechenzentrum

Software-Updates

Richtlinie zu Datenlecks

Bewährte Methoden

Systemkomponenten

FactoryTalk Remote Access

FactoryTalk Remote Access Manager Tools

Stratix 4300 Remote Access Router

Werkseinstellungen und Identifizierung des Routers

Schutz vor Domänenwechsel

OptixPanel-Grafikterminals

Embedded Edge Compute-Modul

OptixEdge

ASEM 6300 IPC

ASEM 6300B Box-PC

ASEM 6300P Panel-PC

ASEM 6300PA On-Machine-Industrie-PC

Runtime (für Geräte von Drittanbietern)

FactoryTalk Remote Access Manager

Übersicht über den FactoryTalk Remote Access Manager und zugehörige Entitäten

Organisationen, Domänen und Domänenunterordner

Zugriffsschutz

Menüstruktur

Explorer

Geolokalisierung

Audit

Einstellungen

Tools

Protokoll

FactoryTalk Remote Access Manager Tools

Interaktiver Zugriff

(Interaktiver Zugriff) Remotedesktop

(Interaktiver Zugriff) Prozesse

(Interaktiver Zugriff) Explorer

(Interaktiver Zugriff) Verbindung

(Interaktiver Zugriff) Informationen

(Interaktiver Zugriff) Protokoll

Geräteeinrichtung

Verbindungseinstellungen

FactoryTalk Remote Access starten

Erstellen eines MyRockwellAutomation-Kontos

Auf FactoryTalk Hub anmelden

Organisation und Domäne erstellen

Benutzer zu einer Organisation einladen

Aktivitäten der Organisation

Domänen und verbundenen Einheiten verwalten

Domänenrollen und Domänengruppen

Benutzerberechtigungen für Domänen

Domänenunterordner erstellen

Erstellen von Gruppen

Geräteregistrierung in der Domäne

Verschieben und Entfernen von Geräten

Runtime-Registrierung

Benutzer zu einem Gerät einladen

Eingeladene Benutzer und zugehörige Berechtigungen anzeigen und verwalten

Domänenrollen und Domänengruppen

Untergeräte

Untergerät hinzufügen

Dienst hinzufügen

Anwendungsbeispiel für benutzerdefinierte Dienste

Dienst starten

Verwaltung von Untergeräten

Remotezugriff genehmigen

Unterstützung anfordern

Firewall-Einstellungen

Routingregeln

Entitlements

Übersicht der Funktionen

Basic-Entitlement auf ASEM 6300 IPC

Setup und Installation von Softwarekomponenten

Installation der FactoryTalk Remote Access Manager Tools

Spracheinrichtung

Runtime-Konfiguration

Installation und Konfiguration der Windows Runtime

Installation und Konfiguration der Ubuntu 22 Runtime

Schlüsselreferenztabelle für Ubuntu 22

Runtime-Befehlszeilen

Aktivierung des Entitlements für FactoryTalk Remote Access

Lokale Verbindung

Internetfreigabe

Runtime-Dienst in einem Docker-Container

In Container unterstützte Runtime-Funktionen

Schritt-für-Schritt-Anleitung zur Einrichtung

Anforderungen

Docker und Docker Compose installieren

Komponenten aus dem Installationsordner entpacken

Docker-Images hochladen

Im Container unterstützte Funktionen konfigurieren

Remotedesktopprotokoll (RDP) aktivieren

VPN-Verbindung aktivieren

Konfiguration validieren

Docker Runtime ausführen

Für Runtime-Container exponierte Ports

Updates

Update von Runtime und Firmware

Over-the-Air-Update für Windows Runtime

Over-the-Air-Update für Firmware

Aktualisieren der FactoryTalk Remote Access Manager Tools

Ubuntu 22 Runtime-Update

Kurzanleitung

FactoryTalk Remote Access Manager – Bewährte Verfahren

So erstellen Sie Organisationen oder Domänen

So aktivieren Sie Entitlements

So stellen Sie eine Remotedesktopverbindung her

So stellen Sie eine VPN-Verbindung mit einem Remotegerät her

So stellen Sie eine VPN-Verbindung her

So legen Sie Berechtigungsrechte fest

So zeigen Sie das Aktionsprotokoll an

So implementieren Sie Netzwerksicherheitseinstellungen

Welche Ports und öffentlichen IP-Adressen sollte ich über die Firewall meiner Firma zulassen?

Runtime-Verbindung unterbrochen

FactoryTalk Remote Access für FactoryTalk Design Studio aktivieren

Authentifizierung

Verwenden Sie verschiedene Arten der Authentifizierung, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Systeme haben.

Authentifizierung von Benutzern bei Servern

Benutzer von

FactoryTalk® Remote Access™

können sich mit ihren Anmeldeinformationen, die

FactoryTalk® Hub™

von unterstützt werden, beim Dienst anmelden.

Authentifizierung von Runtimes Servern

Wenn die

FactoryTalk® Remote Access™

Runtime zum ersten Mal eine Verbindung mit dem Zugriffsserver herstellt, erhält sie eine signierte Identitätsdatei, die die Geräte-UID in der

FactoryTalk® Remote Access™

-Domäne enthält. Das Zertifikat wird für die Authentifizierung von Geräten beim Server verwendet und basiert auf der Sicherheit des Dateisystems des Betriebssystems. Auf die Zertifikatsdatei kann nur über Prozesse mit erhöhten Rechten zugegriffen werden.

FactoryTalk® Remote Access™

-Router verwenden eine zusätzliche Hardwarefunktion, die eine Gerätebindung für eine bestimmte Organisation bereitstellt. Bei

FactoryTalk® Remote Access™

-Routern wird die UID während der Produktionsphase im Werk in die Hardware geschrieben und kann nicht geändert werden. Sobald der Router in einer

FactoryTalk® Remote Access™

-Domäne registriert ist, kann er erst dann bei einer anderen Organisation registriert werden, wenn der Administrator der legitimen Organisation die Registrierung bei der Organisation aufhebt. Möglich wird dies durch die Zuordnung der tatsächlichen Geräteidentität zur Hardware-UID. Selbst wenn ein Bedrohungsakteur physischen Zugriff auf den Router erhält und ihn auf die Werkseinstellungen zurücksetzt, um ihn neu zu konfigurieren, kann er ihn nicht in seinem Unternehmen registrieren und somit den Router für böswilligen Remotezugriff auf das Netzwerk verwenden.

Authentifizierung von Zugriffsservern bei Frontends und Runtime

Wie bereits erwähnt, verwenden Clients TLS 1.2 für die Verbindung mit Zugriffsservern. Zugriffsserver verwenden ein SSL-Serverzertifikat, das von einer bekannten Zertifizierungsstelle signiert wurde. Clients können die Signatur anhand der im System installierten Zertifizierungsstellenzertifikate überprüfen.

Whitepaper zur Sicherheitsarchitektur

Rückmeldung geben

Haben Sie Fragen oder Feedback zu dieser Dokumentation? Bitte geben Sie hier Ihr Feedback ab.

Normal