CVE-2022-38042: ondeso SR
überwindet Hürden im Domain Join

Eine Domain-Join-Härtungsmaßnahme von Microsoft, die über einen bevorstehenden Patch ausgerollt werden sollte, stellte das Automatisierungstechnik-Team eines Automobilherstellers vor eine Herausforderung. Denn die Installation dieses Patches, welcher die Schwachstelle CVE-2022-38042 schließt, hätte zur Folge, dass, beispielsweise nach einem Client-Austausch, ein erneuter Domain Join der OT-Clients zum Active Directory blockiert würde und somit eine zentrale Verwaltung nicht mehr möglich wäre.

Mit dem Wissen um die Auswirkungen suchte das Team proaktiv nach einer Lösung, um eine automatische Konfigurationsanpassung an den rund 3.000 OT-Clients im Werk durchzuführen. Die Lösung kam mit ondeso SR. Unsere Software war den Betriebsingenieuren bekannt, denn sie wird bereits seit 2018 weltweit innerhalb des Konzerns eingesetzt. Der Einsatz von ondeso SR ermöglichte nicht nur die automatisierte Umsetzung der notwendigen Konfigurationsanpassungen, sondern erlaubte auch eine manuelle Ausführung an kritischen Stellen.

Nach einem initialen Projektmeeting erhielt das Professional-Services-Team von ondeso die Aufgabe, einen automatisierten Arbeitsablauf, eine sogenannte „Operation“ in ondeso SR, zu erstellen. Der Vorteil einer Operation besteht darin, dass das Team des Automobilherstellers maximale Flexibilität in der Ausführung hat, um den laufenden Produktionsbetrieb nicht zu stören. Die zentrale Steuerung über die ondeso SR AdminGUI erlaubt das gleichzeitige Starten an mehreren OT-Clients. Sollte sich spontan ein passendes Wartungsfenster ergeben, ist es auch möglich, dass die Operation direkt an der Maschine vom Produktionspersonal über das ondeso SR Start Center gestartet werden kann.

Der Ablauf der Operation sah folgendermaßen aus: Nach dem Start der Operation wurden zunächst alle Informationen des OT-Clients aus der Domäne ermittelt. Anschließend erfolgte die Entfernung des OT-Clients aus der bestehenden Domäne und die temporäre Löschung aus dem Active Directory. Im letzten Schritt fand der Domain Join statt. Der OT-Client wurde unter einem neuen User, auch als Creator bekannt, und mit allen zuvor ermittelten Informationen wieder zur Domäne hinzugefügt. Nicht mehr benötigte Client-Informationen wurden automatisch gelöscht.

Andreas Decker, OT-Consultant bei ondeso, gibt die Worte des Betriebsingenieurs des Automobilherstellers wieder: „Eine manuelle Umsetzung hätte über 9 Monate gedauert, doch mit ondeso SR konnte dieses Projekt in nur 2 Monaten abgeschlossen werden.“

Neben einer Zeitersparnis von über 80 % betont er die fehlerfreie Umsetzung dank Automatisierung. Besonders bemerkenswert ist die Tatsache, dass die Ausführung ohne technisches Know-how oder privilegierter Benutzerrechte möglich ist, was ondeso SR zu einer äußerst nutzerfreundlichen und hocheffizienten Lösung für den Automobilhersteller macht.

Klingt interessant?

Hier können Sie sich eine Zusammenfassung dieser Success Story als PDF downloaden.