Abstimmen von Plesk auf PCI DSS unter Windows

Dieser Abschnitt beschreibt die Schritte, die Sie bei einem Microsoft Windows-Server befolgen sollten, um Ihren Server zu sichern und Compliance mit PCI DSS zu gewährleisten.

Wichtig: Es wird dringend empfohlen, die Windows Firewall im Server-Betriebssystem so zu konfigurieren, dass alle Remoteprozeduraufrufe (RPC) und Kommunikationen zu Diensten der Windows-Verwaltungsinstrumentation (WMI) blockiert werden.

Sichern von Remote-Desktop-Verbindungen

Richten Sie eine Verschlüsselung für Remotedesktopverbindungen ein, um "Man-in-the-Middle"-Angriffen vorzubeugen. Anweisungen dazu finden Sie hier: http://technet.microsoft.com/en-us/library/cc782610.aspx.

Ändern des Remotedesktopverbindungs-Port

Manche PCI-Scanner melden eine "Man-in-the-middle"-Attacke, wenn Sie den Wert des RDP-Port nicht in einen benutzerdefinierten Wert abändern. Gehen Sie dazu folgendermaßen vor:

  1. Führen Sie das Dienstprogramm regedit durch Klicken auf Start > Ausführen aus und geben Sie regedit ein. Klicken Sie dann auf OK.
  2. Ändern Sie den Port-Wert, indem Sie folgenden Registrierungsschlüssel abändern:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

Unterbinden des Zugriffs auf MySQL-Datenbankserver von externen Adressen aus

Verwenden Sie die in Ihrem Plesk integrierten Firewall-Funktionen.

  1. Melden Sie sich bei Plesk als Administrator an.
  2. Gehen Sie zu Tools & Einstellungen > Firewall.
  3. Gehen Sie zur Registerkarte Firewall-Regeln.
  4. Klicken Sie auf das Symbol um die Regel Plesk MySQL-Server zu wechseln. Das Symbol wird sich verändern in .

    PCI_Compliance_Windows_Firewall_MSSQL

Deaktivieren schwacher SSL/TLS-Verschlüsselungen für Webserver in Plesk für Microsoft Windows Server 2003 und 2008
  1. Kopieren Sie folgenden Text in die Zwischenablage:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

    "Enabled"=dword:00000000

  2. Melden Sie sich über eine Remotedesktopverbindung beim Server an.
  3. Öffnen Sie Notepad oder ein anderes Textbearbeitungsprogramm im Betriebssystem des Servers, um eine Datei mit der Erweiterung reg zu erstellen.
  4. Fügen Sie den Text aus der Zwischenablage in diese Datei ein.
  5. Speichern Sie die Datei.
  6. Öffnen Sie die Datei per Doppelklick.
  7. Bestätigen Sie das Hinzufügen neuer Schlüssel zum Verzeichnis, wenn Sie dazu aufgefordert werden.
  8. Starten Sie das Betriebssystem neu.

Hinweis: Manche Anwendungen auf dem Server, die schwache SSL/TLS-Verschlüsselungen und Protokolle verwenden, hören möglicherweise auf, zu funktionieren.

Sichern von FTP-Verbindungen

Wenn Sie FTP-Verbindungen auf Ihrem Server zulassen, müssen Sie alle FTP-Verbindungen verbieten, mit Ausnahme der sicheren FTPS-Verbindungen.

So lassen Sie nur FTPS-Verbindungen auf Ihrem Server zu:

  1. Gehen Sie zu Tools & Einstellungen > Sicherheitsrichtlinie.
  2. Wählen Sie die Option Nur sichere FTPS-Verbindungen zulassen für die FTPS-Nutzungsregelung.

    PCI_Compliance_Windows_SecurityPolicy