Configurer Plesk pour être conforme à la norme PCI DSS sur Windows
Dans cette section, vous trouverez les étapes à suivre pour sécuriser votre serveur et le rendre conforme à la norme PCI DSS sur un serveur basé sur Microsoft Windows.
Avertissement: nous vous recommandons fortement de configurer le pare-feu Windows dans le système d’exploitation du serveur pour bloquer tous les appels de procédure distante (RPC) et les communications vers les services Windows Management Instrumentation (WMI).
Sécuriser les connexions Remote Desktop
Définissez le chiffrement pour les connexions remote desktop afin d’éviter les attaques du type man-in-the-middle (l’homme du milieu). Pour plus d’instructions, consultez la page http://technet.microsoft.com/en-us/library/cc782610.aspx.
Changer les ports de connexions Remote Desktop
Certains scanneurs PCI signalent des attaques de type man-in-the-middle si vous ne remplacez pas le port RDP par une valeur personnalisée. Pour cela, complétez les étapes suivantes :
-
Exécutez l’utilitaire
regedit
. Cliquez sur Démarrer > Exécuter, saisissez regedit et cliquez sur OK. -
Changez la valeur du port. Pour cela, modifiez la clé de registre suivante :
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber
Interdire l’accès au serveur de base de données MySQL depuis des adresses externes
Utilisez les fonctions du pare-feu intégrées à Plesk.
-
Connectez-vous à Plesk en tant qu’administrateur.
-
Allez dans Outils & Paramètres > Pare-feu.
-
Allez dans l’onglet Règles du pare-feu.
-
Cliquez sur l’icône pour activer la règle Plesk MySQL server. L’icône sera remplacée par l’icône .
Désactiver les chiffrements SSL/TLS pour le serveur Web dans Plesk pour Microsoft Windows Server 2003 et 2008
-
Copier le texte dans le presse-papiers :
REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5] "Enabled"=dword:00000000
-
Connectez-vous via une connexion Remote Desktop.
-
Dans le système d’exploitation du serveur, ouvrez Notepad ou un autre éditeur de texte et créez un fichier avec l’extension
reg
. -
Collez le texte dans ce fichier.
-
Sauvegardez le fichier.
-
Double-cliquez sur le fichier pour l’ouvrir.
-
Lorsque vous y êtes invité, confirmez l’ajout des nouvelles clés au registre.
-
Redémarrez le système d’exploitation.
Note: certaines applications sur le serveur qui utilisent des chiffrements et des protocoles SSL/TLS faibles risquent d’arrêter de fonctionner.
Sécuriser les connexions FTP
Si vous autorisez les connexions FTP à votre serveur, vous devez interdire toutes les connexions FTP à l’exception des connexions sécurisées FTPS.
Pour autoriser uniquement les connexions FTPS à votre serveur :
-
Allez sous Outils & Paramètres > Politique de sécurité.
-
Sélectionnez l’option Autoriser uniquement les connexions FTPS sécurisées pour les Règles d’utilisation FTPS.