Dans cette section, vous trouverez les étapes à suivre pour sécuriser votre serveur et le rendre conforme à la norme PCI DSS sur un serveur basé sur Microsoft Windows.

Avertissement: nous vous recommandons fortement de configurer le pare-feu Windows dans le système d’exploitation du serveur pour bloquer tous les appels de procédure distante (RPC) et les communications vers les services Windows Management Instrumentation (WMI).

Sécuriser les connexions Remote Desktop

Définissez le chiffrement pour les connexions remote desktop afin d’éviter les attaques du type man-in-the-middle (l’homme du milieu). Pour plus d’instructions, consultez la page http://technet.microsoft.com/en-us/library/cc782610.aspx.

Changer les ports de connexions Remote Desktop

Certains scanneurs PCI signalent des attaques de type man-in-the-middle si vous ne remplacez pas le port RDP par une valeur personnalisée. Pour cela, complétez les étapes suivantes :

  1. Exécutez l’utilitaire regedit. Cliquez sur Démarrer > Exécuter, saisissez regedit et cliquez sur OK.

  2. Changez la valeur du port. Pour cela, modifiez la clé de registre suivante :

    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber

Interdire l’accès au serveur de base de données MySQL depuis des adresses externes

Utilisez les fonctions du pare-feu intégrées à Plesk.

  1. Connectez-vous à Plesk en tant qu’administrateur.

  2. Allez dans Outils & Paramètres > Pare-feu.

  3. Allez dans l’onglet Règles du pare-feu.

  4. Cliquez sur l’icône image 75627 pour activer la règle Plesk MySQL server. L’icône sera remplacée par l’icône image 75628.

    image 75625

Désactiver les chiffrements SSL/TLS pour le serveur Web dans Plesk pour Microsoft Windows Server 2003 et 2008

  1. Copier le texte dans le presse-papiers :

    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
    "Enabled"=dword:00000000
    
  2. Connectez-vous via une connexion Remote Desktop.

  3. Dans le système d’exploitation du serveur, ouvrez Notepad ou un autre éditeur de texte et créez un fichier avec l’extension reg.

  4. Collez le texte dans ce fichier.

  5. Sauvegardez le fichier.

  6. Double-cliquez sur le fichier pour l’ouvrir.

  7. Lorsque vous y êtes invité, confirmez l’ajout des nouvelles clés au registre.

  8. Redémarrez le système d’exploitation.

Note: certaines applications sur le serveur qui utilisent des chiffrements et des protocoles SSL/TLS faibles risquent d’arrêter de fonctionner.

Sécuriser les connexions FTP

Si vous autorisez les connexions FTP à votre serveur, vous devez interdire toutes les connexions FTP à l’exception des connexions sécurisées FTPS.

Pour autoriser uniquement les connexions FTPS à votre serveur :

  1. Allez sous Outils & Paramètres > Politique de sécurité.

  2. Sélectionnez l’option Autoriser uniquement les connexions FTPS sécurisées pour les Règles d’utilisation FTPS.

    image 75629