Configurer Plesk pour être conforme à la norme PCI DSS sur Windows

Dans cette section, vous trouverez les étapes à suivre pour sécuriser votre serveur et le rendre conforme à la norme PCI DSS sur un serveur basé sur Microsoft Windows.

Important : nous vous recommandons fortement de configurer le pare-feu Windows dans le système d'exploitation du serveur pour bloquer tous appels de procédure distante (RPC) et les communications vers les services Windows Management Instrumentation (WMI).

Sécuriser les connexions Remote Desktop

Définissez le chiffrement pour les connexions remote desktop afin d'éviter les attaques du type man-in-the-middle (l'homme du milieu). Pour plus d'instructions ,consultez la page http://technet.microsoft.com/en-us/library/cc782610.aspx.

Changer les ports de connexions Remote Desktop

Certains scanneurs PCI signalent des attaques de type man-in-the-middle si vous ne remplacez pas le port RDP par une valeur personnalisée. Pour cela, complétez les étapes suivantes :

  1. Exécutez l'utilitaire regedit. Pour cela, cliquez sur Démarrer > Exécuter, saisissez regedit et cliquez sur OK.
  2. Changez la valeur du port. Pour cela, modifiez la clé de registre suivante :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

Interdire l'accès au serveur de base de données MySQL depuis des adresses externes

Utilisez les fonctions du pare-feu intégrées à Plesk.

  1. Connectez-vous à Plesk en tant qu'administrateur.
  2. Allez dans Outils & Paramètres > Pare-feu.
  3. Allez dans l'onglet Règles du pare-feu.
  4. Cliquez sur l'icône pour activer la règle Plesk MySQL server. L'icône sera remplacée par l'icône .

    PCI_Compliance_Windows_Firewall_MSSQL

Désactiver les chiffrements SSL/TLS pour le serveur Web dans Plesk pour Microsoft Windows Server 2003 et 2008
  1. Copier le texte dans le presse-papiers :

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

    "Enabled"=dword:00000000

  2. Connectez-vous via une connexion Remote Desktop.
  3. Dans le système d'exploitation du serveur, ouvrez Notepad ou un autre éditeur de texte et créez un fichier avec l'extension reg.
  4. Collez le texte dans ce fichier.
  5. Sauvegardez le fichier.
  6. Double-cliquez sur le fichier pour l'ouvrir.
  7. Lorsque vous y êtes invité, confirmez l'ajout des nouvelles clés au registre.
  8. Redémarrez le système d'exploitation.

Remarque : certaines applications sur le serveur qui utilisent des chiffrements et des protocoles SSL/TLS faibles risquent d'arrêter de fonctionner.

Sécuriser les connexions FTP

Si vous autorisez les connexions FTP à votre serveur, vous devez interdire toutes les connexions FTP à l'exception des connexions sécurisées FTPS.

Pour autoriser uniquement les connexions FTPS à votre serveur :

  1. Allez sous Outils & Paramètres > Politique de sécurité.
  2. Sélectionnez l'option Autoriser uniquement les connexions FTPS sécurisées pour Règles d'utilisation FTPS.

    PCI_Compliance_Windows_SecurityPolicy

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.