このセクションでは、御社の Linux サーバを保護し、Microsoft Windows ベースのサーバで PCI DSS の準拠を達成したい場合に実行すべき手順について説明します。

警告: サーバの OS で、WMI(Windows Management Instrumentation)サービスへのリモートプロシージャコール(RPC)および通信をすべてブロックするように Windows ファイアウォールを構成することをお勧めします。

リモートデスクトップ接続を保護する

中間者攻撃を防止するには、リモートデスクトップ接続の暗号化をセットアップします。手順については、 http://technet.microsoft.com/en-us/library/cc782610.aspx を参照してください。

リモートデスクトップ接続ポートを変更する

RDP ポートをカスタム値に変更しないと、一部の PCI スキャナーは中間者攻撃を報告します。変更するには、以下の手順に従います。

  1. [スタート]> [ファイル名を指定して実行] をクリックして regedit ユーティリティを実行し、 regedit を指定して [OK] をクリックします。

  2. 以下のレジストリキーを変更してポート値を変更します。

    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber

外部アドレスから MySQL データベースサーバへのアクセスを禁止する

Plesk に搭載されたファイアウォール機能を使用します。

  1. Plesk に管理者としてログインします。

  2. [ツールと設定]>[ファイアウォール] に進みます。

  3. [ファイアウォールルール] タブを開きます。

  4. image-75627.png アイコンをクリックして Plesk MySQL server ルールの状態を切り替えます。アイコンが image-75628.png に変わります。

    image-75625.png

Plesk for Microsoft Windows Server 2003 および 2008 でウェブサーバに対して脆弱な SSL/TLS 暗号をオフにする

  1. 以下のテキストをクリップボードにコピーします。

    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
    "Enabled"=dword:00000000
    
  2. リモートデスクトップ接続を介してサーバにログインします。

  3. サーバの OS でメモ帳やその他のテキストエディタを開き、 reg 拡張子のファイルを作成します。

  4. クリップボードからこのファイルにテキストを貼り付けます。

  5. ファイルを保存します。

  6. ファイルをダブルクリックして開きます。

  7. プロンプトが表示されたら、レジストリへの新しいキーの追加を確定します。

  8. OS を再起動します。

注釈: 脆弱な SSL/TLS 暗号とプロトコルを使用するサーバ上の一部のアプリケーションが機能を停止する可能性があります。

FTP 接続を保護する

サーバへの FTP 接続を許可する場合、セキュアな FTPS 接続を除くすべての FTP 接続を禁止する必要があります。

サーバへの FTPS 接続のみを許可するには:

  1. [ツールと設定]> [セキュリティポリシー] の順に選択します。

  2. [FTPS 使用ポリシー] に対して [セキュア FTPS 接続のみを許可する] オプションをオンにします。

    image-75629.png