Как настроить Plesk на соответствие PCI DSS в Windows

В этом разделе мы опишем шаги, которые вам необходимо выполнить, если вы хотите защитить ваш сервер и добиться совместимости с PCI DSS на сервере с Microsoft Windows.

Важно. Мы настоятельно рекомендуем вам настроить брандмауэр Windows в операционной системе сервера, чтобы заблокировать все удаленные вызовы процедур (RPC) и взаимодействие со службами инструментария управления Windows (Windows Management Instrumentation, WMI).

Защита соединений по протоколу удаленного рабочего стола

Установите шифрование для соединений по протоколу удаленного рабочего стола, чтобы предотвратить "атаки посредника". Смотрите инструкции в http://technet.microsoft.com/en-us/library/cc782610.aspx.

Изменение порта для соединений по протоколу удаленного рабочего стола

Некоторые сканеры PCI сообщают об "атаке посредника", если вы не сменили номер порта RDP на персональное значение. Чтобы это сделать, выполните следующие шаги:

  1. Запустите утилиту regedit. Для этого нажмите Пуск > Выполнить, введите regedit и нажмите OK.
  2. Измените номер порта путем изменения следующего ключа реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

Запрет доступа к серверу баз данных MySQL с внешних адресов

Используйте функции брандмауэра, встроенные в Plesk.

  1. Войдите в Plesk как администратор.
  2. Перейдите в раздел Инструменты и настройки > Брандмауэр.
  3. Перейдите на вкладку Правила брандмауэра.
  4. Нажмите значок , чтобы включить правило Plesk MySQL server. Значок изменится на .

    PCI_Compliance_Windows_Firewall_MSSQL

Отключение слабых шифров SSL/TLS для веб-сервера в Plesk для Microsoft Windows Server 2003 и 2008
  1. Скопируйте в буфер обмена следующий текст:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

    "Enabled"=dword:00000000

  2. Войдите на сервер по протоколу удаленного рабочего стола.
  3. В операционной системе сервера откройте Блокнот или любой другой текстовый редактор и создайте файл с расширением reg.
  4. Вставьте текст из буфера обмена в этот файл.
  5. Сохраните файл.
  6. Дважды щелкните по файлу, чтобы открыть его.
  7. Когда будет предложено добавить новые ключи в реестр, подтвердите это добавление.
  8. Перезапустите операционную систему.

Примечание. Некоторые приложения, установленные на сервере и использующие слабые шифры и протоколы SSL/TLS, могут перестать работать.

Защита соединений по FTP

Если вы разрешаете соединения по FTP со своим сервером, вы должны запретить все соединения по FTP, за исключением безопасных FTPS-соединений.

Чтобы разрешить только безопасные FTPS-соединения с сервером:

  1. Перейдите на страницу Инструменты и настройки > Политика безопасности.
  2. Выберите опцию Разрешить только безопасные соединения (FTPS) в группе опций Политика использования FTPS.

    PCI_Compliance_Windows_SecurityPolicy

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.