本小节阐述如何保护您 Linux 服务器的安全以及在 Microsoft Windows 服务器上实现 PCI DSS 合规性。

Warning: 我们强力建议您在服务器操作系统中配置 Windows 防火墙以阻止对 Windows 管理规范 (WMI) 服务的所有远程过程调用 (RPC) 和交流。

安全的远程桌面连接

设置加密远程桌面连接以防止中间人攻击(man-in-the-middle attack)。具体说明请参阅 http://technet.microsoft.com/en-us/library/cc782610.aspx

更改远程桌面连接端口

如果您没有将 RDP 端口更改为自定义值,有些 PCI 扫描仪会报告中间人攻击。要想更改,请完成下面的步骤:

  1. 运行 regedit 工具(实现方法是:点击 开始 > 运行 ,键入 regedit ,然后点击 确定 )。

  2. 通过修改下面的注册表键来更改端口值:

    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber

禁止从外部地址访问 MySQL 数据库服务器

使用内置于您的 Plesk 中的防火墙功能。

  1. 以管理员身份登录 Plesk。

  2. 请转入 工具与设置 > 防火墙

  3. 进入 防火墙规则 标签。

  4. 点击 image-0 图标切换 Plesk MySQL 服务器 规则。该图标将变成 image-1

    image-PCI-Compliance-Windows-Firewall-MSSQL

在 Plesk for Microsoft Windows Server 2003 和 2008 中禁用 Web 服务器较弱的 SSL/TLS 密码。

  1. 将以下文本复制到剪切板:

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000

  2. 通过远程桌面连接登录服务器。

  3. 在服务器的操作系统中,打开 Notepad 或任何其它的文本编辑器,创建一个带有 reg 扩展名的文件。

  4. 将剪切板的文本粘贴到该文件。

  5. 保存文件。

  6. 双击该文件以打开。

  7. 收到提示时,请确认添加新键到注册表。

  8. 重启操作系统。

Note: 服务器上某些使用较弱的 SSL/TLS 密码和协议的应用程序可能会停止工作运行。

安全的 FTP 连接

如果您允许通过 FTP 连接您的服务器,则必须要禁止除安全 FTPS 连接之外的所有 FTP 连接。

若只允许通过 FTPS 连接您的服务器,请如下操作:

  1. 进入 工具与设置 > 安全策略

  2. 勾选 仅允许安全 FTPS 连接FTPS 使用策略 )。

    image-PCI-Compliance-Windows-SecurityPolicy