在 Windows 上調整 Plesk 符合 PCI DSS

本小節闡述如何保護您 Linux 伺服器的安全以及在 Microsoft Windows 伺服器上實現 PCI DSS 合規性。

重要： 我們強力建議您在伺服器作業系統中配置 Windows 防火牆以阻止對 Windows 管理規範 (WMI) 服務的所有遠端程序呼叫 (RPC) 和交流。

安全的遠端桌面連接

設定加密遠端桌面連接以防止中間人攻擊（man-in-the-middle attack）。具體說明請參閱 http://technet.microsoft.com/en-us/library/cc782610.aspx。

更改遠端桌面連接埠

如果您沒有將 RDP 埠更改為自訂值，有些 PCI 掃描器會報告中間人攻擊。要想更改，請完成下面的步驟：

1. 運行 regedit 工具（實現方法是：點按 開始 > 運行，鍵入 regedit，然後點按 確定）。
2. 通過修改下面的註冊表鍵來更改埠值：

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

禁止從外部位址存取 MySQL 資料庫伺服器

使用內置於您的 Plesk 中的防火牆功能。

1. 以管理員身份登入 Plesk。
2. 請轉入 工具與設定 > 防火牆。
3. 進入防火牆規則標籤。
4. 點按 圖示切換Plesk MySQL 伺服器規則。該圖示將變成。

   

在 Plesk for Microsoft Windows Server 2003 和 2008 中禁用 Web 伺服器較弱的 SSL/TLS 密碼。

1. 將以下文本複製到剪下板：

   REGEDIT4

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

   "Enabled"=dword:00000000

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

   "Enabled"=dword:00000000

2. 通過遠端桌面連接登入伺服器。
3. 在伺服器的作業系統中，打開 Notepad 或任何其它的文字編輯器，創建一個帶有 reg 副檔名的檔。
4. 將剪下板的文本貼上到該檔。
5. 保存檔。
6. 按兩下該文件以打開。
7. 收到提示時，請確認添加新鍵到註冊表。
8. 重啟作業系統。

注意： 伺服器上某些使用較弱的 SSL/TLS 密碼和協定的應用程式可能會停止工作運行。

安全的 FTP 連接

如果您允許通過 FTP 連接您的伺服器，則必須要禁止除安全 FTPS 連接之外的所有 FTP 連接。

若只允許通過 FTPS 連接您的伺服器，請如下操作：

1. 進入 工具與設定 > 安全性原則。
2. 勾選 僅允許安全 FTPS 連接（FTPS 使用策略）。