在 Windows 上調整 Plesk 符合 PCI DSS

本小節闡述如何保護您 Linux 伺服器的安全以及在 Microsoft Windows 伺服器上實現 PCI DSS 合規性。

重要: 我們強力建議您在伺服器作業系統中配置 Windows 防火牆以阻止對 Windows 管理規範 (WMI) 服務的所有遠端程序呼叫 (RPC) 和交流。

安全的遠端桌面連接

設定加密遠端桌面連接以防止中間人攻擊(man-in-the-middle attack)。具體說明請參閱 http://technet.microsoft.com/en-us/library/cc782610.aspx

更改遠端桌面連接埠

如果您沒有將 RDP 埠更改為自訂值,有些 PCI 掃描器會報告中間人攻擊。要想更改,請完成下面的步驟:

  1. 運行 regedit 工具(實現方法是:點按 開始 > 運行,鍵入 regedit,然後點按 確定)。
  2. 通過修改下面的註冊表鍵來更改埠值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

禁止從外部位址存取 MySQL 資料庫伺服器

使用內置於您的 Plesk 中的防火牆功能。

  1. 以管理員身份登入 Plesk。
  2. 請轉入 工具與設定 > 防火牆
  3. 進入防火牆規則標籤。
  4. 點按 圖示切換Plesk MySQL 伺服器規則。該圖示將變成

    PCI_Compliance_Windows_Firewall_MSSQL

在 Plesk for Microsoft Windows Server 2003 和 2008 中禁用 Web 伺服器較弱的 SSL/TLS 密碼。
  1. 將以下文本複製到剪下板:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

    "Enabled"=dword:00000000

  2. 通過遠端桌面連接登入伺服器。
  3. 在伺服器的作業系統中,打開 Notepad 或任何其它的文字編輯器,創建一個帶有 reg 副檔名的檔。
  4. 將剪下板的文本貼上到該檔。
  5. 保存檔。
  6. 按兩下該文件以打開。
  7. 收到提示時,請確認添加新鍵到註冊表。
  8. 重啟作業系統。

注意: 伺服器上某些使用較弱的 SSL/TLS 密碼和協定的應用程式可能會停止工作運行。

安全的 FTP 連接

如果您允許通過 FTP 連接您的伺服器,則必須要禁止除安全 FTPS 連接之外的所有 FTP 連接。

若只允許通過 FTPS 連接您的伺服器,請如下操作:

  1. 進入 工具與設定 > 安全性原則
  2. 勾選 僅允許安全 FTPS 連接FTPS 使用策略)。

    PCI_Compliance_Windows_SecurityPolicy

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.