Esiste una politica fornita come parte del servizio di distribuzione denominato "Preparazione per i controlli PCI-DSS (sezione 11.2.2)". Questo è un criterio che ha tutti i plugin abilitati, scansione TCP di tutte le porte, controlli di sicurezza abilitati, test web abilitati, l'impostazione PCI-DSS abilitata e molte altre cose che sono meno importanti. Consiglierei di copiare questo criterio su qualcos'altro e di modificarlo.
Molti dei controlli utilizzati sono locali, quindi sarà sicuramente necessario aggiungere credenziali per un account con privilegi di amministratore o di livello root. Per Windows l'utente deve essere un amministratore di dominio o essere nel gruppo degli amministratori locali. Per Linux / UNIX l'utente dovrebbe avere i diritti di escalation, questo dovrebbe essere sudo, su, abilitare o qualsiasi altra cosa usi la distribuzione.
Devi anche prendere in considerazione quale tipo di servizi è in esecuzione l'host di destinazione. Quel server ospita un'applicazione web? Il test Web è abilitato, ma probabilmente richiederà l'autenticazione. Se il tuo sito web utilizza un'autenticazione basata su modulo, puoi andare alla scheda "Preferenze", dal menu a discesa selezionare "Pagina di accesso HTTP" e configurarlo da lì. Se sta eseguendo l'autenticazione di base, seleziona il menu a discesa "Configurazioni di accesso". Il tuo server ospita un database? Vai alla pagina "Impostazioni database" e inserisci i valori corretti.
Dovresti anche esaminare le varie e varie politiche di controllo. Se si accede al Centro assistenza e si accede alla pagina Download, verrà visualizzato un collegamento per "Criteri di controllo PCI". Questo contiene politiche di controllo per molti diversi sistemi operativi. Scarica quello appropriato e aggiungilo alla tua scansione. Tutti i controlli sono aggiunti e configurati nella scheda "Preferenze". Basta selezionare la voce appropriata dalla casella a discesa per qualsiasi politica che si sta utilizzando. Mentre ci sei, guarda anche alle altre politiche di controllo. Si baseranno principalmente su STIG DISA, documenti CIS o FSMA. Tuttavia, alcuni sono scritti contro i documenti delle migliori pratiche pubblicati dai venditori, come gli audit di PostgreSQL. Alcuni audit possono richiedere personalizzazioni locali, quindi fai attenzione a prendere i segni PASS / FAIL come Verità. Tieni presente che gli audit sono disponibili solo per i clienti di ProfessionalFeed (sei un cliente di ProfessionalFeed giusto?).
Il vero take away è che mentre la politica di scansione spedita ti fa iniziare non è affatto completa. Dovrai personalizzarlo per lavorare nel tuo ambiente. Dopotutto,
Inalternativa,sesiutilizzailservizioperimetrale,questoègiàconfiguratoeprontoperl'uso.QuestoservizioèsanzionatocomeASVdalConsiglioPCI.Unresocontocompletosull'utilizzoèdisponibilesu Blog sostenibile .
Le informazioni fornite in precedenza non sono in alcun modo intese come consigli ufficiali e vengono fornite senza mandato, garanzia o buona fede. Le dichiarazioni fornite non rappresentano le opinioni del consiglio PCI, di alcun QSA / ASV, del mio datore di lavoro, del vostro datore di lavoro, dell'insieme di Rorys, di questo sito, di qualsiasi altro sito, né dell'ISP sul quale state visualizzando questo messaggio.