Existe una política enviada como parte del servicio de distribución denominado "Preparación para las auditorías PCI-DSS (sección 11.2.2)". Esta es una política que tiene todos los complementos habilitados, la exploración TCP de todos los puertos, las comprobaciones de seguridad habilitadas, las pruebas web habilitadas, la configuración de PCI-DSS habilitada y varias otras cosas que son menos importantes. Recomendaría copiar esta política a otra cosa y modificarla en su lugar.
Muchas de las comprobaciones utilizadas son locales, por lo que definitivamente deberá agregar credenciales para una cuenta que tenga privilegios de administrador o de nivel raíz. Para Windows, ese usuario debe ser un administrador de dominio o estar en el grupo de administradores locales. Para Linux / UNIX, el usuario debe tener derechos de escalado, esto sería sudo, su, enable o lo que sea su distribución.
También debe tener en cuenta qué tipo de servicios está ejecutando el host de destino. ¿Está ese servidor hospedando una aplicación web? La prueba web está habilitada, pero es probable que requiera autenticación para usarla. Si su sitio web utiliza autenticación basada en formularios, puede ir a la pestaña 'Preferencias', en el menú desplegable, seleccione "Página de inicio de sesión HTTP" y configurarlo desde allí. Si está haciendo la autenticación básica, seleccione el menú desplegable "Configuraciones de inicio de sesión". ¿Su servidor aloja una base de datos? Vaya a la página "Configuración de la base de datos" y marque los valores correctos.
También debe examinar las diversas y diversas políticas de auditoría. Si inicia sesión en el Centro de soporte y accede a la página de Descargas, verá un enlace para "Políticas de auditoría de PCI". Eso contiene políticas de auditoría para muchos sistemas operativos diferentes. Descargue el apropiado y agréguelo a su escaneo. Todas las auditorías se agregan y configuran dentro de la pestaña "Preferencias". Simplemente elija la entrada apropiada en el cuadro desplegable para cualquier política que esté usando. Mientras lo hace, también revise las otras políticas de auditoría. Se basarán principalmente en DISA STIGs, documentos CIS o FSMA. Sin embargo, algunos están escritos en contra de los documentos de mejores prácticas publicados por los proveedores, como las auditorías PostgreSQL. Algunas de las auditorías pueden requerir personalizaciones locales, así que desconfíe de tomar las marcas PASS / FAIL como Verdad. Tenga en cuenta que las auditorías solo están disponibles para los clientes de ProfessionalFeed (¿usted es un cliente de ProfessionalFeed, verdad?).
Lo que realmente se quita es que, si bien la política de escaneo enviada le permite comenzar, de ninguna manera está completa. Tendrá que personalizarlo para que funcione en su entorno. Después de todo,
Alternativamente,siusaelservicioperimetral,yatienengranpartedeestoconfiguradoylistoparafuncionar.EsteservicioestáautorizadocomounASVporelConsejoPCI.Uninformecompletosobresuusoestádisponibleen Blog sostenible .
La información proporcionada anteriormente de ninguna manera debe tomarse como un consejo oficial y se proporciona sin orden judicial, garantía o buena fe. Las declaraciones proporcionadas no representan los puntos de vista del consejo de PCI, ningún QSA / ASV, mi empleador, su empleador, el conjunto de todos los Rorys, este sitio, cualquier otro sitio, ni el ISP en el que está viendo este mensaje.