Uno de nuestros servidores web que es administrado por un proveedor de servicios (completamente bajo su control, no tenemos acceso de inicio de sesión) acaba de fallar la vulnerabilidad PCI-DSS. escaneo por TrustKeeper. El escaneo de vulnerabilidades detectó la caja como un sistema operativo Windows Server 2003 SP1 (extremadamente desactualizado).
Envié el informe a nuestro proveedor de servicios (junto con un correo electrónico enojado). Respondieron con una simple captura de pantalla recortada de la pantalla de sysinfo que muestra ALGUNAS ventanas 2k3 sp2 box. No tengo forma de saber si esa captura de pantalla es de nuestra caja o no, y según la historia con el proveedor, me inclino a pensar que solo la tomaron de otra de sus cajas para cubrir sus extremos.
Sin AD o acceso de inicio de sesión, es imposible para mí saber con seguridad el nivel de SP de este cuadro.
Pregunta:
-
¿Es suficiente una simple captura de pantalla de la página sysinfo para la evidencia de cumplimiento de PCI-DSS? No puedo imaginar que sea como se dijo, podría ser desde cualquier sistema. Pero entonces, ¿cómo obtener evidencia de este cuadro que muestra que realmente es nuestro cuadro y realmente es SP2?
-
Cómo verificar de forma remota el nivel de SP de un cuadro. No he tenido suerte con nmap ... ¿hay otra forma de demostrar que no está actualizado?
Consulte esta Server Fault para mi OP.