Microsoft Entra ID 和 PCI-DSS 要求 2
要求 2:将安全配置应用于所有系统组件
定义的方法要求
2.1 定义并了解将安全配置应用于所有系统组件的过程和机制。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 2.1.1 要求 2 中确定的所有安全策略和操作过程需: 已载明 保持最新状态 在使用中 为所有受影响方所知晓 |
根据环境配置,使用此处的指导和链接生成相应文档以满足要求。 |
| 2.1.2 记录、分配并了解执行要求 2 中的活动的角色和职责。 | 根据环境配置,使用此处的指导和链接生成相应文档以满足要求。 |
2.2 以安全方式配置和管理系统组件。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 2.2.1 开发、实施并维护配置标准,从而: 覆盖所有系统组件。 解决所有已知的安全漏洞。 与行业接受的系统强化标准或供应商强化建议保持一致。 根据要求 6.3.1 中所定义的,在发现新的漏洞问题时进行更新。 在新系统进行配置并验证已配置到位后,应用这些标准(请在系统组件连接到生产环境之前应用,或在连接之后立即应用)。 |
请参阅 Microsoft Entra安全操作指南 |
| 2.2.2 供应商默认帐户需按如下方式进行管理: 如果将使用供应商默认帐户,则默认密码需根据要求 8.3.6 进行变更。 如果不使用供应商默认帐户,则会移除或禁用该帐户。 |
不适用于 Microsoft Entra ID。 |
| 2.2.3 需要不同安全级别的主函数需按如下方式进行管理: 一个系统组件上只存在一个主函数, 或者 存在于同一系统组件上的具有不同安全级别的主函数彼此隔离, 或者 同一系统组件上的具有不同安全级别的主函数都按照具有最高安全需求的函数所需的级别进行保护。 |
了解如何确定最低特权角色。 Microsoft Entra ID 中按任务显示的最低特权角色 |
| 2.2.4 仅启用必要的服务、协议、守护程序和函数,移除或禁用所有不必要的功能。 | 查看 Microsoft Entra 设置并禁用未使用的功能。 保护标识基础结构的五个步骤 Microsoft Entra 安全运营指南 |
| 2.2.5 如果存在任何不安全的服务、协议或守护程序,则需: 记录业务理由。 记录并实现其他安全功能,以降低使用不安全的服务、协议或守护程序的风险。 |
查看 Microsoft Entra 设置并禁用未使用的功能。 保护标识基础结构的五个步骤 Microsoft Entra 安全运营指南 |
| 2.2.6 配置系统安全参数,以防止滥用。 | 查看 Microsoft Entra 设置并禁用未使用的功能。 保护标识基础结构的五个步骤 Microsoft Entra 安全运营指南 |
| 2.2.7 使用强密码加密所有非控制台管理访问。 | 在传输过程中使用 TLS 加密 Microsoft Entra ID 接口,如管理门户、Microsoft Graph 和 PowerShell。 在环境中启用对 TLS 1.2 的支持,以便弃用 Microsoft Entra TLS 1.1 和 1.0 |
2.3 以安全方式配置和管理无线环境。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 2.3.1 对于连接到 CDE 或传输帐户数据的无线环境,需要确认所有无线供应商默认设置都是安全的,或者在安装时对其进行变更,这些设置包括但不限于: 默认无线加密密钥 无线接入点上的密码 SNMP 默认设置 任何其他与安全相关的无线供应商默认设置 |
如果组织将网络接入点与 Microsoft Entra 集成以进行身份验证,请参阅要求 1:安装和维护网络安全控件。 |
| 2.3.2 对于连接到 CDE 或传输帐户数据的无线环境,需要更改无线加密密钥的情况如下: 当了解密钥的人员离职或不再承担需要了解该知识的角色时。 当怀疑或已知密钥被泄露时。 |
不适用于 Microsoft Entra ID。 |
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。