Microsoft Entra ID 和 PCI-DSS 需求 2
需求 2:將安全設定套用至所有系統元件
定義的方法需求
2.1 定義並瞭解將安全設定套用至所有系統元件的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 2.1.1 需求 2 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 2.1.2 需求 2 中執行活動的角色和責任會予以記載、指派及瞭解。 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
2.2 安全地設定和管理系統元件。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 2.2.1 設定標準已開發、實作及維護至: 涵蓋所有系統元件。 解決所有已知的安全性弱點。 與業界公認的系統強化標準或廠商強化建議一致。 在識別新的弱點問題時更新,如需求 6.3.1 中所定義。 在系統元件連線到生產環境之前或立即就地設定並驗證新系統時套用。 |
請參閱 Microsoft Entra 安全性作業指南 |
| 2.2.2 廠商預設帳戶的管理方式如下: 如果使用廠商預設帳戶,則會根據需求 8.3.6 變更預設密碼。 如果未使用廠商預設帳戶,則會移除或停用帳戶。 |
不適用於 Microsoft Entra ID。 |
| 2.2.3 需要不同安全性層級的主要函式會依下列方式管理: 系統元件上只有一個主要函式存在, 或 相同系統元件上存在不同安全性層級的主要函式彼此隔離, OR 相同系統元件上具有不同安全性層級的主要函式都受到保護至具有最高安全性需求的函式所需的層級。 |
瞭解如何判斷最低權限的角色。 Microsoft Entra ID 中工作的最低特殊權限角色 |
| 2.2.4 僅啟用必要的服務、通訊協定、精靈及函式,並移除或停用所有不必要的功能。 | 檢閱 Microsoft Entra 設定,並停用未使用的功能。 Microsoft Entra 安全性作業指南保護身分識別基礎結構 的五個步驟 |
| 2.2.5 如果有任何不安全的服務、通訊協定或精靈存在: 業務理由記載。 記載並實作其他安全性功能,以降低使用不安全的服務、通訊協定或精靈的風險。 |
檢閱 Microsoft Entra 設定,並停用未使用的功能。 Microsoft Entra 安全性作業指南保護身分識別基礎結構 的五個步驟 |
| 2.2.6 系統安全性參數已設定為防止誤用。 | 檢閱 Microsoft Entra 設定,並停用未使用的功能。 Microsoft Entra 安全性作業指南保護身分識別基礎結構 的五個步驟 |
| 2.2.7 所有非主控台系統管理存取都會使用強式密碼編譯來加密。 | Microsoft Entra ID 介面,例如管理入口網站、Microsoft Graph 及 PowerShell,都會使用 TLS 在傳輸中加密。 在您的環境中啟用 TLS 1.2 的支援,以因應 Microsoft Entra TLS 1.1 和 1.0 的淘汰 |
2.3 安全地設定和管理無線環境。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 2.3.1 針對連線到 CDE 或傳輸帳戶資料的無線環境,所有無線廠商預設都會在安裝時變更,或確認為安全,包括但不限於: 無線存取點上 密碼 SNMP 預設值 任何其他安全性相關無線廠商預設值 |
如果您的組織整合網路存取點與 Microsoft Entra ID 進行驗證,請參閱需求 1:安裝和維護網路安全控制。 |
| 2.3.2 針對連線到 CDE 或傳輸帳戶資料的無線環境,無線加密金鑰會變更如下: 每當具備金鑰知識的人員離開公司或知識所需的角色時。 每當可疑或已知遭到入侵的金鑰時。 |
不適用於 Microsoft Entra ID。 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。