Microsoft Entra ID 和 PCI-DSS 需求 2
需求 2:將安全設定套用至所有系統元件
定義的方法需求
2.1 定義並瞭解將安全組態套用至所有系統元件的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 2.1.1 需求 2 中識別的所有安全策略和操作程式皆為: 記載 保持最新 使用 所有受影響的合作物件已知 |
使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
| 2.1.2 需求 2 中執行活動的角色和責任記載、指派及瞭解。 | 使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
2.2 系統元件會安全地設定和管理。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 2.2.1 設定標準是開發、實作和維護的: 涵蓋所有系統元件。 解決所有已知的安全性弱點。 與業界公認的系統強化標準或廠商強化建議一致。 在識別新的弱點問題時更新,如需求 6.3.1 中所定義。 在系統元件連線到生產環境之前或立即就地設定並驗證新系統時套用。 |
請參閱, Microsoft Entra 安全性作業指南 |
| 2.2.2 廠商默認帳戶的受控方式如下: 如果使用廠商默認帳戶,則會根據需求 8.3.6 變更默認密碼。 如果未使用廠商默認帳戶,則會移除或停用帳戶。 |
不適用於Microsoft Entra標識符。 |
| 2.2.3 需要不同安全性層級的主要函式會依下列方式進行管理: 系統元件上只有一個主要函式存在,或相同系統元件上存在不同安全性層級的主要函式彼此隔離 , 或 相同系統元件上具有不同安全性層級的主要函式,全都受到具有最高安全性需求之函式所需的層級保護。 |
瞭解如何判斷最低許可權的角色。 Microsoft Entra ID 中工作的最低特殊權限角色 |
| 2.2.4 僅啟用必要的服務、通訊協定、精靈和函式,並移除或停用所有不必要的功能。 | 檢閱Microsoft Entra 設定,並停用未使用的功能。 Microsoft Entra 安全性作業指南保護身分識別基礎結構 的五個步驟 |
| 2.2.5 如果有任何不安全的服務、通訊協定或精靈存在: 記載商務理由。 已記載並實作其他安全性功能,以降低使用不安全的服務、通訊協定或精靈的風險。 |
檢閱Microsoft Entra 設定,並停用未使用的功能。 Microsoft Entra 安全性作業指南保護身分識別基礎結構 的五個步驟 |
| 2.2.6 系統安全性參數已設定為防止誤用。 | 檢閱Microsoft Entra 設定,並停用未使用的功能。 Microsoft Entra 安全性作業指南保護身分識別基礎結構 的五個步驟 |
| 2.2.7 所有非console 系統管理存取都會使用強密碼編譯來加密。 | Microsoft Entra ID 介面,例如管理入口網站、Microsoft Graph 和 PowerShell,都會使用 TLS 在傳輸中加密。 在您的環境中啟用 TLS 1.2 的支援,Microsoft Entra TLS 1.1 和 1.0 取代 |
2.3 無線環境已安全地設定和管理。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 2.3.1 對於連線到 CDE 或傳輸帳戶數據的無線環境,所有無線廠商預設都會在安裝時變更,或確認為安全,包括但不限於: 無線存取點 上的預設無線加密密鑰 SNMP 預設值任何其他安全性相關無線廠商預設值 |
如果您的組織將網路存取點與 Microsoft Entra ID 整合以進行驗證,請參閱 需求 1:安裝和維護網路安全性控制。 |
| 2.3.2 對於連線到 CDE 或傳輸帳戶數據的無線環境,無線加密密鑰會變更如下: 每當具備密鑰知識的人員離開公司或需要知識的角色時。 每當可疑或已知遭到入侵的金鑰時。 |
不適用於Microsoft Entra標識符。 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。