Este debate contiene 2 respuestas, tiene 3 mensajes y lo actualizó David Acosta David Acosta hace 1 mes.

  • Autor
    Publicaciones
  • #49713
    Avatar
    josem
    Participante

    Buenos días.

    Tengo una duda con el siguiente punto:

    1.1.6 Documentación y justificación de negocio para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros.

    Es necesario justificar cada uno de los servicios que se estén ejecutando en el directorio activo (Windows Server 2016), tendiendo en cuenta que los servicios que ejecuta windows internamente son muchos y es complejo identificar cada uno y justificarlo.

    Muchas gracias,

  • #49715
    Avatar
    Pablo Garcia
    Participante

    Hola José, creo que no interpretas bien el punto 1.1.6, salvo que tú Windows server sea una máquina con funciones de router o gestion en la red, si la función de tu server es la habitual dns, dhcp, file server, etc le aplica las normas Pci si está dentro del ámbito pero no el punto 1.1.6, en cualquier caso los servicios que corresponden al propio sistema están justificados «perse» y solo precisan de justificación los que no correspondan SNMP, SFTP, FTP, TELNET, WWW! Etc.

    Slds.

  • #49921
    David Acosta
    David Acosta
    Participante

    Buenas tardes a todos:

    Antes que nada, es importante tener en cuenta que el requisito de documentación y justificación de puertos, protocolos y servicios es muy importante para poder identificar si el tráfico entrante y saliente del entorno de cumplimiento de PCI DSS es correcto y corresponde a las necesidades de la organización. Por ejemplo, pensad que para la ejecución del requerimiento 1.1.7 de revisión semestral de las reglas de firewalls es imprescindible tener esta lista, porque de lo contrario no se sabrá si las reglas de filtrado están configuradas adecuadamente (¿En qué consiste la revisión semestral de reglas de filtrado de firewalls y routers requerida por PCI DSS?).

    Siendo así, si entre tu servidor de directorio activo (Windows 2016) y el resto de equipos del alcance de PCI DSS tienes ubicado un firewall, entonces sí que necesitarás documentar estos puertos, servicios y protocolos. Mira lo que dice el procedimiento de prueba del requisito 1.1.6.a:

    1.1.6.a Verifique que las normas de configuración de firewalls y routers incluyan una lista documentada de todos los servicios, protocolos y puertos, incluida la justificación comercial y la aprobación para cada una.

    Sin embargo, esto tampoco es una tarea imposible. Microsoft ya tiene identificados tales puertos y explica cómo configurar un firewall si es necesario aislar este tráfico de otras redes. Mira aquí «How to configure a firewall for Active Directory domains and trusts«.

    Espero que esta información te sirva.

Debes estar registrado para responder a este debate.