2.2.2
Определенные Требования к Подходу:
Учетные записи поставщика по умолчанию управляются следующим образом:
- Если будут использоваться учетные записи поставщика по умолчанию, пароль по умолчанию изменяется в соответствии с требованием 8.3.6.
- Если учетная запись (учетные записи) поставщика по умолчанию не будут использоваться, учетная запись будет удалена или отключена.
Цель Индивидуального подхода:
Доступ к системным компонентам с использованием паролей по умолчанию невозможен.
Примечания по применению:
Это относится ко ВСЕМ учетным записям и паролям поставщика по умолчанию, включая те, которые используются операционными системами, программным обеспечением, предоставляющим службы безопасности, учетными записями приложений и систем, терминалами точек продаж (POS), платежными приложениями и протоколами простого сетевого управления (SNMP) по умолчанию.
Это требование также применяется, если системный компонент не установлен в среде организации, например, программное обеспечение и приложения, которые являются частью CDE и доступны через облачную службу подписки.
Определенные Процедуры Тестирования Подхода:
- 2.2.2.a Изучите стандарты конфигурации системы, чтобы убедиться, что они включают управление учетными записями поставщика по умолчанию в соответствии со всеми элементами, указанными в этом требовании.
- 2.2.2.b Изучите документацию поставщика и понаблюдайте, как системный администратор входит в систему, используя учетные записи поставщика по умолчанию, чтобы убедиться, что учетные записи реализованы в соответствии со всеми элементами, указанными в этом требовании.
- 2.2.2.c Изучите файлы конфигурации и опросите персонал, чтобы убедиться, что все учетные записи поставщика по умолчанию, которые не будут использоваться, удалены или отключены.
Цель:
Злоумышленники часто используют имена учетных записей и пароли поставщиков по умолчанию для компрометации операционных систем, приложений и систем, на которых они установлены.
Поскольку эти настройки по умолчанию часто публикуются и хорошо известны, изменение этих настроек сделает системы менее уязвимыми для атак.
Надлежащая практика:
Все учетные записи поставщика по умолчанию должны быть идентифицированы, а их назначение и использование должны быть поняты. Важно установить контроль для учетных записей приложений и систем, в том числе тех, которые используются для развертывания и обслуживания облачных служб, чтобы они не использовали пароли по умолчанию и не могли использоваться неавторизованными лицами.
Если учетная запись по умолчанию не предназначена для использования, изменение пароля по умолчанию на уникальный пароль, соответствующий требованию PCI DSS 8.3.6, удаление любого доступа к учетной записи по умолчанию, а затем отключение учетной записи предотвратит повторное включение учетной записи злоумышленником и получение доступа с помощью пароля по умолчанию.
Рекомендуется использовать изолированную промежуточную сеть для установки и настройки новых систем, а также может использоваться для подтверждения того, что учетные данные по умолчанию не были введены в производственные среды.
Примеры:
Значения по умолчанию, которые следует учитывать, включают идентификаторы пользователей, пароли и другие учетные данные для аутентификации, обычно используемые поставщиками в своих продуктах.
