Microsoft Entra ID und PCI-DSS-Anforderung 2

Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
Anforderungen des definierten Ansatzes

2.1 Prozesse und Mechanismen zum Anwenden sicherer Konfigurationen auf alle Systemkomponenten sind definiert und werden verstanden.

Anforderungen des PCI-DSS-definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
2.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in Anforderung 2 identifiziert werden, sind:
Dokumentiert
Auf dem neuesten Stand
In Gebrauch
Allen Betroffenen bekannt
Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.
2.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 2 sind dokumentiert, zugewiesen und werden verstanden. Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.

2.2 Systemkomponenten sind konfiguriert und werden sicher verwaltet.

Anforderungen des PCI-DSS-definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
2.2.1 Konfigurationsstandards werden entwickelt, implementiert und verwaltet, und:
decken alle Systemkomponenten ab.
beheben alle bekannten Sicherheitsrisiken.
stehen im Einklang mit branchenweit akzeptierten Systemabsicherungsstandards oder Empfehlungen des Anbieters zur Systemabsicherung.
werden aktualisiert, wenn neue Sicherheitsrisiken identifiziert werden, wie in Anforderung 6.3.1 definiert.
werden angewendet, wenn neue Systeme vor oder unmittelbar nach der Verbindung einer Systemkomponente mit einer Produktionsumgebung konfiguriert und überprüft werden.
Weitere Informationen finden Sie im Leitfaden für Microsoft Entra-SecOps.
2.2.2 Standardkonten des Anbieters werden wie folgt verwaltet:
Wenn die Standardkonten des Anbieters verwendet werden, wird das Standardkennwort gemäß Anforderung 8.3.6 geändert.
Wenn die Standardkonten des Anbieters nicht verwendet werden, wird das Konto entfernt oder deaktiviert.
Gilt nicht für Microsoft Entra ID.
2.2.3 Primäre Funktionen, die unterschiedliche Sicherheitsstufen erfordern, werden wie folgt verwaltet:
Nur eine primäre Funktion ist auf einer Systemkomponente vorhanden,
ODER
Primäre Funktionen mit unterschiedlichen Sicherheitsstufen, die auf derselben Systemkomponente vorhanden sind, werden voneinander isoliert,
ODER
Primäre Funktionen mit unterschiedlichen Sicherheitsstufen auf derselben Systemkomponente werden alle mit der Stufe gesichert, die von der Funktion mit dem höchsten Sicherheitsbedarf benötigt wird.
Erfahren Sie mehr über die Bestimmung der am wenigsten privilegierten Rollen. Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID
2.2.4 Nur erforderliche Dienste, Protokolle, Daemons und Funktionen sind aktiviert, und alle unnötigen Funktionen werden entfernt oder deaktiviert. Überprüfen Sie die Microsoft Entra-Einstellungen, und deaktivieren Sie nicht verwendete Features. Fünf Schritte zum Sichern Ihrer Identitätsinfrastruktur
Leitfaden für Microsoft Entra-Sicherheitsvorgänge
2.2.5 Wenn unsichere Dienste, Protokolle oder Daemons vorhanden sind:
Die geschäftliche Begründung ist dokumentiert.
Zusätzliche Sicherheitsfeatures sind dokumentiert und implementiert, die das Risiko der Verwendung unsicherer Dienste, Protokolle oder Daemons verringern.
Überprüfen Sie die Microsoft Entra-Einstellungen, und deaktivieren Sie nicht verwendete Features. Fünf Schritte zum Sichern Ihrer Identitätsinfrastruktur
Leitfaden für Microsoft Entra-Sicherheitsvorgänge
2.2.6 Systemsicherheitsparameter sind konfiguriert, um Missbrauch zu verhindern. Überprüfen Sie die Microsoft Entra-Einstellungen, und deaktivieren Sie nicht verwendete Features. Fünf Schritte zum Sichern Ihrer Identitätsinfrastruktur
Leitfaden für Microsoft Entra-Sicherheitsvorgänge
2.2.7 Administratorzugriff, der nicht über die Konsole erfolgt, ist mit sicheren Kryptografieverfahren verschlüsselt. Microsoft Entra ID-Schnittstellen wie das Verwaltungsportal, Microsoft Graph und PowerShell werden bei der Übertragung mithilfe von TLS (Transport Layer Security) verschlüsselt. Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung zur Vorbereitung auf die Einstellung von Microsoft Entra TLS 1.1 und 1.0

2.3 Drahtlose Umgebungen sind konfiguriert und werden sicher verwaltet.

Anforderungen des PCI-DSS-definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
2.3.1 Bei drahtlosen Umgebungen, die mit dem CDE verbunden sind oder Kontodaten übertragen, werden alle drahtlosen Standardeinstellungen des Anbieters bei der Installation geändert oder bestätigt, dass sie sicher sind, einschließlich, aber nicht beschränkt auf:
Drahtlose Standardverschlüsselungsschlüssel
Kennwörter auf drahtlosen Zugriffspunkten
SNMP-Standardwerte
Alle anderen sicherheitsbezogenen drahtlosen Standardeinstellungen des Anbieters
Wenn Ihre Organisation Netzwerkzugriffspunkte für die Authentifizierung in Microsoft Entra ID integriert, lesen Sie Anforderung 1: Installation und Wartung von Netzwerksicherheitskontrollen.
2.3.2 Bei drahtlosen Umgebungen, die mit dem CDE verbunden sind oder Kontodaten übertragen, werden drahtlose Verschlüsselungsschlüssel wie folgt geändert:
Immer dann, wenn Mitarbeiter*innen mit Kenntnis des Schlüssels das Unternehmen oder die Rolle verlassen, für die die Kenntnis erforderlich war.
Immer dann, wenn der Verdacht besteht oder bekannt ist, dass ein Schlüssel kompromittiert wird.
Gilt nicht für Microsoft Entra ID.

Nächste Schritte

Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.

Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.