• 安装并维护防火墙配置，以保护持卡人数据
• 不使用供应商提供的默认系统密码和其他默认安全参数

• 保护已存储的持卡人数据
• 加密在开放的公共网络中传输的持卡人数据

• 保护所有系统免受恶意软件的侵害，并定期更新杀毒软件或程序
• 开发并维护安全系统和应用程序

• 据业务需要限制对持卡人数据的访问
• 识别和验证对系统组件的访问
• 限制对持卡人数据的物理访问

• 跟踪并监视对网络资源和持卡人数据的所有访问
• 定期测试安全系统和流程

• 维护针对所有人员的信息安全策略

在任何移动设备和/或员工拥有的设备上安装个人防火墙软件，这些设备可以在网络之外连接到互联网（例如，员工使用的笔记本电脑），也可以用来访问网络。

Desktop Central的软件部署可帮助IT管理员安装任何类型的.exe或.msi应用程序，包括防火墙软件。它将允许IT管理员管理和监视应用程序。Windows和Mac均支持此功能。

对于移动设备，Desktop Central“移动设备管理”提供了安装防火墙应用程序的功能，并使IT管理员可以通过资产清单控制台监视应用程序的状态。此外，应用程序管理将限制用户卸载Desktop Central部署的应用程序，无论它们是员工自有设备还是公司设备。

Desktop Central允许创建和配置强密码以保护设备安全并防止设备被入侵。

使用强加密对所有非控制台管理访问进行加密。使用诸如SSH、VPN或TLS等技术进行基于Web的管理和其他非控制台管理访问。

维护PCI DSS下的所有系统资产清单。

Desktop Central允许IT管理员创建系统的自定义组（在这种情况下，通常是受影响的系统），并将杀毒软件应用程序部署到该特定组，以确保系统安全。

对于被认为通常不受恶意软件影响的系统，执行定期评估是否有新的恶意威胁，以确认此类系统是否仍不需要杀毒软件。

Desktop Central可简化杀毒软件的更新过程，并检查相关的带宽成本。它还可以自动执行更新，从而节省管理员的时间。杀毒软件更新中，除传统的恶意软件（如病毒、特洛伊木马和蠕虫）外，还包括恶意软件和间谍软件更新。

确保维护所有防病毒机制：

保持最新

执行定期扫描

生成根据PCI DSS Requirement 10.7保留的审计日志

Desktop Central可以检测和更新过时的杀毒软件或补丁。

此外，Desktop Central还为MS Forefront Client Security Definitions提供独家支持。

Desktop Central定期扫描组织网络中的系统，识别缺失的补丁，并根据系统风险等级（如健康、有漏洞和高危）进行修复。并且，IT管理员可以使用Desktop Central来自定义健康性等级。

IT管理员可以根据风险等级部署补丁，并确保为系统安装最新补丁。

通过安装供应商提供的安全补丁，确保所有系统组件和软件免受已知漏洞的伤害。在发布后一个月内安装关键的安全补丁。

借助其漏洞扫描和补丁检测功能，Desktop Central“补丁管理”可以根据缺失的补丁或系统漏洞来管理补丁部署。此外，“自动补丁程序部署”可在补丁发布后的一个月内帮助部署安全补丁（即可以通过自动化来满足此要求）。

部署补丁后，代理将在系统中应用相关的安全补丁，并更新执行的状态。IT管理员可以下载安装状态报表验证计算机的实际安装状态。

定义每个角色的访问需求，包括：

每个角色因工作需要而要访问的系统组件和数据资源。

Desktop Central的RBAC（基于角色的访问控制）使IT人员可以将日常活动委派给其他具有明确权限的技术员。IT管理员可以根据策略需要定制任意数量的角色并分配权限，然后将这些角色与Desktop Central用户关联。

至少每90天删除/禁用非活动用户账户。

如果系统在指定的天数内处于非活动状态，Desktop Central会通知IT管理员。使IT管理员了解所管的设备状态。不活动的用户信息可以以报表的形式查看。

Desktop Central的“移动设备管理”可帮助IT管理员为用户设置允许的密码尝试次数限制。如果密码尝试次数超过限制，设备数据将被擦除，以保护数据安全性。

此外，Desktop Central可帮助记录密码尝试失败的次数。

将锁定时间设置为至少30分钟，或直到管理员取消锁定用户ID。

通过Desktop Central“移动设备管理”，IT管理员可以指定锁定设备屏幕的时间。如果设备空闲时间超过设定的时间，设备将自动锁定。

Desktop Central的电源管理提供“待机唤醒后需要输入密码”选项，用户在系统唤醒时进行身份验证。设置的配置可以从统一的控制台部署到多个系统，这为IT管理员提供了完全的控制权。

此外，远程会话设置允许IT管理员设置最大空闲会话超时，即如果会话超过了空闲时间，则将断开连接，且远程计算机将自动锁定。

密码/口令必须符合以下条件：

要求至少七个字符的长度

包含数字和字母字符

Desktop Central“移动设备管理”允许IT管理员创建密码策略，如数字、字母、密码长度等。

Desktop Central提供读取密码复杂度的选项。

Desktop Central“移动设备管理”提供指定要重置密码的周期的选项。

IT管理员可以在Desktop Central中配置指定日期的告警，以通知IT团队可以根据告警提示修改密码/口令。

不允许使用与最近四个密码/口令相同的新密码/口令。

Desktop Central“移动设备管理”允许在历史记录中保留几个密码，IT管理员可以指定要保留的先前密码的数量，限制用户重复使用。

为所有对CDE具有非控制台管理访问/远程访问权限的人员解决多因素身份验证问题。

Desktop Central使您能够启用双因素身份验证，以提示用户输入一次性密码（OTP）和默认密码。Desktop Central支持电子邮件和Google验证器两种模式的双因素身份验证。

维护媒体的资产清单日志，且至少每年进行一次媒体盘点。

Desktop Central可帮助维护硬件设备使用日志，包括USB设备日志。可以以报表的形式下载此日志信息以进行审计，并查找“谁在何时何地做了什么”。

每季度执行漏洞扫描并根据需要手动扫描，直到解决所有“高风险”漏洞（如需求6.1中所述）为止。扫描必须由有权限的技术员执行。

使用Desktop Central执行系统扫描，将会查找操作系统中缺失的补丁，并生成漏洞级别的详细信息，包括系统漏洞级别、缺失和适用的补丁、任务状态等。

实施风险评估流程：
至少每年执行一次，还要在环境发生重大变化时执行。

Desktop Central提供漏洞扫描和“补丁管理”解决方案。扫描结果将生成多维度安全报表，这有助于识别威胁并了解最新安全状态。

制定重要功能的使用限制策略，并帮助用户正确使用指定功能。

Desktop Central使IT管理员可以实施策略，例如配置密码和限制使用摄像头、YouTube，Safari浏览器等。它还提供对公司账户（如电子邮件、Wi-Fi、VPN等）的访问。

Desktop Central帮助保护和标准化网络中的桌面和设备。

Desktop Central的“资产清单”模块提供网络中系统和设备的硬件和软件全面的详细信息。

其中包括硬件资产清单详细信息，例如内存、操作系统、制造商、设备类型、外部设备等。软件资产清单包括黑名单应用程序、许可合规性和软件评测等详细信息。

在一定时间的不活动后，自动断开远程访问技术会话的连接。

Desktop Central可以设置远程控制中的空闲会话超时。

IT管理员可以指定远程会话空闲的最大时间限制。当空闲时间超过指定的时间时，将断开会话连接，且远程计算机将自动锁定。

使用Desktop Central，IT管理员可以在需要时创建单独的登录。在完成所需的故障排除或会话后，可以停用该会话。

监视和分析安全告警和信息，并分发给指定的人员。

借助Desktop Central的公告功能，IT管理员可以在需要时与适当的用户交流信息。

管理用户账户，包括添加、删除和修改。

Desktop Central的RBAC（基于角色的访问控制）允许配置用户角色，其中包括角色创建、修改和删除。

监视和控制所有对数据的访问。

通过Desktop Central，IT管理员可以限制媒体设备，例如系统的USB和移动设备的SD卡，以确保数据不会外泄。