<font size=1 face="sans-serif"><b>Product:</b></font><p><font size=1 face="sans-serif">IBM BigFix Compliance PCI Add-on</font><p><p><font size=1 face="sans-serif"><b>Title:</b></font><p><font size=1 face="sans-serif">Updated Security Configuration Management
(SCM) PCI DSS Checklists for Windows 2008, Windows 2012, Windows 7, Windows
Embedded POSReady 7, and Windows Embedded Standard 7 to comply with PCI
DSS v3.2</font><p><p><font size=1 face="sans-serif"><b>Category:</b></font><p><font size=1 face="sans-serif">Updated SCM checklist</font><p><p><font size=1 face="sans-serif"><b>Published Benchmark:</b></font><p><font size=1 face="sans-serif">Payment Card Industry Data Security Standard
v3.2</font><p><p><font size=1 face="sans-serif"><b>Details:</b></font><p><font size=1 face="sans-serif">The IBM BigFix Compliance PCI Add-on
team has updated the content for the Payment Card Industry Data Security
Standard (PCI DSS) checklists for Windows 2008, Windows 2012, Windows 7,
Windows Embedded POSReady 7, and Windows Embedded Standard 7 to comply
with PCI DSS v3.2, as well as to include other enhancements. Details are
as follows.</font><p><font size=1 face="sans-serif">PCI DSS v3.2 support:</font><ul><li><font size=1 face="sans-serif">PCI DSS Requirements and Security Assessment
Procedures v3.2 is supported in the identified Windows checklists. Existing
checks are updated to adopt to the new standard and new checks are added
to conform to the new requirements. </font><li><font size=1 face="sans-serif">The following PCI DSS v3.2 specific
checks are added to the checklists:</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that Security Policy "Windows Firewall: Log successful
connection(Private)" is set to Yes”</i> (pcidss-10.8.b.1)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that Security Policy "Windows Firewall: Log successful
connection(Public)" is set to Yes”</i> (pcidss-10.8.b.2)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that Security Policy "Windows Firewall: Log successful
connection(Domain)" is set to Yes”</i> (pcidss-10.8.b.3)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that "Audit Policy: Policy Change: MPSSVC Rule-Level
Policy Change" is set to 'Success, Failure'”</i> (pcidss-10.8.b.4)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that "Audit Policy: Detailed Tracking: Process Termination"
is set to Success”</i> (pcidss-10.8.b.6)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that System Directory(Program Files (x86)) Ownership is
set to 'Administrators'”</i> (pcidss-10.8.b.7)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that System Directory(Program Files) Ownership is set
to 'Administrators'”</i> (pcidss-10.8.b.8)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“PCI
DSS v3.2: Verify that System Directory(Windows) Ownership is set to 'Administrators'”</i>(pcidss-10.8.b.9)</font><p><font size=1 face="sans-serif"><i>Note: The manual remediation steps
for the last three checks listed above are specific to its operating system,
hence, the steps for Windows 2012 are slightly different from the other
Windows platforms.</i></font></ul><font size=1 face="sans-serif">Other enhancements:</font><ul><li><font size=1 face="sans-serif">The checks related to TLS and SSL that
are not compliant are removed from the identified Windows checklists.</font><li><font size=1 face="sans-serif">Mandatory checks related to TLS and
SSL are renamed to comply with the PCI DSS benchmark. The checks in the
identified checklists include: </font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that "Microsoft FTP Publishing Service"</i> is set to Disabled”
(pcidss-2.2.3.9) </font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that ports using SSL/TLS are configured only to use TLS v1.2”</i> (pcidss-4.1.g)</font><li><font size=1 face="sans-serif">The check named “Turn off support for
Transport Layer Security (TLS) 1.0, TLS 1.1, Secure Sockets Layer (SSL)
2.0, 3.0” (pcidss-4.1.g) is added in the identified Windows checklists.</font><li><font size=1 face="sans-serif">The following checks are added to the
Windows 2008, Windows 7, Windows Embedded POSReady 7, and Windows Embedded
Standard 7 checklists to extend the coverage for the PCI DSS benchmark:</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify that "Interactive logon: Number of previous logons to cache
(in case domain controller is not available)" is set to '4 or fewer
logon(s)'” </i>(pcidss-3.1.a)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that "Interactive logon: Message title for users attempting to log
on" is configured” </i>(pcidss-2.2.4.c.15)</font><li><font size=1 face="sans-serif">The following checks are updated for
the Windows Embedded Standard 7 and Windows Embedded POSReady 7 checklists
to resolve APAR IV85006 - Long Evaluation Cycle Time:  </font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that Administrator account is renamed on the system” </i>(pcidss-2.1.b_1)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that Guest account is renamed on the system” </i>(pcidss-2.1.b_2)</font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that Administrator account on the system is set to Disabled” </i>(pcidss-2.1.b_3)<i></i></font><p><font size=1 face="Courier New">o        </font><font size=1 face="sans-serif"><i>“Verify
that Guest account on the system is set to Disabled” </i>(pcidss-2.1.b_4)</font><p></ul><font size=1 face="sans-serif"><b>Published Site:</b><br>PCI DSS Checklist for Windows 2008, version 8<br>PCI DSS Checklist for Windows 2012, version 8<br>PCI DSS Checklist for Windows 7, version 6<br>PCI DSS Checklist for Windows Embedded POSReady 7, version 5<br>PCI DSS Checklist for Windows Embedded Standard 7, version 3<br><i>*The site version is provided for air-gap customers.</i></font><p><p><font size=1 face="sans-serif"><b>Actions to Take:</b></font><ul><li><font size=1 face="sans-serif">If you use custom sites, update your
custom sites accordingly to use the latest content. You can synchronize
your content by using the Synchronize Custom Checks wizard. For more information,
see </font><a href=https://ibm.biz/Bd4LBt><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/Bd4LBt</u></font></a><font size=1 face="sans-serif">.</font><li><font size=1 face="sans-serif">If you have not subscribed to the site
above, you can use the License Overview dashboard to enable and gather
the sites. Note that you must be entitled to the new content and you are
using IBM BigFix version 9.0 and later.</font><li><font size=1 face="sans-serif">If you were involved in the Early Access
Program for IBM BigFix Compliance PCI Add-on, unsubscribe from the beta
sites to avoid any conflicting issues with the production sites. If you
do not unsubscribe from the beta sites, the content in the production sites
will fail.</font><br></ul><br><font size=1 face="sans-serif"><b>More information:</b><br>Please note that PCI DSS v3.2 support for the existing PCI checklists for
other supported platforms will be available soon. Stay tuned for future
announcements.</font><br><br><font size=1 face="sans-serif">To know more information about the IBM
BigFix Compliance SCM checklists, see:</font><br><br><font size=1 face="sans-serif"><b>IBM BigFix Compliance PCI Add-on
User's Guide</b> in the BigFix developerWorks wiki: </font><a href=https://ibm.biz/BdrBtk><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrBtk</u></font></a><br><br><font size=1 face="sans-serif"><b>IBM developerWorks:</b> </font><a href=https://ibm.biz/BdFiGQ><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdFiGQ</u></font></a><br><br><font size=1 face="sans-serif"><b>SCM Checklist Deployment: </b></font><a href=https://ibm.biz/BdrBtU><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrBtU</u></font></a><br><br><font size=1 face="sans-serif"><b>IBM Blog for Checklist Release Announcement:
</b></font><a href=https://ibm.biz/BdrBt5><font size=1 color=#0082bf face="sans-serif"><u>https://ibm.biz/BdrBt5</u></font></a><br><br><font size=1 face="sans-serif"><b>BigFix forums:</b> </font><a href=https://forum.bigfix.com/><font size=1 color=#0082bf face="sans-serif"><u>https://forum.bigfix.com/</u></font></a><br><br><p><font size=1 face="sans-serif">We hope you find this latest release
of SCM content useful and effective. Thank you!</font><p><p><font size=1 face="sans-serif"><i> -- The IBM BigFix Compliance
PCI Add-on team</i></font><BR>