Вопрос: ИТ-менеджер уходит - Что я блокирую?


ИТ-менеджер может уйти, и вполне возможно, что расставание путей может быть не полностью гражданским. Я бы не ожидал зла, но на всякий случай, что я могу проверить, изменить или заблокировать?

Примеры:

  • Пароль администратора
  • Беспроводные пароли
  • Правила доступа к VPN
  • Настройки маршрутизатора / брандмауэра

50
2018-06-22 09:31


Источник


См. задние двери от предыдущих ИТ? - Zoredache


Ответы:


Очевидно, что физическая безопасность должна быть решена, но после этого ...

Предполагая, что у вас нет документированной процедуры, когда сотрудники уходят (общая среда, поскольку вы не указываете, какие платформы вы запускаете):

  1. Начните с охраны периметра. Измените все пароли на любом периметрическом оборудовании, таком как маршрутизаторы, брандмауэры, vpn и т. Д. Затем заблокируйте все учетные записи, которые был у ИТ-менеджера, а также просмотрите все остальные учетные записи для любых, которые больше не используются, t принадлежат (в случае, если он добавил вторичный).
  2. Email - удалите свою учетную запись или, по крайней мере, отключите логины для нее в зависимости от политики вашей компании.
  3. Затем пройдите через безопасность вашего хоста. Все машины и службы каталогов должны отключить и / или удалить свою учетную запись. (Убрано предпочтительнее, но вам, возможно, придется их проверять, если у него есть что-то работающее, которое действительно под ними). Опять же, просмотрите все учетные записи, которые больше не используются, а также любые, которые не принадлежат. Отключите и удалите их. Если вы используете ключи ssh, вы должны изменить их в учетных записях admin / root.
  4. Общие учетные записи, если они есть, должны иметь все свои пароли. Вы также должны посмотреть на удаление общих учетных записей или отключение интерактивного входа в систему в качестве общей практики.
  5. Учетные записи приложений ... не забывайте изменять пароли или отключать / удалять учетные записи из всех приложений, к которым у него есть доступ, начиная с учетных записей доступа администратора.
  6. Ведение журнала ... убедитесь, что у вас есть хороший вход в систему для использования учетной записи, и внимательно следите за ним, чтобы искать любую подозрительную деятельность.
  7. Резервные копии ... убедитесь, что ваши резервные копии являются текущими и безопасными (желательно за пределами площадки). Убедитесь, что вы сделали то же самое, что и выше, с резервными системами до учетных записей.
  8. Документы ... старайтесь как можно больше идентифицировать, запрашивать у него, если это возможно, и копировать где-нибудь в безопасности, всю его документацию.
  9. Если у вас есть какие-либо услуги, переданные на аутсорсинг (электронная почта, фильтрация спама, хостинг любого типа и т. Д.), Обязательно сделайте все вышеперечисленное, соответствующее этим сервисам.

Поскольку вы все это делаете, документировать его, так что у вас есть процедура для будущих завершений.

Кроме того, если вы используете какие-либо службы colocation, убедитесь, что его имя было удалено из списка доступа и списка подачи билетов. Было бы разумно сделать то же самое для любых других поставщиков, в которых он был основным лицом, поэтому он не может отменить или использовать сервисы, которые вы получаете от этих поставщиков, а также чтобы поставщики знали, с кем связаться для продления, проблемы и т. д., которые могут сэкономить вам некоторые головные боли, когда что-то не удалось сделать ИТ-менеджеру.

Я уверен, что я пропустил больше, но это не в моей голове.


38
2018-06-22 12:25



Я также должен добавить, что сейчас самое подходящее время для обзора вашей политики безопасности и повышения общей безопасности. ;) - skraggy
Я думаю, вы имеете в виду «периметр», а не «параметр», - Matt Rogish
Да, извините ... это то, что я получаю за ответ, прежде чем я выпил свой кофе утром. :) - skraggy
Не беспокойся; Я бы отредактировал его, если бы у меня хватило репутации, но это немного помогло моему мозгу, пока я его правильно разобрал :) - Matt Rogish


Не забывайте о физической безопасности - убедитесь, что он не может попасть в какое-либо здание - здорово, что вы повсюду в сетевом комплекте, но если он сможет добраться до центра обработки данных, это бессмысленно.


18
2018-06-22 09:34





Мы подозревали, что недовольный сотрудник, который все еще находился в периоде уведомления, мог установить некоторые программы удаленного доступа, поэтому мы ограничили его учетную запись только на рабочие часы, чтобы он не мог удаленно послезавтра, когда никто не собирался делать это вещи (в часы работы мы могли видеть его экран четко, поэтому, если бы он поднялся до озорства, которого мы бы знали).

Оказалось, что он был ценным, он установил LogMeIn и фактически попытался получить доступ через часы.

(это была небольшая сетевая сеть, никаких ACL или модных брандмауэров)


13
2018-06-22 09:35



Зачем бы вы оставляли сотрудника DISGRUNTLED в течение срока их уведомления. Сотрудник, который не недоволен, не проблема, а недовольный сотрудник? Это просто просит неприятностей. - Jason Tan
У меня есть предположение, основанное на нем, говоря, что это небольшая компания, не имеющая ACL или фантастических брандмауэров, компания, вероятно, не могла избавиться от него. У ЭТОГО парня были короткие волосы, если вы понимаете, что я имею в виду. Плохое место, но я мог видеть, как это происходит. - Matt
Его держали, потому что босс был тугим. Если вы уволите кого-нибудь в Австралии, вам либо придется держать их на 4 недели при полной оплате, либо заплатить им 4 недели, заплатить все сразу и избавиться от них. Ему не понравилась идея заплатить кому-то за 4 недели оплаты и не получить от них ничего. - Mark Henderson♦
Я даже не подумал об этой идее, что сотрудник не может быть в США. Иногда может быть эгоцентричная моя точка зрения. - Matt


Также будьте осторожны, чтобы не блокировать слишком много. Я помню ситуацию, когда кто-то ушел, и через день стало очевидно, что какое-то критически важное для бизнеса программное обеспечение действительно работает под его личной учетной записью пользователя.


10
2018-06-22 09:41



Это было сделано. Если наш системный администратор когда-нибудь уйдет, мы будем в реальной горячей воде, потому что многие службы будут запущены под его учетной записью. Плохая практика, я знаю ... - Mark Henderson♦
Я знаю, почему ты не говоришь ему / ей, чтобы менять эти жиры? - serverhorror
Используйте любой поломка в результате этого как возможность переместить все службы на специализированные учетные записи служб. - tomfanning


Просто добавьте - также убедитесь, что у вас есть аудит неудачных а также успешные логины - куча неудач для учетной записи, за которой следовал успех, может равняться взлому. Вы также можете заставить всех остальных изменить свои пароли, если ИТ-менеджер участвовал в настройках пароля. Не забывайте также пароли базы данных, и вы можете очистить свою учетную запись электронной почты для получения защищенной информации. Я также поместил проверки доступа на любую конфиденциальную информацию / базы данных и запретил ему / ей выполнять резервное копирование системы / базы данных.

Надеюсь это поможет.


6
2018-06-22 09:41



Да, но заставить людей менять свои пароли было бы проблемой, хотя, я думаю, вы могли бы установить, что все учетные записи потребуют изменения при следующем входе в систему и сообщают всем, что происходит обновление сервера (никто не любит, когда ему приходится менять пароли, espically end пользователи). Также самое время провести аудит всех учетных записей пользователей (как локальной машины, так и сети), существующих в бизнесе. - p858snake


Удостоверьтесь, что прежде, чем вы позволите этому человеку пойти, понять, что вещи могут и будут падать, или быть проблематичными, пока вы не замените этого человека. Я надеюсь, что вы не будете обвинять их во всем, что сходит только потому, что вы предполагаете / знаете, что это не будет хорошим прорывом, или подумайте, что они каким-то образом взломали вас из-за переполнения туалета.

Надеюсь, этот сценарий звучит нелепо для вас. Но это настоящая история из моей последней работы: теперь владелец пытается подать в суд на меня за саботаж (в основном потому, что я ухожу, и они не хотят платить кому-либо, чтобы меня заменили рыночные ставки) и кибер-преступления, такие как взлом и интернет-рэкет.

Итог - это оценка «почему» по причине их увольнения. Если это что-то иное, чем экономические потребности, я предлагаю вам усовершенствовать свои процедуры найма, чтобы вы могли нанять более профессионального человека, в котором по профессии должна быть надежной и заслуживающей доверия с деловой критической и обычно конфиденциальной информацией, и которая может установить надлежащую которые должны соблюдать все.

Один из способов узнать, как вы проводите собеседование, - это то, насколько хорошо они берут интервью у вас и вашего бизнеса взамен. Ответственность (Как и то, что компания считает, что ИТ-менеджер может быть виноват, если что-то пойдет не так - обычно будет заключено в рамках контракта), а общая сетевая безопасность является одной из трех главных вещей любого разумного менеджера IT / CTO при приходе в интервью для работы.


6
2018-06-22 13:33





Измените все пароли администратора (серверы, маршрутизаторы, коммутаторы, удаленный доступ, брандмауэры) Удалите все правила брандмауэра для удаленного доступа для ИТ-менеджера. Если вы используете маркеры безопасности, отключите токен (ы) ИТ-менеджера от всего доступа. Удалите доступ TACACS (если вы используете это).

Обязательно выполняйте эти изменения с ИТ-менеджером в конференц-зале или иным образом под физическим контролем, чтобы он не мог наблюдать за процессом. При чтении poassword, поскольку оно набирается на клавиатуре, нетривиально (не сложно, просто нетривиально), если это нужно повторить, существует более высокий риск того, что пароль будет почерпнут.

Если возможно, замените блокировки. Если ключи могут быть реплицированы (и, короче говоря, они могут), это остановит ИТ-менеджера от получения физического доступа впоследствии. Отключите любую пропущенную карточку, которую вы не можете зарегистрировать (не только открытые вами карты были выданы ИТ-менеджеру).

Если у вас несколько входящих телефонных линий, проверьте ВСЕ их, чтобы убедиться, что к ним не подключены неизвестные устройства.


5
2018-06-22 12:17





Проверьте политики брандмауэра
Измените пароль администратора и проверьте учетные записи, которые больше не используются.
Отменить свои сертификаты
Создайте резервную копию своей рабочей станции и отформатируйте ее.
Используйте контрольные контрольные суммы для важных файлов на своих серверах и поместите IDS в порт диапазона в стойке.

Просто мои 2cts.


3
2018-06-22 09:36





Также проверьте дополнительные счета. Он мог легко добавить новую учетную запись, как только он узнает, что он уходит. Или даже вскоре после его прибытия.


3
2018-06-22 09:55



Я это видел. Мы удалили доступ администратора к серверам в этом месте этого парня, чтобы найти пользователя с именем JBond, зарегистрированного на консоли. У плохой учетной записи Jame также был удален доступ администратора. - Mitch


Это зависит от того, насколько вы параноики. Некоторые люди идут настолько, насколько это плохо - заменять все ключи и замки. Еще одна причина быть приятным для администраторов sys;)

Все вышеприведенные советы хороши - еще один может даже заставить всех пользователей менять свои пароли (и, если Windows), применяет сложную политику паролей.

Кроме того, если вы когда-либо делали удаленную поддержку или настраивали удаленный офис / клиент (то есть другой сайт), попросите их также изменить свои пароли.


3
2018-06-22 10:50





Не забудьте выпустить любые учетные записи экстрасети, которые он может иметь от имени вашей компании. Они часто упускаются из виду и часто становятся причиной многого скорби.

Мощь (по пути «Я - ультра-параноидальный») также хочу уведомить ваших представителей о продажах для разных продавцов, с которыми вы работаете, если он попытается связаться с кем-то там.


3
2018-06-22 14:15



Великий призыв - вообще об этом не думал. - Marko Carter