ІТ-менеджер залишає - Що я можу заблокувати?

ІТ-менеджер, можливо, виїжджає, і можливо, що розлука способів може бути не повністю цивільною. Я б не очікував будь-якої злоби, але про всяк випадок, що я перевіряю, змінюю чи заблокую?

Приклади:

• Паролі адміністратора
• Бездротові паролі
• Правила доступу до VPN
• Налаштування маршрутизатора / брандмауера

Очевидно, що фізичну безпеку потрібно вирішити, але після цього ...

Припустимо, що у вас немає документально підтвердженої процедури, коли працівники виїжджають (загальне середовище, оскільки ви не згадуєте, на яких платформах працюєте):

1. Почніть з безпеки по периметру. Змініть усі паролі на будь-якому периметровому обладнанні, як маршрутизатори, брандмауери, vpn та ін. ... Потім заблокуйте будь-які облікові записи, які мав ІТ-менеджер, а також перегляньте всі залишки облікових записів на ті, які більше не використовуються, і будь-які, що не роблять ' t належать (на випадок, якщо він додав другорядне).
2. Електронна пошта - видаліть його акаунт або принаймні вимкніть вхід у нього залежно від політики вашої компанії.
3. Потім перегляньте безпеку хоста. Усі машини та служби каталогів мають вимкнути та / або видалити його акаунт. (Краще видалено, але вам може знадобитися перевірити їх у випадку, якщо у нього є що-небудь запущене, що в першу чергу є дійсним під ними). Знову ж таки, перегляньте, чи немає облікових записів, які більше не використовуються, а також тих, які не належать. Відключити / видалити їх також. Якщо ви використовуєте ssh-ключі, вам слід змінити їх у акаунтах адміністратора / root.
4. Якщо у вас є спільні облікові записи, усі вони повинні змінити свої паролі. Ви також повинні розглядати видалення спільних облікових записів або відключення інтерактивного входу в них як загальну практику.
5. Облікові записи додатків ... не забудьте змінити паролі або вимкнути / видалити облікові записи з усіх програм, до яких він мав доступ, починаючи з облікових записів адміністратора доступу.
6. Ведення журналу ... переконайтеся, що у вас є гарний журнал для використання облікового запису, і слідкуйте за ним уважно, щоб шукати будь-які підозрілі дії.
7. Резервні копії ... переконайтесь, що ваші резервні копії актуальні та надійні (бажано, щоб вони не були). Переконайтесь, що ви зробили так само, як вище, із резервними системами, що стосується облікових записів.
8. Документи ... постарайтеся, наскільки це можливо, ідентифікуйте, по можливості вимагайте від нього і скопіюйте кудись захищено всю його документацію.
9. Якщо у вас є якісь аутсорсингові послуги (електронна пошта, фільтрація спаму, хостинг будь-якого типу тощо), переконайтесь, що виконайте все вищезазначене, що підходить і для цих служб.

Коли ви все це зробите, документуйте це , щоб у вас була процедура для майбутніх припинень.

Крім того, якщо ви користуєтесь послугами розміщення, обов’язково видаліть його ім’я зі списку доступу та списку подання квитків. Було б розумно зробити те ж саме для будь-яких інших постачальників, де він був основною особою, що звертався, щоб він не міг скасовувати або не возитися з послугами, які ви отримуєте від цих постачальників, а також, щоб продавці знали, до кого звернутися за оновленнями, проблеми тощо ..., що може врятувати головні болі, коли щось, що ІТ-менеджер не документує, трапляється

Я впевнений, що я пропустив більше, але це вгорі голови.

Не забувайте про фізичну безпеку - переконайтеся, що він не може потрапити в будь-яку будівлю - це чудово, що ви перебуваєте через мережевий комплект, але якщо він зможе потрапити в центр обробки даних, безглуздо.

Ми підозрювали, що незадоволений працівник, який все ще перебував у повідомленні, може встановити деякі програми віддаленого доступу, тому ми обмежили його обліковий запис для входу лише робочим часом, щоб він не міг віддалятися в позаурочний час, коли ніхто не збирався робити. речі (у робочий час ми могли чітко бачити його екран, тож якби він піддався лиху, ми б знали).

Він виявився цінним, він встановив LogMeIn і фактично спробував доступ після години.

(це була мережа невеликої компанії, без ACL або фантазійних брандмауерів)

Також будьте обережні, щоб не заблокувати занадто багато. Я пам’ятаю ситуацію, коли хтось пішов, і через день стало очевидним, що якесь критичне для бізнесу програмне забезпечення насправді працює під його особистим обліковим записом користувача.

Додамо - також переконайтеся, що у вас перевірка невдалої та успішної реєстрації - купа збоїв для облікового запису з подальшим успіхом може зрівняти злому. Ви також можете змусити всіх інших змінювати свої паролі, якщо в налаштуваннях пароля був залучений ІТ-менеджер. Не забувайте також паролі бази даних, і ви, можливо, захочете прокрутити його / її електронний рахунок для безпечної інформації. Я також поставив би перевірку доступу до будь-якої конфіденційної інформації / баз даних і заборонив би їй / їй виконувати резервні копії системи / бази даних.

Сподіваюся, це допомагає.

Переконайтесь, що перед тим, як відпустити цю особу, зрозумійте, що все може і знизитися, або бути проблематичним, поки ви не заміните цього. Я би сподівався, що ви не будете звинувачувати їх у всьому, що виходить з ладу лише тому, що ви припускаєте / знаєте, що це не буде гарним розставанням способів, або подумаєте, що вони вас якось зламують, бо туалет переповнений.

Сподіваємось, цей сценарій звучить для вас безглуздо. Але це правдива історія з моєї останньої роботи, що зараз власник намагається подати в суд за мене за саботаж (в основному тому, що я кинув, а вони насправді нікому не хочуть платити ринкову ставку, щоб замінити мене) та кібер-злочини, такі як хакерство та Інтернет-рекет.

Суть полягає в тому, щоб оцінити "чому" з причини їх звільнення. Якщо це не що інше, як економічні потреби, я пропоную вам уточнити свої процедури найму, щоб ви могли найняти більш професійну особу, в якій за професією потрібно бути надійним та надійним з критичною та зазвичай конфіденційною інформацією для бізнес-місії та хто може встановити належну інформацію процедури безпеки, яких повинен дотримуватися кожен.

Один із способів дізнатися, як ви берете інтерв'ю, - наскільки добре вони опитують вас та ваш бізнес взамін. Відповідальність (Як і в тому, що компанія вважає, що ІТ-менеджер може бути винним у випадку, якщо щось піде не так - як правило, це було б у договорі), а загальна безпека мережі - це одна з 3 головних речей будь-якого належного ІТ-менеджера / CTO, коли приходить для співбесіди на роботу.

Змінення всіх паролів адміністратора (серверів, маршрутизаторів, комутаторів, віддаленого доступу, брандмауерів) Видаліть усі правила брандмауера для віддаленого доступу для ІТ-менеджера. Якщо ви використовуєте маркери безпеки, від'єднайте маркери IT-менеджера від усього доступу. Видаліть доступ TACACS (якщо ви користуєтесь цим).

Переконайтеся, що ці зміни виконайте з ІТ-менеджером у конференц-залі або іншим чином під фізичним контролем, щоб він / він не міг спостерігати за процесом. Під час читання poassword під час введення його на клавіатурі нетривіально (не важко, просто не банально), якщо це потрібно повторити, є більший ризик отримати цей пароль.

Якщо можливо, поміняйте замки. Якщо ключі можна копіювати (і коротше кажучи, вони можуть), це не дозволить ІТ-менеджеру отримати фізичний доступ згодом. Вимкніть будь-яку картку, яку ви не можете зареєструвати (не тільки відомі картки, які ви отримали для ІТ-менеджера).

Якщо у вас є кілька вхідних телефонних ліній, перевірте ВСІ з них, щоб переконатися, що до них не підключені невідомі пристрої.

Перевірка політики брандмауера
Змініть пароль адміністратора та перевірте, чи не використовуються облікові записи.
Анулюйте його / її сертифікати
Створіть резервну копію робочої станції та відформатуйте її.
Використовуйте контрольні контрольні суми для важливих файлів на ваших серверах та на деякий час покладіть IDS на порт прольоту у вашій стійці.

Просто мої 2cts.

Перевірте також додаткові акаунти. Він легко може додати новий акаунт, як тільки дізнається, що йде. Або навіть незабаром після приїзду.

Це залежить від того, який ти параноїк. Деякі люди йдуть на міру - якщо це досить погано - замінити всі клавіші та блокування. Ще одна причина бути приємною для системних адміністраторів;)

Всі підготовлені поради хороші - ще один, можливо, навіть змушує всіх користувачів змінювати свої паролі (і якщо Windows) застосовувати складну політику паролів.

Крім того - якщо ви коли-небудь займалися віддаленою підтримкою або налаштовували віддалений офіс / клієнт (тобто інший сайт) - змусіть їх також змінити свої паролі.

Не забудьте викреслити будь-які акаунти типу екстранет, які він може мати від імені вашої компанії. Вони часто не помічаються і часто є причиною сильного скорботи після смерті.

Ви можете (по дорозі "Я ультра-параноїд") також хочуть повідомити своїх представників продажів для різних постачальників, з якими ви працюєте, якщо він спробував зв’язатися з ким-небудь там.

Якщо він контролював веб-хостинг вашої компанії,

• повторно перевірити всі шляхи доступу через веб-сторінки
• отримати увесь код для можливих задніх дверей

Слабкі сторони в цій галузі можуть впливати на основі того, як зроблено ваш хостинг,

• Домашній хостинг з адміністративним контролем - як мінімум, можливість непридатного сайту
• Місцевий хостинг з вашого приміщення - доступ до внутрішньої мережі (якщо ви не маєте DMZ, який також заблокований)

Моя компанія не дуже давно відпустила розробника, і це була схожа ситуація. Він знав багато про систему, і це було надзвичайно важливо, щоб він був відрізаний, коли він був повідомлений про звільнення. Окрім наведених вище порад, я також використовував Spectre Pro для моніторингу всієї його роботи за 2 тижні до від'їзду: мережева активність (IO), вікна чату, електронні листи, скріншоти кожні 2 хвилини тощо. Це, мабуть, було зайвим, і я ніколи навіть дивився на що-небудь із цього, тому що він пішов із добрими побажаннями. Хоча це було гарне страхування.

Дві ключові речі, якими можна негайно керувати, є:

1. Фізичний доступ - якщо у вас електронна система, анулюйте його картку. Якщо ваші замки повністю фізичні, або переконайтеся, що будь-які видані йому ключі повернуті, або якщо вас справді непокоїть помилка, змініть замок на критичні місця.

2. Віддалений доступ - переконайтеся, що VPN / Citrix / інші облікові записи віддаленого доступу цього адміністратора відключені. Сподіваємось, ви не дозволяєте віддаленим входом у систему спільних облікових записів; якщо ви є, змініть паролі для всіх. Також не забудьте відключити його обліковий запис AD / NIS / LDAP.

Це лише охоплює очевидне; завжди є можливість, наприклад, щоб він встановив пару модемів у серверних кімнатах, за допомогою консольних кабелів у ключові мережеві пристрої / сервери. Після того, як ви зробили початковий замок, ви, ймовірно, хочете, щоб його заміна здійснила повну перевірку інфраструктури до A), переконайтеся, що документація є актуальною, і B) виділіть все, що виглядає дивним.

На попередній роботі в меншій компанії відпущений системдмін знав багато паролів інших працівників. Вранці його відпустили, ми встановили властивість "користувач повинен змінити пароль" у будь-якому обліковому записі Active Directory, у якого був віддалений доступ.

Це може бути нездійсненним скрізь, але може бути доцільним залежно від ситуації.

Я рекомендую наступні процедури:

• вимкнути всі картки доступу для захисту будинку
• вимкнути всі відомі облікові записи (особливо VPN та акаунти, які можна використовувати за межами компанії)
• вимкнути невідомі акаунти (!)
• змінити всі паролі адміністратора
• переглянути правила брандмауера

Це повинно охоплювати більшість можливих варіантів доступу. Перегляньте всю інформацію, що стосується безпеки, протягом наступних тижнів, щоб переконатися, що жоден варіант не залишався "відкритим".

Повідомте всім співробітникам, що цей працівник йде, щоб вони не були вразливими до телефонних спроб соціальних злому.

Він уже знає, як працює система і що там. Тож йому не буде потрібно занадто багато інформації, щоб повернутися, якщо він захотів.

Якщо я виїжджаю щодня за менш бажаних обставин, я вважаю, що можу зателефонувати до персоналу, що мені доводиться робити час від часу, і дізнатись достатню кількість інформації, щоб повернутися в систему.

Можливо, я б дав привілею адміністратора існуючого домена (перед від'їздом). Я міг би зателефонувати цьому користувачеві і змусити його / її відкрити мені свій пароль.

• Вимкніть їх обліковий запис користувача в Active Directory. Перевірте, чи немає інших облікових записів, про які ІТ-менеджер може знати пароль і змінити або відключити їх.
• Вимкніть будь-які інші облікові записи, які не входять до Active Directory, або тому, що вони знаходяться на іншій машині, або тому, що вони були написані власноруч. Отримати законних користувачів змінити свій пароль. (Я до сих пір можу ввійти як адміністратор до іншого облікового запису працівника.)
• Якщо веб-сайт вашої компанії розміщений біля будівлі, змініть і паролі для цього.
• Для незадоволеного працівника може бути досить тривіально скасувати ваш Інтернет та / або телефонну послугу. Не знаю, як захиститись від цього.
• Змініть блокування І код тривоги. Прорив може залишитися непоміченим досить довго, щоб вони вкрали всі ваші речі.

Єдиний спосіб бути абсолютно безпечним у випадку із серверами - це той самий спосіб, коли ви гарантуєте, що зламане поле чисте: перевстановіть. Завдяки маріонетковій (або якійсь іншій системі управління конфігурацією) перевстановлення серверів та переведення їх до певного стану може бути досить швидким та автоматизованим.