Teknik personel ayrıldığında atılacak adımlar

20

Ayrıcalıklı veya teknik personel istifa ettiğinde / kovulduğunda kalkış sürecini nasıl ele alırsınız? Şirket altyapısının sürekli çalışmasını / güvenliğini sağlamak için yapılacaklar listesi var mı?

İş arkadaşlarımın ayrılırken yapması gereken şeylerin güzel bir kanonik listesini bulmaya çalışıyorum (bir hafta önce istifa ettim, bu yüzden düzenli bir ay ve GTFO için bir ayım var).

Şimdiye kadar aldım:

  1. Onları tesisten refakat et
  2. E-posta Gelen Kutusunu silme (tüm postaları tümünü yakalama yöntemine yönlendirilecek şekilde ayarla)
  3. Sunucu (lar) daki SSH anahtarlarını silme

  4. Mysql kullanıcı hesaplarını silin

    ...

Sırada ne var. Söylemeyi unuttum ya da benzer şekilde yararlı olabilir mi?

(endnote: Neden konu dışı? Sistem yöneticisiyim ve bu sürekli iş güvenliği ile ilgilidir, bu kesinlikle konuyla ilgilidir.)

security  physical-security 
Tom O'Connor
kaynak
alakalı (
gereksiz
4
E-posta iletmenin farkında olun; buna izin verilmeyen birkaç ülke var. Norveç'te, çalışanın artık burada çalışmadığını belirten otomatik tekrarlar verme iznimiz bile yok, hesabı tamamen silmemiz gerekiyor. Standart NDR (var olmayan kullanıcı) izin verilen tek şeydir.
Pauska
1
İnsanların tesis dışına ihraç edilmesi yaygın mıdır? Bunun sadece insanlar kovulduğunda gerekli olacağını düşünürdüm.
Vetle
3
E-posta gelen kutularını silmek istediğinizden emin misiniz? Bir iş arkadaşım çalıştığım bir işten anında kovulduğunda, gelen kutularından geçmek, aniden yönettiğimi bulduğum projelerde hangi kararların alındığını hızlı bir şekilde anlamama izin verdi. Sanırım (yasallığa bağlı olarak) # 2'yi tekrar gözden geçirmek isteyebilirsiniz.
Brian Stinar
2
pauska

Yanıtlar:

7

Yeni bir sysadmin şirkete katıldığında yaptığınız şeylerin bir kontrol listesini oluşturmanızı öneririm (bunları eklemeniz gereken sistemler, hesaplarının girmesi gereken gruplar vb.) Ve hem teknik hem de fiziksel şeyleri - örneğin fiziksel anahtarlar ve alarm kodlar SSH anahtarları ve parolaları kadar önemlidir.

Bu listeyi güncel tuttuğunuzdan emin olun - söylemesi yapmaktan kolay. Ancak, hem yeni ekip üyelerini şirkette işlemek hem de onları işlemek kolaylaştırır. Yine de bunu şimdi yapabilir ve en azından ayrılan kişiye yardımcı olmak için kullanmanın avantajlarından bazılarını elde edebilirsiniz. Bir kontrol listesinden bahsetmemin nedeni, hepimizin kendi konfor alanlarımızda düşünme eğiliminde olması ve ayrılan kişinin kim tarafından işlendiğine bağlı olarak farklı şeyler atlanabileceğidir. Örneğin: bir "bina güvenlik yöneticisi" veya bir "ofis yöneticisi" kapı anahtarları hakkında SSH anahtarlarından daha fazla düşünecek ve bir BT personeli tam tersi olacak ve sonunda sisteme erişimlerini iptal ederken geceleri binaya yürümek.

Sonra ayrılırken kontrol listelerini gözden geçirin, geri almak / geri almak için bir kontrol listesi olarak kullanın. Tüm BT ekibiniz, işvereni onlardan koruduğu kadar, eski bir işverenden gelen güvencesiz suçlardan koruyan, kabul edilmiş bir sürece sahip olmaları konusunda profesyonel olmaları durumunda, bu konuda hevesli olmalıdır.

Uzak veri merkezlerine erişim veya 3. taraf yedek veri havuzuna fiziksel erişim gibi şeyleri unutmayın.

RobM
kaynak
6

Kimsenin bundan daha önce bahsetmediğine şaşırdım ama ...

WiFi ağınız Radius sunucusuna dokunmak yerine WPA veya (umarım) WEP kullanıyorsa, bu anahtarı değiştirmeyi düşünebilirsiniz.

Bu açık bir kapı açık, eğer ağ yöneticisi iseniz, bu anahtarı ezbere bilmenin oldukça iyi bir şansı var ... park yerinden veya o doğadan bir şeyden ağa geri dönmenin ne kadar kolay olacağını hayal edin .

Alex
kaynak
1
Bu genellikle AD veya diğer dizin hizmetlerinde kimlik doğrulaması yapılarak çözülür. Hesap silindikten sonra, artık devam edemezsiniz.
Split71
@ Split71: Şimdi ayrılan yönetici doğrudan sunuculara giremeyebilir, ancak yerel, güvenilir ağdaysa, tüm altyapınızın yumuşak, yumuşacık göbeğine erişebilirler.
womble
5

Akla gelen diğer şeyler:

  • Fiziksel güvenlik - anahtarları / erişim etiketlerini / vpn etiketlerini / dizüstü bilgisayarları götürün
  • Telefonları / böğürtlenleri götürün
  • Harici hizmetlerde / sitelerde sahip oldukları hesapları kaldırın / devre dışı bırakın
  • Kullanıcı hesaplarını kilitle
  • Bildikleri paylaşılan şifreleri değiştirin (Paylaşılan şifreniz olmamalı.
  • VPN hesabını devre dışı bırak
  • Herhangi bir izleme sistemindeki tüm hataların / biletlerin / sorunların vb. Yeniden atandığından emin olun
jamespo
kaynak
4
  • Onları nagios / çağrı sisteminden çıkarın
  • Sudo'larını çıkarın (her ihtimale karşı)
  • Veri merkezlerine anlatın
  • Herhangi bir vpn sistemini ofis ağında devre dışı bırakma / iptal etme
  • IP adresleri kodlanmış tüm web uygulamalarını / apache confs / güvenlik duvarlarını devre dışı bırakın
Rory
kaynak
2

Bazı sysadmin şirketten ayrılırsa, kullanıcılar için tüm şifreleri değiştiririz (aylık şifre değişikliği yerine). Ldap ve yarıçapımız var, bu yüzden çok zor değil. Sonra üzerinde çalıştığı sistemlere ve onun tarafından oluşturulan / değiştirdiği dosyalara bakıyoruz. İş istasyonunda önemli veriler varsa, onu temizler veya arşivleriz.

Kullanıcısı olan tüm hizmetler için erişim denetimine sahibiz. Hizmeti kullanan bilinmeyen bir kullanıcı varsa, en azından tanımlama geçinceye kadar onu engelleriz.

Diğer sistemler bir hafta içinde temizlenecektir; çoğu geliştirme amaçlıdır ve değerli bilgileri yoktur ve düzenli olarak yeniden kurulumla temizlenirler.

MealstroM
kaynak
1

Bu konuda birçok iyi fikir ... Dikkate alınması gereken birkaç şey daha:

Şifreleri değiştirmeyi veya vadeli kullanıcı hesaplarını silmeye karşı devre dışı bırakmayı kabul ediyorum (en azından başlangıçta), ancak harekete geçmeden önce kullanıcı hesabının hizmetleri / zamanlanmış görevleri çalıştırmak için kullanılıp kullanılmadığını kontrol etmek ve görmek iyi bir fikir olabilir. Bu muhtemelen bir Windows / AD ortamında U'dan daha önemlidir

Çalışan ideal koşullardan daha çabuk veya daha az ayrılırsa, aşağıdakilerden birkaçını yapmak zor olabilir; ancak bunlar önemli olabilir (özellikle WTH saat 2'de anlar oldu)

Bilgi aktarımı - Hepimiz tüm belgelerimizi güncel tutarken (ahem, ayakları karıştırır), kısa zamanlayıcı ile zamanı planlamak ve başka bir yönetici ile bazı soru-cevap veya izlenimler yapmak iyi bir şey olabilir. Çok sayıda özel yazılımınız veya karmaşık bir ortamınız varsa, soru sormak ve bire bir zaman almak gerçekten yararlı olabilir.

Bununla birlikte Şifreler gider. Umarım herkes bir tür şifreli hesap / şifre saklama alanı kullanır (KeePass / PassSafe, vb.). Bu durumda, bu oldukça kolay olmalıdır - dosyalarının bir kopyasını ve anahtarını alın. Değilse, biraz beyin dökümü zamanı.

Cybersylum
kaynak
1

Ağınız için tüm "çevre" şifrelerini değiştirerek başlayın. Evden (veya WiFi'li otoparktan) ağınıza girmek için kullanabileceği tüm hesaplar derhal değiştirilmelidir.

  • Yönlendiriciler ve güvenlik duvarları için uzaktan yönetim parolaları?
  • VPN hesapları? VPN'deki yönetici hesapları ne olacak?
  • WiFi şifrelemesi?
  • Tarayıcı tabanlı e-posta (OWA)?

Bunlar ele alındıktan sonra, içeriye doğru çalışın.

myron-semack
kaynak
1

Sadece işleri düzeltmek için kontrol edilecek diğer şeyler:

  • statik bir IP adresleri varsa, kullanılabilir olarak işaretleyin
  • mümkünse özel DNS kayıtlarını kaldırın / temizleyin
  • her türlü çalışan dizininden kaldır
  • telefonlar
  • bir sunucu veya hizmet tarafından gönderilen her türlü otomatik rapordan e-posta adresini kaldırma
  • donanım / yazılım envanterini saklıyorsanız, donanım ve yazılım lisanslarını kullanılabilir olarak işaretleyin (bu gerçekten bunları nasıl yönettiğinize bağlıdır).
safado
kaynak
1

Tüm şifre değişikliklerinin 'ağdan izole bırakılan' (belki de çalışma dizüstü bilgisayarı iade edildikten sonra bir konferans odasında bir çıkış röportajı) ve 'bırakıcının kendi cihazlarına bırakılması' arasında olduğundan emin olun. Bu, bırakan kişinin yeni kimlik bilgilerini gözden geçirme şansını büyük ölçüde azaltır (ancak akıllı telefonlar ve benzeri gibi, hala boş değildir).

valin
kaynak
0

Yukarıdaki cevapların hepsi çok iyi. InfoSec mesleğinde (BT Denetçisi) bir uzman olarak, göz önünde bulundurmanız gereken diğer noktalar:

  1. Active Directory kullanıyorsanız, etki alanı yöneticisi gibi ayrıcalıklı yönetim haklarını kaldırın

  2. Sahip oldukları ayrıcalıklı veritabanı rollerini kaldırın (ör: db_owner)

  3. Harici istemcilere, erişim ayrıcalıklarının iptal edilebilmesi için sonlandırılan kullanıcının erişime sahip olabileceğini bildirin.

  4. Etki alanı erişimine ek olarak yerel makine hesaplarını kaldırın

Anthony
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.