BT Yöneticisi Ayrılıyor - Neyi kilitlerim?

BT Yöneticisi ayrılıyor olabilir ve yolların ayrılmasının tamamen medeni olmayabilir. Hiç bir kötülük beklemem ama tam olarak ne kontrol edeceğim, değiştireceğim veya kilitleyeceğim?

Örnekler:

• Yönetici şifreleri
• Kablosuz şifreler
• VPN erişim kuralları
• Router / Firewall ayarları

Belli ki fiziksel güvenliğin ele alınması gerekiyor, ama ondan sonra ...

Çalışanların ayrıldığı zamanlar için belgelenmiş bir yordamın olmadığını varsayarak (hangi platformları çalıştırdığınızı belirtmediğiniz gibi çevre açısından genel):

1. Çevre güvenliği ile başlayın. Yönlendiriciler, güvenlik duvarları, vpn'ler, vb. Gibi çevre birimlerdeki tüm şifreleri değiştirin ... Ardından, BT yöneticisinin sahip olduğu hesapları kilitleyin, kalanlar ve artık kullanılmayanlar için kalan hesapları gözden geçirin. t ait (ikincil eklediği takdirde).
2. E-posta - Şirketinizin politikasına bağlı olarak hesabını kaldırın veya en azından oturum açmayı devre dışı bırakın.
3. Ardından ana bilgisayar güvenliğinden geçin. Tüm makineler ve rehber hizmetleri hesabını devre dışı bırakmış ve / veya kaldırmış olmalıdır. (Kaldırıldı tercih edilir, ancak önce altlarında geçerli olan bir şey olması durumunda bunları denetlemeniz gerekebilir). Yine, artık kullanılmayan hesapları ve ait olmayan hesapları da inceleyin. Bunları da devre dışı bırakın / kaldırın. Eğer ssh anahtarlarını kullanıyorsanız, onları admin / root hesaplarında değiştirmelisiniz.
4. Paylaşılan hesaplar, varsa, hepsinin şifreleri değiştirilmelidir. Ayrıca, genel bir uygulama olarak paylaşılan hesapları kaldırmayı veya bunlarda etkileşimli girişi devre dışı bırakmayı da göz önünde bulundurmalısınız.
5. Uygulama hesapları ... Yönetici erişim hesaplarıyla başlayarak, şifreleri değiştirmeyi ya da erişimi olan tüm uygulamalardan hesapları devre dışı bırakmayı / kaldırmayı unutmayın.
6. Günlük kaydı ... hesap kullanımı için iyi bir giriş yaptığınızdan emin olun ve şüpheli herhangi bir etkinliği aramak için yakından izleyin.
7. Yedekler ... yedeklerinizin güncel ve güvenli olduğundan emin olun (tercihen site dışında). Hesaplarla olduğu kadar yedekleme sistemlerinizde de aynısını yaptığınızdan emin olun.
8. Belgeler ... mümkün olan her şeyi tanımlamak, ondan talep etmek ve mümkün olduğu kadar güvenli bir yere kopyalamak için elinden geleni yapın.
9. Dış kaynaklı herhangi bir hizmetiniz varsa (e-posta, spam filtreleme, herhangi bir türde barındırma, vb.), Bu hizmetlere uygun olanların da hepsini yaptığınızdan emin olun.

Bunların hepsini yaparken , gelecekteki fesihler için bir prosedürün olması için onu belgeleyin .

Ayrıca, herhangi bir birleştirme hizmeti kullanıyorsanız, adının erişim listesinden ve bilet gönderme listesinden kaldırıldığından emin olun. Aynısını, birincil kişi tarafından idare edildiği diğer satıcılar için de aynen yapmak akıllıca olacaktır, böylece bu satıcılardan aldığınız hizmetleri iptal edemez veya bulaştıramaz, ayrıca satıcılar yenilemeler için kiminle iletişim kuracağını bilir. IT menajeri tarafından belgelenmeyen bir şey olduğunda, bazı baş ağrılarından kurtulabileceğiniz problemler vs.

Daha fazla özlediğimden eminim, ama bu kafamın üstünde.

Fiziksel güvenliği unutma - herhangi bir binaya giremediğinden emin olun - tüm ağ kitinde bulunmanız harikadır, ancak veri merkezine gidebilirse anlamsızdır.

Halihazırda ihbar süresi içinde olan hoşnutsuz bir çalışanın bazı uzaktan erişim programları kurmuş olabileceğinden şüpheliydik, bu yüzden oturum açma hesabını yalnızca çalışma saatleri ile sınırlandırdık, böylece kimsenin yapamadığı zamanlarda mesai saatlerinde uzak duramayacaktı. şeyler (çalışma saatleri sırasında ekranını net bir şekilde görebilirdik, böylece yaramazlıktan kurtulursa bilseydik).

Değerli olduğu ortaya çıktı, LogMeIn'i kurdu ve gerçekte mesai saatleri dışında girişimi denedi.

(Bu küçük bir şirket ağıydı, ACL ya da süslü güvenlik duvarları yoktu)

Ayrıca çok fazla kilitlenmemeye dikkat edin. Birinin ayrıldığı ve bir gün sonra, bazı kritik iş yazılımlarının aslında kişisel kullanıcı hesabı altında çalıştığı ortaya çıktığı bir durumu hatırlıyorum.

Sadece eklemek için - aynı zamanda başarısız ve başarılı girişleri denetlediğinizden emin olun - bir hesabın başarısızlıklarının ardından gelen başarılar hacklemeye eşit olabilir. IT Manager şifre ayarlarıyla ilgiliyse, herkesin de şifrelerini değiştirmesini sağlayabilirsiniz. Ayrıca veritabanı parolalarını da unutmayın; güvenli bilgi için e-posta hesabını silmek isteyebilirsiniz. Ayrıca herhangi bir gizli bilgi / veritabanına erişim kontrolleri koyar ve sistem / veritabanı yedeklemesi yapmasına izin vermezdim.

Bu yardımcı olur umarım.

Bu kişinin gitmesine izin vermeden önce, şeylerin düşebileceğini ve düşeceğini veya o kişiyi değiştirene kadar sorunlu olacağından emin olun. Umarız aşağı inen her şey için onları suçlamamışsınızdır, çünkü bunun yolların iyi bir şekilde ayrılmayacağını varsayıyorsunuz / biliyorsunuz, ya da tuvalet taşması nedeniyle sizi bir şekilde kestiklerini düşünüyorlar.

Umarım bu senaryo size mantıklı gelmiyor. Ama bu benim son işimin gerçek bir hikayesi, şimdi sahibinin beni sabotaj için dava etmeye çalıştığı (temelde bıraktım ve gerçekten kimsenin beni değiştirmesi için piyasa oranını ödemeye razı olmadıkları) ve hack ve siber suçlar gibi gerçek bir hikaye. İnternet üzerinden taşıma.

Alt satırda, "neden" işten çıkarma nedeniyle değerlendirir. Ekonomik ihtiyaçlardan başka bir şeyse, işe alım prosedürlerinizi daha da hassas hale getirmenizi öneriyorum, böylece meslek açısından kritik ve genellikle gizli bilgiler içeren iş misyonu ile güvenilir ve güvenilir olması gereken ve daha profesyonel bir kişi edinebilecek daha profesyonel bir kişi işe alabilirsiniz. Herkesin izlemesi gereken güvenlik prosedürleri.

Görüşme yaptığınızı bilmenin bir yolu, karşılığında sizinle ve işinizle ne kadar iyi görüştükleridir. Yükümlülük (Şirketin bir şeylerin yanlış gitmesi durumunda BT Yöneticisinin hatalı tutulabileceğini düşündüğü gibi - genellikle bir sözleşmede olur) ve genel ağ güvenliği geldiğinde uygun bir BT yöneticisi / CTO'nun aklında en önemli 3 şeyden biridir bir iş için röportaj yapmak için.

Tüm yönetici şifrelerini değiştirin (sunucular, yönlendiriciler, anahtarlar, erişimi engelleyin, güvenlik duvarları) BT yöneticisi için uzaktan erişim için tüm güvenlik duvarı kurallarını kaldırın. Güvenlik belirteçleri kullanıyorsanız, BT yöneticisinin belirteçlerini tüm erişimden ayırın. TACACS erişimini kaldırın (eğer kullanıyorsanız).

Bu değişiklikleri bir konferans odasında BT yöneticisi ile veya başka bir fiziksel kontrol altında yaptığınızdan emin olun, bu yüzden işlemi gözlemleyemez. Bir klavyeye yazılan parolayı okurken önemsiz değildir (zor değil, sadece önemsiz değil), eğer tekrarlanması gerekiyorsa, tahrif edilme teh riski daha yüksektir.

Mümkünse, kilitleri değiştirin. Anahtarlar çoğaltılabiliyorsa (ve kısaca, yapabilirler), bu daha sonra BT yöneticisinin fiziksel erişim kazanmasını önler. Hesaplayamadığınız tüm şifreleri devre dışı bırakın (yalnızca BT yöneticisine verildiğini bildiğiniz kartlar için değil).

Birden fazla gelen telefon hattınız varsa, bilinmeyen cihazların takılı olmadığından emin olmak için TÜMÜNÜ işaretleyin.

Güvenlik duvarı politikalarını
kontrol edin Yönetici şifresini değiştirin ve artık kullanılmayan hesapları kontrol edin.
Sertifikalarını geri alma İş
istasyonunu yedekleyin ve biçimlendirin.
Sunucularınızdaki önemli dosyalar için sağlama toplamı denetimlerini kullanın ve bir süre için rafınızdaki bir yayılma noktasına bir IDS yerleştirin.

Sadece 2 puanım.

Ekstra hesaplar için de kontrol edin. Gideceğini bildiğinde kolayca yeni bir hesap ekleyebilir. Ya da geldikten hemen sonra.

Ne kadar paranoyak olduğuna bağlı. Bazı insanlar - eğer yeterince kötüyse - bütün anahtarları ve kilitleri değiştirecek ölçüde gidiyorlar. Sys yöneticilerine iyi davranmak için başka bir neden;)

Yukarıda belirtilen tavsiyelerin tümü iyidir - bir başkası, muhtemelen tüm kullanıcıların şifrelerini değiştirmelerini (ve Windows ise) karmaşık şifre politikasını uygulamalarını sağlamıştır.

Ayrıca - daha önce uzaktan destek yaptıysanız veya bir uzak ofis / müşteri kurduysanız (örneğin, başka bir site) - şifrelerini de değiştirmelerini isteyin.

Şirketiniz adına sahip olabileceği herhangi bir extranet türü hesabı çıkarmayı unutmayın. Bunlar genellikle göz ardı edilir ve sıklıkla ölümden sonra çok fazla kedere neden olurlar.

Mesela ("ben ultra paranoyak" pistim boyunca) pistinde çalıştığınız farklı satıcılar için satış temsilcilerinizi orada birisiyle temasa geçmeye çalışarak bilgilendirmek isteyebilirsiniz.

Firmanızın web barındırma kontrolü varsa,

• tüm erişim yollarını web sayfaları üzerinden tekrar kontrol edin
• olası arka kapılar için tüm kodların doğrulanmasını sağlayın

Bu alandaki zayıf yönler, barındırma işleminizin yapılmasına bağlı olarak etkileyebilir,

• İdari kontrol ile kafesli barındırma - en azından tahrif edilmiş bir sitenin olasılığı
• Tesisinizde yerel barındırma - dahili ağa erişim (kilitli bir DMZ'niz olmadığı sürece)

Şirketim bir geliştiricinin çok uzun zaman önce gitmesine izin vermedi ve bu da benzer bir durumdu. Sistemin çoğunu biliyordu ve işten çıkarılmasından haberdar olduğu andan itibaren kesilmesini sağlamak büyük önem taşıyordu. Yukarıda verilen tavsiyelerin dışında, Spectre Pro'yu ayrılmasından önceki 2 hafta boyunca tüm çalışmalarını izlemek için kullandım: ağ etkinliği (IO), sohbet pencereleri, e-postalar, her 2 dakikada bir ekran görüntüleri, vs. Hatta herhangi birisine bile baktım çünkü iyi koşullarda ayrıldı. Yine de iyi bir sigorta oldu.

Hemen yönetilmesi gereken iki önemli şey:

1. Fiziksel erişim - eğer bir elektronik sisteminiz varsa, kartını iptal edin. Kilitlerinizin tümü fiziksel ise, kendisine verilen tüm anahtarların iade edildiğinden emin olun veya gerçekten yaramazlık konusunda endişeliyseniz kilitleri kritik alanlara değiştirin.

2. Uzaktan erişim - bu yöneticinin VPN / Citrix / diğer uzaktan erişim hesabının devre dışı bırakıldığından emin olun. Umarım paylaşılan hesaplarla uzaktan girişlere izin vermezsiniz; eğer öyleyse, hepsindeki şifreleri değiştir. Ayrıca AD / NIS / LDAP hesabını devre dışı bıraktığınızdan emin olun.

Bu sadece açık olanı kapsar; Örneğin, sunucu odalarına konsol ağ kablolarını anahtar ağ aygıtlarına / sunucularına birkaç modem takmış olması her zaman mümkündür. İlk kilitlemeyi kapattıktan sonra, muhtemelen değiştirmesini A 'ya tam bir altyapı taraması yapmasını istersiniz; belgelerin güncel olduğundan emin olun ve B) tuhaf görünen her şeyi vurgulayın.

Daha küçük bir şirkette önceki bir işte, sysadmin'in bırakılması, diğer çalışanların şifrelerinin çoğunu biliyordu. Gitmesine izin verilen sabah, uzaktan erişimi olan herhangi birinin Active Directory hesabındaki "parolayı değiştirmeli" özelliğini belirledik.

Bu her yerde mümkün olmayabilir, ancak duruma bağlı olarak ihtiyatlı olabilir.

Aşağıdaki prosedürleri tavsiye ederim:

• tüm bina güvenlik erişim kartlarını devre dışı bırak
• Bilinen tüm hesapları (özellikle VPN ve şirket dışından kullanılabilecek hesapları) devre dışı bırak
• bilinmeyen hesapları devre dışı bırak (!)
• tüm yönetici şifrelerini değiştir
• güvenlik duvarı kurallarını inceleyin

Bu, olası erişim seçeneklerinin çoğunu kapsamalıdır. Güvenlikle ilgili tüm bilgileri önümüzdeki haftalarda gözden geçirin, böylece hiçbir seçeneğin "açık" bırakılmadığından emin olabilirsiniz.

Tüm çalışanların, bu çalışanın ayrılmalarının farkında olmalarını sağlayın;

Sistemin nasıl çalıştığını ve orada ne olduğunu zaten biliyor. Bu yüzden istediği zaman geri dönebilmek için fazla bilgiye ihtiyaç duymayacaktı.

Arzu edilen koşullar altında günden ayrılırsam, zaman zaman yapmam gereken personeli arayabileceğime ve sisteme geri dönmek için yeterli bilgiyi bulabileceğime inanıyorum.

Belki var olan bir etki alanı kullanıcısına yönetici ayrıcalıkları verirdim (ayrılmadan önce). Bu kullanıcıyı arayabilir ve şifresini bana açıklamasını sağlayabilirim.

• Kullanıcı hesaplarını Active Directory'de devre dışı bırakın. BT yöneticisinin şifresini bildiği diğer hesapları kontrol edin ve şifrelerini değiştirin veya devre dışı bırakın.
• Farklı bir makinede olduklarından veya şirket içinde yazıldığından dolayı Active Directory'nin parçası olmayan diğer hesapları devre dışı bırakın. Meşru kullanıcıların şifrelerini değiştirmelerini sağlayın. (Bu güne kadar başka bir çalışanın hesabına yönetici olarak hala giriş yapabilirim.)
• Şirketinizin web sitesi binanın dışında barındırılıyorsa, bunun için şifreleri de değiştirin.
• Ayrıca hoşnutsuz bir çalışanın İnternet ve / veya telefon hizmetinizi iptal ettirmesi de oldukça önemsiz olabilir. Buna rağmen nasıl savunacağını bilmiyorum.
• Kilitleri ve alarm kodunu değiştirin. Bir zorla girme, tüm eşyalarını çalabilecek kadar uzun süre fark edilmeyebilir.

Sunucularda tamamen güvende olmanın tek yolu, saldırıya uğramış bir kutunun temiz olduğundan emin olmanın yoludur: yeniden yükleyin. Sayesinde kukla (veya bazı diğer yapılandırma yönetim sistemi) sunucularını yeniden ve oldukça hızlı ve otomatik olabilir belirli bir durumdaki sağlayarak onları.