Вопросы Теги

Шаги для взятия, когда технические сотрудники уезжают

На сервере Unix в Ваших сценариях жемчуга можно попытаться игнорировать сигналы, например, 

$SIG{'TERM'}='IGNORE';
$SIG{'HUP'}='IGNORE';
$SIG{'PIPE'}='IGNORE';

Это, вероятно, не полезно при выполнении серверов Windows.

На нельдах это могло поднять другие вопросы.

20
задан 30 June 2011 в 14:03
10 ответов

Я предложил бы создать контрольный список вещей, которые Вы делаете, когда новый системный администратор присоединяется к компании (системы, необходимо добавить их к, группируется, их учетная запись должна войти, и т.д.), и включайте и технические и физические вещи - например, физические ключи, и коды аварийного сигнала так же важны как ключи SSH и пароли.

Удостоверьтесь, чтобы Вы усовершенствовали этот список - легче сказать чем сделать, я знаю. Но это помогает и обработать новых членов команды в компанию и снова обработать их. Можно все еще сделать это теперь и извлечь по крайней мере часть пользы использования его помогать с человеком, который уезжает. Причина я упоминаю контрольный список, состоит в том, потому что все мы склонны думать в наших собственных сферах комфорта, и разные вещи могли бы быть пропущены иначе, в зависимости от того, кто обрабатывает leaver. Например: "менеджер по системе безопасности здания" или "офис-менеджер" собираются быть размышлением больше о дверных ключах, чем ключи SSH и человек IT будут полной противоположностью и закончат тем, что отклонили свой доступ к системе при оставлении их способными идти в здание ночью.

Затем просто пройдите их контрольный список, когда они уезжают, используйте его в качестве контрольного списка вещей отменить/получить, возвратился. Вся Ваша команда IT должна быть восторженна по поводу этого, если они профессиональны, поскольку наличие согласованного процесса как это защищает их от неоправданной вины от бывшего работодателя так же, как она защищает работодателя от них.

Не забывайте вещи как доступ к удаленным центрам обработки данных или физический доступ к стороннему репозиторию данных резервного копирования.

7
ответ дан 2 December 2019 в 20:11

Я удивлен, что никто не упомянул что один прежде, но...

Если Ваша сеть WiFi использует WPA или (я надеюсь не), WEP в противоположность ответвлению в сервере Радиуса, Вы могли бы хотеть считать изменение тем ключом.

Это - огромная дверь, оставленная открытой, если Вы - сетевой администратор, существует довольно хороший шанс, Вы знаете, что ключ наизусть... воображает, как легкий это должно было бы возвратиться в сети из парковки или чего-то вроде той природы.

6
ответ дан 2 December 2019 в 20:11

Другие вещи, которые приходят на ум:

  • Физическая безопасность - убирает ключи / теги доступа / vpn теги / ноутбуки
  • Уберите телефоны / ежевика
  • Удалите / отключают любые учетные записи, которые они имеют на внешних сервисах / сайты
  • Заблокируйте их учетную запись пользователя
  • Измените любые общие пароли, которые они могут знать (я ценю Вас, не должен иметь никаких общих паролей),
  • Отключите учетную запись VPN
  • Гарантируйте все ошибки / билеты / проблемы и т.д. в любых системах слежения повторно присвоены
5
ответ дан 2 December 2019 в 20:11

Если некоторый системный администратор покидает компанию, мы изменяем все пароли для пользователей (вместо ежемесячного изменения пароля). У нас есть ldap и радиус, таким образом, это не очень трудно. Затем мы смотрим на системы, он продолжал работать, а также файлы, которые были созданы/изменил им. Если существуют важные данные по его рабочей станции, мы чистим или архивируем его.

У нас есть контроль за доступом для всех сервисов, которые имеют пользователей. Если существует некоторый неизвестный пользователь, использующий сервис, мы блокируем его, по крайней мере, пока идентификация не передается.

Другие системы будут убраны через неделю; большинство для разработки целей и не имеет никакой ценной информации, и они регулярно чистятся переустановкой.

2
ответ дан 2 December 2019 в 20:11
  • Возьмите их от nagios/paging системы
  • Удалите их sudo (на всякий случай)
  • Скажите центр (центры) обработки данных
  • Отключите/отмените любую vpn систему в офисную сеть
  • Отключите любые веб-приложения/апача confs/firewalls, которые имеют их IP-адреса hardcoded в
4
ответ дан 2 December 2019 в 20:11

Много хороших идей в этом потоке... Несколько других вещей рассмотреть:

Я договариваюсь об изменяющихся паролях или отключающий term'd учетные записи пользователей по сравнению с удалением их (по крайней мере первоначально), однако может быть хорошая идея проверить и видеть, используется ли учетная запись пользователя для выполнения сервисов/запланированных задач перед принятием мер. Это, вероятно, более важно в среде Windows/AD, чем U

Несколько следующих объектов может быть трудно сделать, если сотрудник уезжает быстро или при меньше, чем идеальных обстоятельствах; но они могут быть важными (особенно в то 2:00, WTH просто произошел моменты),

Передача знаний - В то время как все мы сохраняем всю нашу документацию актуальной (гм, ноги перестановок), это может быть хорошая вещь запланировать время с коротким таймером и сделать некоторый q и a или пошаговые демонстрации с другим администратором. Если у Вас есть большое пользовательское выполнение s/w или сложная среда, может быть действительно полезно задать вопросы и получить некоторое время один на один.

Наряду с этим идет Пароли. Надо надеяться, все используют некоторый тип зашифрованного устройства хранения данных учетной записи/пароля (KeePass/PassSafe, и т.д.). Если это так, это должно быть довольно легко - получают копию их файла и ключа к нему. В противном случае время для некоторого дампа мозга.

1
ответ дан 2 December 2019 в 20:11

Запустите путем изменения всех паролей "периметра" для сети. Любые учетные записи, которые он может использовать для вхождения в сеть из дома (или с парковки с WiFi), должны быть сразу изменены.

  • Пароли удаленного администрирования для маршрутизаторов и брандмауэров?
  • Учетные записи VPN? Что относительно администратора считает на VPN?
  • Шифрование WiFi?
  • Электронная почта на базе браузера (OWA)?

После того как они покрыты, прокладывают себе путь внутрь.

1
ответ дан 2 December 2019 в 20:11

Другие вещи проверить на только для уборки вещей:

  • если у них был статический IP-адрес, метка как доступный
  • удалите/очистите любые пользовательские записи DNS, если это возможно,
  • удалите из любого вида каталога сотрудника
  • телефоны
  • удалите адрес электронной почты из любого вида автоматизированного отчета, отсылаемого сервером или сервисом
  • если Вы сохраняете материально-технические ресурсы аппаратных средств/программного обеспечения, отмечаете аппаратные и программные лицензии как доступные (это действительно зависит от того, как Вы управляете этими вещами).
1
ответ дан 2 December 2019 в 20:11

Попытайтесь удостовериться, что все изменения пароля происходят между 'leaver изолированный от сети' (возможно, интервью выхода в конференц-зале, после того, как ноутбук работы был возвращен), и 'leaver оставлен владеть устройствами'. Это решительно уменьшает шанс, что leaver отследил бы новые учетные данные (но со смартфонами и тому подобным, это является все еще непустым).

1
ответ дан 2 December 2019 в 20:11

Все приведенные выше ответы очень хороши. Как практикующий профессионал в области информационной безопасности (ИТ-аудитор), вам следует рассмотреть еще несколько моментов:

  1. Удалите привилегированные административные права, такие как администратор домена, если вы используете Active Directory.

  2. Удалите привилегированные роли базы данных, которые они могли иметь (например, : db_owner)

  3. Сообщите внешним клиентам, что завершенный пользователь мог иметь доступ, чтобы можно было отозвать права доступа.

  4. Удалите учетные записи локальных компьютеров, если они имели какие-либо в дополнение к доступу к домену

0
ответ дан 2 December 2019 в 20:11

Теги

Похожие вопросы