Các bước cần thực hiện khi nhân viên kỹ thuật rời đi

Làm thế nào để bạn xử lý quá trình khởi hành khi nhân viên đặc quyền hoặc kỹ thuật từ chức / bị sa thải? Bạn có một danh sách kiểm tra những việc cần làm để đảm bảo hoạt động / bảo mật liên tục của cơ sở hạ tầng của công ty không?

Tôi đang cố gắng đưa ra một danh sách kinh điển về những điều mà các đồng nghiệp của tôi nên làm khi tôi rời đi (tôi đã từ chức một tuần trước, vì vậy tôi đã có một tháng để dọn dẹp và GTFO).

Cho đến nay tôi đã có:

1. Hộ tống họ ra khỏi cơ sở
2. Xóa Hộp thư đến email của họ (đặt tất cả thư để chuyển tiếp đến tất cả)
3. Xóa khóa SSH của họ trên (các) máy chủ

4. Xóa (các) tài khoản người dùng mysql của họ

   ...

Vì vậy, những gì tiếp theo. Những gì tôi đã quên đề cập, hoặc có thể hữu ích tương tự?

(chú thích: Tại sao lại lạc đề? Tôi là quản trị viên hệ thống và điều này liên quan đến bảo mật kinh doanh, đây chắc chắn là về chủ đề.)

Tôi khuyên bạn nên tạo một danh sách kiểm tra những việc bạn làm khi một sysadmin mới gia nhập công ty (các hệ thống bạn cần thêm chúng vào, nhóm tài khoản của chúng phải vào, v.v.) và bao gồm cả những thứ kỹ thuật và vật lý - ví dụ: khóa vật lý và báo động mã cũng quan trọng như khóa SSH và mật khẩu.

Đảm bảo bạn luôn cập nhật danh sách này - nói dễ hơn làm, tôi biết. Nhưng nó giúp cả hai xử lý các thành viên nhóm mới vào công ty dễ dàng hơn và một lần nữa xử lý họ. Bạn vẫn có thể làm điều này ngay bây giờ và nhận được ít nhất một số lợi ích của việc sử dụng nó để giúp đỡ với người sắp rời đi. Lý do tôi đề cập đến một danh sách kiểm tra là bởi vì tất cả chúng ta có xu hướng suy nghĩ trong phạm vi thoải mái của riêng mình và những điều khác nhau có thể bị bỏ qua nếu không, tùy thuộc vào người đang xử lý tờ rơi. Ví dụ: "người quản lý bảo mật tòa nhà" hoặc "người quản lý văn phòng" sẽ suy nghĩ nhiều hơn về khóa cửa so với khóa SSH và một nhân viên CNTT sẽ hoàn toàn ngược lại và cuối cùng thu hồi quyền truy cập của họ vào hệ thống trong khi họ có thể đi vào tòa nhà vào ban đêm

Sau đó, chỉ cần đi qua danh sách kiểm tra của họ khi họ rời đi, sử dụng nó như một danh sách kiểm tra những thứ để hoàn tác / được trả lại. Tất cả đội ngũ CNTT của bạn nên nhiệt tình về vấn đề này nếu họ chuyên nghiệp vì có một quy trình được thỏa thuận như thế này bảo vệ họ khỏi sự đổ lỗi không đáng có từ một chủ nhân trước đây cũng giống như nó bảo vệ nhà tuyển dụng khỏi họ.

Đừng quên những thứ như truy cập vào trung tâm dữ liệu từ xa hoặc truy cập vật lý vào kho lưu trữ dữ liệu sao lưu của bên thứ 3.

Tôi ngạc nhiên không ai nhắc đến điều đó trước đây nhưng ...

Nếu mạng WiFi của bạn sử dụng WPA hoặc (tôi hy vọng là không) WEP thay vì gõ vào máy chủ Radius, bạn có thể muốn xem xét thay đổi khóa đó.

Đó là một cánh cửa lớn còn bỏ ngỏ, nếu bạn là quản trị viên mạng, có một cơ hội khá tốt bạn biết rằng chìa khóa đó là trái tim ... hãy tưởng tượng việc lấy lại mạng từ bãi đậu xe hoặc một thứ gì đó có tính chất dễ dàng như thế nào .

Những điều khác mà mùa xuân đến tâm trí:

• Bảo mật vật lý - lấy đi chìa khóa / thẻ truy cập / thẻ vpn / máy tính xách tay
• Lấy đi điện thoại / quả mâm xôi
• Xóa / vô hiệu hóa bất kỳ tài khoản nào họ có trên các dịch vụ / trang web bên ngoài
• Khóa tài khoản người dùng của họ
• Thay đổi bất kỳ mật khẩu được chia sẻ mà họ có thể biết (Tôi đánh giá cao bạn không nên có bất kỳ mật khẩu được chia sẻ nào)
• Vô hiệu hóa tài khoản VPN
• Đảm bảo tất cả các lỗi / vé / sự cố, v.v. trong mọi hệ thống theo dõi đều được chỉ định lại

• Đưa họ ra khỏi hệ thống phân trang / phân trang
• Loại bỏ sudo của họ (chỉ trong trường hợp)
• Nói với trung tâm dữ liệu
• Vô hiệu hóa / thu hồi bất kỳ hệ thống vpn nào vào mạng văn phòng
• Vô hiệu hóa mọi ứng dụng web / apache confs / tường lửa có địa chỉ IP của chúng được mã hóa trong

Nếu một số sysadmin rời công ty, chúng tôi sẽ thay đổi tất cả mật khẩu cho người dùng (thay vì thay đổi mật khẩu hàng tháng). Chúng tôi có ldap và bán kính, vì vậy nó không quá khó. Sau đó, chúng tôi xem xét các hệ thống anh ấy đang làm việc, cũng như các tệp được tạo bởi / sửa đổi bởi anh ấy. Nếu có dữ liệu quan trọng trên máy trạm của anh ta, chúng tôi sẽ dọn dẹp hoặc lưu trữ nó.

Chúng tôi có quyền kiểm toán truy cập cho tất cả các dịch vụ có người dùng. Nếu có một số người dùng không xác định sử dụng dịch vụ, chúng tôi sẽ chặn anh ta, ít nhất là cho đến khi nhận dạng được thông qua.

Các hệ thống khác sẽ được làm sạch trong một tuần; hầu hết là cho mục đích phát triển và không có thông tin có giá trị, và chúng thường xuyên được làm sạch bằng cách cài đặt lại.

Nhiều ý tưởng hay trong chủ đề này ... Một vài điều khác cần xem xét:

Tôi đồng ý thay đổi mật khẩu hoặc vô hiệu hóa tài khoản người dùng có thời hạn so với xóa chúng (ít nhất là ban đầu), tuy nhiên có thể là một ý tưởng tốt để kiểm tra và xem liệu tài khoản người dùng có được sử dụng để chạy các dịch vụ / tác vụ theo lịch trình hay không trước khi thực hiện hành động. Điều này có lẽ quan trọng hơn trong môi trường Windows / AD so với U

Một vài trong số các mục sau đây có thể khó thực hiện nếu nhân viên rời đi nhanh chóng hoặc dưới hoàn cảnh lý tưởng; nhưng những điều này có thể quan trọng (đặc biệt là vào lúc 2 giờ sáng WTH vừa xảy ra)

Chuyển giao kiến ​​thức - Mặc dù tất cả chúng ta đều cập nhật tất cả các tài liệu của mình (ahem, xáo trộn bàn chân), nhưng có thể là một điều tốt để sắp xếp thời gian với bộ đếm thời gian ngắn và thực hiện một số câu hỏi và hướng dẫn với một quản trị viên khác. Nếu bạn có nhiều s / w tùy chỉnh đang chạy hoặc một môi trường phức tạp, có thể thực sự hữu ích để đặt câu hỏi và nhận được một lần một lần.

Cùng với đó là Mật khẩu. Hy vọng mọi người đang sử dụng một số loại lưu trữ tài khoản / mật khẩu được mã hóa (KeePass / PassSafe, v.v.). Nếu đó là trường hợp, điều này sẽ khá dễ dàng - lấy một bản sao của tập tin của họ và chìa khóa cho nó. Nếu không, đó là thời gian cho một số bán phá giá não.

Bắt đầu bằng cách thay đổi tất cả mật khẩu "chu vi" cho mạng của bạn. Bất kỳ tài khoản nào anh ấy có thể sử dụng để truy cập mạng của bạn từ nhà (hoặc từ bãi đậu xe có WiFi), nên được thay đổi ngay lập tức.

• Mật khẩu quản trị từ xa cho bộ định tuyến và tường lửa?
• Tài khoản VPN? Còn tài khoản quản trị viên trên VPN thì sao?
• Mã hóa WiFi?
• Email dựa trên trình duyệt (OWA)?

Một khi những điều này được bảo hiểm, làm việc theo cách của bạn vào bên trong.

Những thứ khác để kiểm tra chỉ để dọn dẹp mọi thứ:

• nếu họ có địa chỉ IP tĩnh, hãy đánh dấu là có sẵn
• xóa / dọn sạch mọi bản ghi DNS tùy chỉnh nếu có thể
• xóa khỏi mọi loại thư mục nhân viên
• điện thoại
• xóa địa chỉ email khỏi mọi loại báo cáo tự động được gửi bởi máy chủ hoặc dịch vụ
• nếu bạn giữ hàng tồn kho phần cứng / phần mềm, hãy đánh dấu giấy phép phần cứng và phần mềm là có sẵn (điều này thực sự phụ thuộc vào cách bạn quản lý những thứ này).

Cố gắng đảm bảo rằng tất cả các thay đổi mật khẩu xảy ra giữa 'người bị cô lập khỏi mạng' (có thể là một cuộc phỏng vấn thoát trong phòng hội nghị, sau khi máy tính xách tay làm việc đã được trả lại) và 'người bỏ lại để sở hữu thiết bị'. Điều này làm giảm đáng kể khả năng người bỏ phiếu sẽ rình mò các thông tin mới (nhưng với điện thoại thông minh và những thứ tương tự, nó vẫn không có giá trị).

Các câu trả lời trên đều rất tốt. Là một chuyên gia thực hành trong nghề Infecec (Kiểm toán viên CNTT), một số điểm khác để bạn xem xét:

1. Xóa các quyền quản trị đặc quyền như quản trị viên tên miền nếu bạn sử dụng Active Directory

2. Xóa các vai trò cơ sở dữ liệu đặc quyền mà họ có thể có (ví dụ: db_owner)

3. Thông báo cho khách hàng bên ngoài rằng người dùng bị chấm dứt có thể đã có quyền truy cập để các đặc quyền truy cập có thể bị thu hồi.

4. Xóa tài khoản máy cục bộ nếu họ có bất kỳ quyền truy cập nào ngoài tên miền