Giám đốc CNTT đang rời đi - Tôi phải khóa cái gì?

Giám đốc CNTT có thể rời đi và có thể việc chia tay có thể không hoàn toàn dân sự. Tôi sẽ không thực sự mong đợi bất kỳ ác ý nào nhưng chỉ trong trường hợp, tôi phải kiểm tra, thay đổi hoặc khóa lại những gì?

Ví dụ:

• Mật khẩu quản trị viên
• Mật khẩu không dây
• Quy tắc truy cập VPN
• Cài đặt bộ định tuyến / tường lửa

Rõ ràng là an ninh vật lý cần được giải quyết, nhưng sau đó ...

Giả sử bạn không có quy trình được lập thành văn bản khi nhân viên rời khỏi (môi trường chung chung khi bạn không đề cập đến nền tảng nào bạn chạy):

1. Bắt đầu với bảo mật vành đai. Thay đổi tất cả mật khẩu trên bất kỳ thiết bị vành đai nào như bộ định tuyến, tường lửa, vpn, v.v ... Sau đó khóa mọi tài khoản mà người quản lý CNTT có, cũng như xem xét tất cả các tài khoản còn lại cho bất kỳ tài khoản nào không còn được sử dụng và bất kỳ tài khoản nào không còn sử dụng t thuộc về (trong trường hợp anh ta thêm một phụ).
2. Email - xóa tài khoản của anh ấy hoặc ít nhất là vô hiệu hóa đăng nhập vào tài khoản của bạn tùy thuộc vào chính sách công ty của bạn.
3. Sau đó đi qua bảo mật máy chủ của bạn. Tất cả các máy và dịch vụ thư mục sẽ bị vô hiệu hóa và / hoặc xóa tài khoản của anh ấy. (Loại bỏ được ưu tiên, nhưng bạn có thể cần phải kiểm tra chúng trong trường hợp anh ta có bất cứ thứ gì chạy hợp lệ theo họ trước). Một lần nữa, cũng xem xét cho bất kỳ tài khoản nào không còn được sử dụng, cũng như bất kỳ tài khoản nào không thuộc về. Vô hiệu hóa / loại bỏ những người là tốt. Nếu bạn sử dụng khóa ssh, bạn nên thay đổi chúng trên tài khoản admin / root.
4. Tài khoản được chia sẻ, nếu bạn có bất kỳ, tất cả nên thay đổi mật khẩu của họ. Bạn cũng nên xem việc xóa tài khoản dùng chung hoặc vô hiệu hóa đăng nhập tương tác trên chúng như một thông lệ chung.
5. Tài khoản ứng dụng ... đừng quên thay đổi mật khẩu hoặc vô hiệu hóa / xóa tài khoản khỏi tất cả các ứng dụng mà anh ta có quyền truy cập, bắt đầu với tài khoản truy cập quản trị viên.
6. Ghi nhật ký ... đảm bảo bạn có đăng nhập tốt để sử dụng tài khoản và theo dõi chặt chẽ để tìm kiếm bất kỳ hoạt động đáng ngờ nào.
7. Sao lưu ... đảm bảo rằng các bản sao lưu của bạn là hiện tại và an toàn (tốt nhất là ngoại vi). Đảm bảo bạn đã thực hiện tương tự như trên với các hệ thống sao lưu của mình cho đến tận tài khoản.
8. Tài liệu ... hãy cố gắng nhiều nhất có thể để xác định, yêu cầu từ anh ấy nếu có thể và sao chép ở đâu đó an toàn, tất cả tài liệu của anh ấy.
9. Nếu bạn có bất kỳ dịch vụ nào thuê ngoài (email, lọc thư rác, lưu trữ thuộc bất kỳ loại nào, v.v.), hãy đảm bảo thực hiện tất cả các điều trên phù hợp với các dịch vụ đó.

Khi bạn làm tất cả những điều này, hãy ghi lại nó , để bạn có một quy trình thay thế cho việc chấm dứt trong tương lai.

Ngoài ra, nếu bạn sử dụng bất kỳ dịch vụ colocation nào, hãy đảm bảo xóa tên anh ấy khỏi danh sách truy cập và danh sách gửi vé. Sẽ là khôn ngoan khi làm điều tương tự cho bất kỳ nhà cung cấp nào khác, nơi anh ta là người chính xử lý, để anh ta không thể hủy bỏ hoặc gây rối với các dịch vụ bạn nhận được từ các nhà cung cấp đó và để các nhà cung cấp biết phải liên hệ với ai để gia hạn, các vấn đề, v.v ... có thể giúp bạn tiết kiệm một số vấn đề đau đầu khi có điều gì đó mà người quản lý CNTT không làm được.

Tôi chắc chắn rằng tôi đã bỏ lỡ nhiều hơn, nhưng đó là trên đỉnh đầu của tôi.

Đừng quên bảo mật vật lý - đảm bảo anh ấy không thể vào bất kỳ tòa nhà nào - thật tuyệt khi bạn ở khắp nơi trên bộ mạng nhưng nếu anh ấy có thể đến trung tâm dữ liệu thì thật vô nghĩa.

Chúng tôi nghi ngờ rằng một nhân viên bất mãn vẫn còn trong thời gian thông báo có thể đã cài đặt một số chương trình truy cập từ xa, vì vậy chúng tôi đã giới hạn tài khoản đăng nhập của anh ấy chỉ trong giờ làm việc, do đó anh ấy không thể làm việc sau giờ làm việc mọi thứ (trong giờ làm việc chúng ta có thể nhìn thấy màn hình của anh ấy rõ ràng vì vậy nếu anh ấy tinh nghịch, chúng tôi sẽ biết).

Hóa ra là có giá trị, anh ta đã cài đặt LogMeIn và thực tế đã cố gắng truy cập sau giờ làm việc.

(đây là một mạng công ty nhỏ, không có ACL hoặc tường lửa ưa thích)

Ngoài ra, hãy cẩn thận để không bị khóa quá nhiều. Tôi nhớ một tình huống mà một người nào đó đã rời đi và một ngày sau đó, rõ ràng là một số phần mềm quan trọng trong kinh doanh thực sự đang chạy dưới tài khoản người dùng cá nhân của anh ta.

Chỉ cần thêm - cũng đảm bảo rằng bạn đã kiểm tra các lần đăng nhập thất bại và thành công - một loạt các thất bại cho một tài khoản theo sau thành công có thể là hack. Bạn cũng có thể khiến mọi người khác thay đổi mật khẩu của mình nếu Trình quản lý CNTT có liên quan đến cài đặt mật khẩu. Đừng quên mật khẩu cơ sở dữ liệu và bạn có thể muốn xóa tài khoản email của anh ấy / cô ấy để biết thông tin an toàn. Tôi cũng sẽ đặt kiểm tra truy cập trên bất kỳ thông tin / cơ sở dữ liệu bí mật nào và không cho phép anh ấy / cô ấy thực hiện sao lưu hệ thống / cơ sở dữ liệu.

Hi vọng điêu nay co ich.

Hãy chắc chắn rằng, trước khi bạn để cá nhân này ra đi, để hiểu rằng mọi thứ có thể và sẽ đi xuống, hoặc có vấn đề cho đến khi bạn thay thế cá nhân đó. Tôi hy vọng rằng bạn sẽ không đổ lỗi cho họ về mọi thứ xảy ra chỉ vì bạn cho rằng / biết đó sẽ không phải là một cách tốt, hoặc nghĩ rằng họ đang hack bạn bằng cách nào đó vì nhà vệ sinh bị tràn.

Hy vọng rằng kịch bản đó nghe có vẻ vô lý với bạn. Nhưng đó là một câu chuyện có thật từ công việc cuối cùng của tôi mà bây giờ chủ sở hữu đang cố gắng kiện tôi phá hoại (về cơ bản là vì tôi đã bỏ việc và họ không sẵn sàng trả cho bất kỳ ai mức giá thị trường để thay thế tôi) và các tội phạm mạng như hack và internet racketeering.

Điểm mấu chốt là, đánh giá "tại sao" vì lý do sa thải họ. Nếu đó là bất cứ điều gì khác ngoài nhu cầu kinh tế, tôi khuyên bạn nên tinh chỉnh các quy trình tuyển dụng của mình để bạn có thể thuê một cá nhân chuyên nghiệp hơn, trong đó, theo nghề nghiệp, cần phải đáng tin cậy và đáng tin cậy với nhiệm vụ quan trọng và thông tin bí mật và ai có thể cài đặt đúng thủ tục bảo mật mà mọi người phải tuân theo.

Một cách để biết khi bạn đang phỏng vấn là họ trả lời phỏng vấn bạn và doanh nghiệp của bạn tốt như thế nào. Trách nhiệm pháp lý (Như những gì công ty cho rằng Giám đốc CNTT có thể bị lỗi vì có gì đó không ổn - thường là trong hợp đồng) và bảo mật mạng nói chung là một trong 3 điều quan trọng hàng đầu đối với bất kỳ người quản lý CNTT / CTO thích hợp nào khi đến vào để phỏng vấn cho một công việc.

Thay đổi tất cả mật khẩu quản trị viên (máy chủ, bộ định tuyến, chuyển mạch, truy cập lại, tường lửa) Xóa tất cả các quy tắc tường lửa để truy cập từ xa cho người quản lý CNTT. Nếu bạn đang sử dụng mã thông báo bảo mật, hãy tách liên kết (các) mã thông báo của người quản lý CNTT khỏi mọi quyền truy cập. Xóa quyền truy cập TACACS (nếu bạn sử dụng điều này).

Đảm bảo thực hiện những thay đổi này với người quản lý CNTT trong phòng hội thảo hoặc nếu không dưới sự kiểm soát vật lý, vì vậy họ không thể quan sát quá trình. Trong khi đọc một câu thơ khi nó được gõ trên bàn phím là không tầm thường (không khó, chỉ không tầm thường), nếu điều này cần phải được lặp lại, sẽ có nguy cơ cao hơn về mật khẩu được lượm lặt.

Nếu có thể, thay đổi ổ khóa. Nếu các khóa có thể được sao chép (và nói ngắn gọn là có thể), điều này sẽ ngăn người quản lý CNTT có được quyền truy cập vật lý sau đó. Vô hiệu hóa bất kỳ mật mã nào bạn không thể chiếm (không chỉ thẻ bạn biết đã được cấp cho người quản lý CNTT).

Nếu bạn có nhiều đường dây điện thoại đến, hãy kiểm tra TẤT CẢ chúng, để đảm bảo không có thiết bị không xác định nào được gắn vào chúng.

Kiểm tra các chính sách tường lửa
Thay đổi mật khẩu quản trị viên và kiểm tra các tài khoản không còn được sử dụng.
Thu hồi chứng chỉ của anh ấy / cô ấy
Sao lưu máy trạm của anh ấy / cô ấy và định dạng nó.
Sử dụng các điều khiển tổng kiểm tra cho các tệp quan trọng trên máy chủ của bạn và đặt IDS vào cổng span trong giá của bạn trong một thời gian.

Chỉ cần 2cts của tôi.

Kiểm tra thêm tài khoản, quá. Anh ta có thể dễ dàng thêm một tài khoản mới khi anh ta biết mình sẽ rời đi. Hoặc thậm chí ngay sau khi anh đến.

Nó phụ thuộc vào mức độ hoang tưởng của bạn. Một số người đi đến mức - nếu nó đủ tệ - thay thế tất cả các khóa và khóa. Một lý do khác để tốt đẹp cho quản trị viên hệ thống;)

Tất cả các lời khuyên đã nói ở trên là tốt - một lời khuyên khác thậm chí có thể khiến tất cả người dùng thay đổi mật khẩu của họ (và nếu Windows) thực thi chính sách mật khẩu phức tạp.

Ngoài ra - nếu bạn đã từng thực hiện hỗ trợ từ xa hoặc thiết lập văn phòng / máy khách từ xa (ví dụ: một trang web khác) - hãy yêu cầu họ thay đổi mật khẩu của họ.

Đừng quên thổi bay bất kỳ tài khoản loại extranet nào mà anh ấy có thể có thay mặt cho công ty của bạn. Những điều này thường bị bỏ qua và thường là nguyên nhân của nhiều hậu quả đau buồn.

Có thể (cùng theo dõi "Tôi cực kỳ hoang tưởng") cũng muốn thông báo cho đại diện bán hàng của bạn cho các nhà cung cấp khác nhau mà bạn làm việc trong trường hợp anh ta cố gắng liên hệ với ai đó ở đó.

Nếu anh ta có quyền kiểm soát lưu trữ web của công ty bạn,

• kiểm tra lại tất cả các đường dẫn truy cập thông qua các trang web
• lấy tất cả mã xác nhận cho các cửa sau có thể

Điểm yếu trong lĩnh vực này có thể tác động dựa trên cách thức lưu trữ của bạn được thực hiện,

• Lưu trữ lồng với kiểm soát quản trị - ít nhất, khả năng của một trang web bị lỗi
• Lưu trữ cục bộ từ cơ sở của bạn - truy cập vào mạng nội bộ (trừ khi bạn có DMZ cũng bị khóa)

Công ty của tôi đã để một nhà phát triển ra đi cách đây không lâu và đó là một tình huống tương tự. Anh ta biết nhiều về hệ thống và điều quan trọng nhất là đảm bảo anh ta bị cắt đứt lần thứ hai mà anh ta được thông báo về việc sa thải. Ngoài những lời khuyên đưa ra ở trên, tôi cũng đã sử dụng Spectre Pro để theo dõi tất cả công việc của anh ấy trong 2 tuần trước khi anh ấy rời đi: hoạt động mạng (IO), cửa sổ trò chuyện, email, ảnh chụp màn hình cứ sau 2 phút, v.v. Có lẽ nó quá mức và tôi không bao giờ thậm chí nhìn vào bất cứ điều gì bởi vì anh ấy đã để lại những điều khoản tốt. Đó là bảo hiểm tốt mặc dù.

Hai điều quan trọng để quản lý ngay lập tức là:

1. Truy cập vật lý - nếu bạn có một hệ thống điện tử, hãy thu hồi thẻ của anh ấy. Nếu ổ khóa của bạn hoàn toàn là vật lý, hãy đảm bảo rằng bất kỳ khóa nào được cấp cho anh ta đều được trả lại hoặc nếu bạn thực sự lo lắng về sự nghịch ngợm, hãy thay đổi ổ khóa thành các khu vực quan trọng.

2. Truy cập từ xa - đảm bảo rằng VPN / Citrix / tài khoản truy cập từ xa khác của quản trị viên này bị vô hiệu hóa. Hy vọng rằng bạn không cho phép đăng nhập từ xa với tài khoản được chia sẻ; nếu là bạn, hãy thay đổi mật khẩu trên tất cả chúng. Ngoài ra hãy chắc chắn để vô hiệu hóa tài khoản AD / NIS / LDAP của anh ấy.

Điều này chỉ bao gồm rõ ràng tuy nhiên; luôn có khả năng là anh ta đã cài đặt một vài modem trong phòng máy chủ, với cáp điều khiển vào các thiết bị / máy chủ mạng chính. Khi bạn đã thực hiện khóa ban đầu, bạn có thể muốn người thay thế thực hiện quét toàn bộ cơ sở hạ tầng đến A) để đảm bảo tài liệu được cập nhật và B) làm nổi bật bất cứ điều gì có vẻ kỳ quặc.

Tại một công việc trước đây tại một công ty nhỏ hơn, sysadmin bị buông tay đã biết rất nhiều mật khẩu của nhân viên khác. Vào buổi sáng anh ấy đã đi, chúng tôi đặt thuộc tính "người dùng phải thay đổi mật khẩu" trên tài khoản Active Directory của bất kỳ ai có quyền truy cập từ xa.

Điều này có thể không khả thi ở mọi nơi, nhưng có thể thận trọng tùy thuộc vào tình huống.

Tôi muốn giới thiệu các thủ tục sau đây:

• vô hiệu hóa tất cả các thẻ truy cập bảo mật tòa nhà
• vô hiệu hóa tất cả các tài khoản đã biết (đặc biệt là VPN và các tài khoản có thể được sử dụng từ bên ngoài công ty)
• vô hiệu hóa các tài khoản không xác định (!)
• thay đổi tất cả mật khẩu quản trị viên
• xem lại quy tắc tường lửa

Điều này sẽ bao gồm hầu hết các tùy chọn truy cập có thể. Xem lại tất cả thông tin liên quan đến bảo mật trong các tuần tiếp theo, để bạn có thể đảm bảo không có tùy chọn nào bị "mở".

Làm cho tất cả các nhân viên nhận thức được rằng nhân viên này sẽ rời đi để họ không bị tổn thương trước các nỗ lực hack điện thoại xã hội.

Anh ta đã biết làm thế nào hệ thống hoạt động và những gì có. Vì vậy, anh ta sẽ không cần quá nhiều thông tin để quay lại nếu muốn.

Nếu tôi rời đi hàng ngày trong những hoàn cảnh không như mong muốn, tôi tin rằng tôi có thể gọi nhân viên, điều mà thỉnh thoảng tôi phải làm và tìm hiểu đủ thông tin để quay lại hệ thống.

Có lẽ tôi sẽ cung cấp một đặc quyền quản trị viên người dùng tên miền hiện có (trước khi rời đi). Tôi có thể gọi điện cho người dùng này và yêu cầu anh ấy / cô ấy tiết lộ mật khẩu của mình cho tôi.

• Vô hiệu hóa tài khoản người dùng của họ trong Active Directory. Kiểm tra bất kỳ tài khoản nào khác mà người quản lý CNTT có thể biết mật khẩu và thay đổi hoặc vô hiệu hóa chúng.
• Vô hiệu hóa bất kỳ tài khoản nào khác không phải là một phần của Active Directory vì chúng nằm trên một máy khác hoặc do chúng được viết trong nhà. Nhận người dùng hợp pháp để thay đổi mật khẩu của họ. (Tôi vẫn có thể đăng nhập với tư cách quản trị viên vào tài khoản của nhân viên khác cho đến ngày hôm nay.)
• Nếu trang web của công ty bạn được lưu trữ bên ngoài tòa nhà, hãy thay đổi mật khẩu cho điều đó.
• Nó cũng có thể là khá nhỏ đối với một nhân viên bất mãn để hủy bỏ Internet và / hoặc dịch vụ điện thoại của bạn. Không chắc chắn làm thế nào để bảo vệ chống lại điều đó mặc dù.
• Thay đổi ổ khóa VÀ mã báo động. Một cuộc đột nhập có thể không được chú ý đủ lâu để họ đánh cắp tất cả nội dung của bạn.

Cách duy nhất để hoàn toàn an toàn trong trường hợp máy chủ, cũng giống như cách bạn đảm bảo rằng hộp bị hack sạch sẽ: cài đặt lại. Nhờ con rối (hoặc một số hệ thống quản lý cấu hình khác) cài đặt lại máy chủ và đưa chúng đến trạng thái cụ thể có thể khá nhanh chóng và tự động.