Passaggi da intraprendere quando lo staff tecnico se ne va

20

Come gestite il processo di partenza quando il personale privilegiato o tecnico si dimette / viene licenziato? Avete un elenco di controllo delle cose da fare per garantire il funzionamento / la sicurezza continui dell'infrastruttura dell'azienda?

Sto cercando di elaborare una bella lista canonica di cose che i miei colleghi dovrebbero fare quando me ne vado (mi sono dimesso una settimana fa, quindi ho un mese per mettere in ordine e GTFO).

Finora ho:

  1. Scortali fuori dai locali
  2. Elimina la posta in arrivo (imposta tutta la posta per l'inoltro a tutti)
  3. Elimina le loro chiavi SSH sui server

  4. Elimina i loro account utente mysql

    ...

Allora, qual è il prossimo. Cosa ho dimenticato di menzionare o potrebbe essere altrettanto utile?

(nota finale: perché questo è fuori tema? Sono un amministratore di sistema, e ciò riguarda la continua sicurezza aziendale, questo è decisamente in tema.)

security  physical-security 
Tom O'Connor
fonte
pertinenti (not nessecarily a dupe) serverfault.com/questions/171893/…
tombull89
4
Essere consapevoli dell'inoltro di posta elettronica; ci sono diversi paesi in cui ciò non è consentito. In Norvegia non ci è nemmeno permesso di dare risposte automatiche affermando che il dipendente non lavora più qui, dobbiamo cancellare completamente l'account. Il rapporto di mancato recapito standard (utente inesistente) è l'unica cosa consentita.
pauska,
1
È normale che le persone vengano esportate fuori dai locali? Immagino che sarebbe necessario solo quando le persone vengono licenziate.
Vetle,
3
Sei sicuro di voler eliminare la posta in arrivo? Quando un collega è stato licenziato all'istante da un lavoro in cui ho lavorato, passare attraverso la sua casella di posta mi ha permesso di capire rapidamente quali decisioni erano state prese su progetti che improvvisamente mi sono ritrovato a gestire. Penso che (a seconda della legalità) potresti voler riconsiderare il n. 2.
Brian Stinar,
2
pauska

Risposte:

7

Suggerirei di creare un elenco di controllo delle cose che fai quando un nuovo amministratore di sistema entra a far parte dell'azienda (sistemi a cui devi aggiungerli, gruppi a cui deve accedere il proprio account, ecc.) E includere sia aspetti tecnici che fisici - ad esempio chiavi fisiche e allarme i codici sono importanti tanto quanto le chiavi e le password SSH.

Assicurati di mantenere aggiornato questo elenco - lo so più facilmente a dirsi che a farsi. Ma semplifica sia l'elaborazione dei nuovi membri del team nell'azienda sia la successiva elaborazione. Puoi ancora farlo ora e ottenere almeno alcuni dei vantaggi dell'usarlo per aiutare la persona che sta partendo. Il motivo per cui menziono una lista di controllo è perché tutti tendiamo a pensare nelle nostre sfere di conforto e diversamente si potrebbero perdere diverse cose, a seconda di chi sta elaborando il leaver. Ad esempio: un "responsabile della sicurezza dell'edificio" o un "responsabile dell'ufficio" penserà più alle chiavi della porta che alle chiavi SSH e una persona IT sarà esattamente l'opposto e finirà per revocare il loro accesso al sistema lasciandoli in grado di entra nell'edificio di notte.

Quindi basta scorrere la loro lista di controllo quando escono, usarla come una lista di controllo per annullare / ottenere la restituzione. Tutto il tuo team IT dovrebbe essere entusiasta di questo se è professionale avendo un processo concordato come questo li protegge da colpa ingiustificata di un ex datore di lavoro tanto quanto protegge il datore di lavoro da loro.

Non dimenticare cose come l'accesso a data center remoti o l'accesso fisico a un repository di dati di backup di terze parti.

2 giri
fonte
6

Sono sorpreso che nessuno l'abbia menzionato prima ma ...

Se la tua rete WiFi utilizza WPA o (spero di no) WEP invece di toccare il server Radius, potresti prendere in considerazione l'idea di cambiare quella chiave.

È un'enorme porta lasciata aperta, se sei l'amministratore di rete, c'è una buona possibilità che tu sappia quella chiave a memoria ... immagina quanto sarebbe facile tornare sulla rete dal parcheggio o qualcosa del genere .

alex
fonte
1
Questo di solito viene risolto eseguendo l'autenticazione su AD o qualsiasi altro servizio di directory. Una volta eliminato l'account, non puoi più andare avanti.
Split71,
@ Split71: l'amministratore ora scomparso potrebbe non essere in grado di accedere direttamente ai server, ma se si trovano sulla rete locale e affidabile, hanno accesso al ventre molle e soffice di tutta la tua infrastruttura.
womble
5

Altre cose che mi vengono in mente:

  • Sicurezza fisica: porta via chiavi / tag di accesso / tag vpn / laptop
  • Porta via telefoni / more
  • Rimuovi / disabilita tutti gli account che hanno su siti / servizi esterni
  • Blocca il loro account utente
  • Modifica le password condivise che potrebbero conoscere (apprezzo che non dovresti avere password condivise)
  • Disabilita l'account VPN
  • Assicurati che tutti i bug / ticket / problemi ecc. In qualsiasi sistema di tracciamento siano riassegnati
jamespo
fonte
4
  • Toglili dal nagios / sistema di paging
  • Rimuovi il loro sudo (per ogni evenienza)
  • Dì al datacenter
  • Disabilita / revoca qualsiasi sistema VPN nella rete dell'ufficio
  • Disabilita tutte le applicazioni web / apache conf / firewall che hanno i loro indirizzi IP codificati
Rory
fonte
2

Se qualche amministratore di sistema lascia l'azienda, cambiamo tutte le password per gli utenti (anziché la modifica mensile della password). Abbiamo LDAP e raggio, quindi non è molto difficile. Quindi esaminiamo i sistemi su cui stava lavorando, così come i file che sono stati creati / modificati da lui. Se sulla sua workstation sono presenti dati importanti, li puliamo o li archiviamo.

Abbiamo audit di accesso per tutti i servizi che hanno utenti. Se un utente sconosciuto utilizza il servizio, lo blocchiamo, almeno fino a quando non viene superata l'identificazione.

Altri sistemi verranno puliti in una settimana; la maggior parte sono a scopo di sviluppo e non hanno informazioni preziose e vengono regolarmente pulite mediante reinstallazione.

MealstroM
fonte
1

Molte buone idee in questo thread ... Alcune altre cose da considerare:

Acconsento a modificare le password o disabilitare gli account utente a termine anziché eliminarli (almeno inizialmente), tuttavia può essere una buona idea controllare e vedere se l'account utente viene utilizzato per eseguire servizi / attività pianificate prima di agire. Questo è probabilmente più importante in un ambiente Windows / AD rispetto a una U

Alcuni dei seguenti articoli possono essere difficili da fare se il dipendente lascia rapidamente o in circostanze non ideali; ma questi possono essere importanti (in particolare alle 2 del mattino WTH nei momenti appena accaduti)

Trasferimento di conoscenze - Mentre teniamo tutti i nostri documenti aggiornati (ahem, shuffles feet), può essere una buona cosa programmare il tempo con il timer breve e fare alcune domande e risposte o procedure dettagliate con un altro amministratore. Se hai un sacco di s / w personalizzato in esecuzione o un ambiente complesso, può essere davvero utile porre domande e ottenere uno a uno.

Insieme a ciò vanno le password. Speriamo che tutti stiano usando un tipo di archiviazione criptata di account / password (KeePass / PassSafe, ecc.). In tal caso, dovrebbe essere abbastanza semplice: procuratevi una copia del loro file e la chiave. In caso contrario, è tempo di scaricare il cervello.

Cybersylum
fonte
1

Inizia cambiando tutte le password "perimetrali" per la tua rete. Tutti gli account che può utilizzare per accedere alla tua rete da casa (o dal parcheggio con WiFi), dovrebbero essere cambiati immediatamente.

  • Password di amministrazione remota per router e firewall?
  • Account VPN? Che dire degli account amministratore sulla VPN?
  • Crittografia WiFi?
  • E-mail basata su browser (OWA)?

Una volta coperti, vai verso l'interno.

myron-semack
fonte
1

Altre cose da controllare solo per mettere in ordine le cose:

  • se avevano un indirizzo IP statico, contrassegnare come disponibile
  • rimuovere / ripulire eventuali record DNS personalizzati, se possibile
  • rimuovere da qualsiasi tipo di directory dei dipendenti
  • telefoni
  • rimuovere l'indirizzo e-mail da qualsiasi tipo di report automatico inviato da un server o un servizio
  • se si mantiene l'inventario hardware / software, contrassegnare le licenze hardware e software come disponibili (questo dipende davvero da come si gestiscono queste cose).
safado
fonte
1

Cerca di assicurarti che tutte le modifiche alla password avvengano tra "leaver isolato dalla rete" (forse un'intervista di uscita in una sala conferenze, dopo che il laptop di lavoro è stato restituito) e "leaver è lasciato ai propri dispositivi". Ciò riduce drasticamente la possibilità che il leaver si prenda cura delle nuove credenziali (ma con smartphone e simili, è ancora non nullo).

Vatine
fonte
0

Le risposte sopra sono tutte molto buone. Come professionista nella professione di InfoSec (IT Auditor), alcuni altri punti da considerare:

  1. Rimuovere i diritti amministrativi privilegiati come l'amministratore di dominio se si utilizza Active Directory

  2. Rimuovi i ruoli di database privilegiati che potrebbero aver avuto (es: db_owner)

  3. Informare i client esterni a cui l'utente terminato potrebbe aver avuto accesso in modo che i privilegi di accesso possano essere revocati.

  4. Rimuovere gli account dei computer locali, se presenti, oltre all'accesso al dominio

Anthony
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.