Vraag De IT-manager gaat weg - Wat sluit ik af?


De IT-manager gaat misschien weg en het is mogelijk dat de scheiding van wegen mogelijk niet volledig civiel is. Ik zou echt geen kwaadwilligheid verwachten, maar voor het geval, wat moet ik controleren, wijzigen of vergrendelen?

Voorbeelden:

  • Beheerderswachtwoorden
  • Draadloze wachtwoorden
  • VPN-toegangsregels
  • Router / Firewall-instellingen

50
2018-06-22 09:31


oorsprong


Zie gerelateerd achterdeuren van vorige IT? - Zoredache


antwoorden:


Uiteraard moet de fysieke beveiliging worden aangepakt, maar daarna ...

Ervan uitgaande dat u geen gedocumenteerde procedure hebt voor wanneer werknemers vertrekken (milieu generiek aangezien u niet vermeldt welke platforms u uitvoert):

  1. Begin met perimeterbeveiliging. Verander alle wachtwoorden op om het even welke perimeterapparatuur zoals routers, firewalls, vpn's, enz ... Sluit vervolgens alle accounts af die de IT-manager had, en bekijk alle resterende accounts voor alle accounts die niet meer worden gebruikt, en alle accounts die niet t horen (voor het geval hij een secundaire toevoegt).
  2. E-mail - verwijder zijn account of schakel in ieder geval logins uit, afhankelijk van uw bedrijfsbeleid.
  3. Ga dan door je hostbeveiliging. Bij alle computers en adreslijstdiensten moet zijn account worden uitgeschakeld en / of verwijderd. (Verwijderd heeft de voorkeur, maar u moet ze misschien controleren voor het geval dat hij iets heeft dat eerst geldig is onder hen). Nogmaals, controleer ook voor accounts die niet meer worden gebruikt, en alle accounts die niet thuishoren. Schakel deze ook uit / verwijder ze. Als u ssh-sleutels gebruikt, moet u deze wijzigen in beheerders- / rootaccounts.
  4. Gedeelde accounts, als je die hebt, moeten allemaal hun wachtwoorden hebben veranderd. Je zou ook moeten kijken naar het verwijderen van gedeelde accounts of het uitschakelen van interactief inloggen op hen als een algemene praktijk.
  5. Toepassingsaccounts ... Vergeet niet om wachtwoorden te wijzigen of accounts uit te schakelen / te verwijderen van alle toepassingen waartoe hij toegang had, te beginnen met beheerdersaccounts.
  6. Loggen ... zorg ervoor dat u goed inlogt voor accountgebruik en houd het nauwlettend in de gaten om te zoeken naar verdachte activiteiten.
  7. Back-ups ... zorg ervoor dat uw back-ups actueel en veilig zijn (bij voorkeur op een andere locatie). Zorg ervoor dat u hetzelfde hebt gedaan als hierboven met uw back-upsystemen voor zover het accounts betreft.
  8. Documenten ... probeer zoveel mogelijk te identificeren, vraag hem indien mogelijk en kopieer ergens veilig al zijn documentatie.
  9. Als u services hebt uitbesteed (e-mail, spamfilters, hosting van welk type dan ook, enz.), Moet u ook al het bovenstaande doen dat geschikt is voor deze services.

Terwijl je dit allemaal doet, documenteer het, zodat u een procedure hebt voor toekomstige beëindigingen.

Als u colocatiediensten gebruikt, zorg er dan ook voor dat zijn naam is verwijderd uit de toegangslijst en de inzendinglijst voor tickets. Het zou verstandig zijn om hetzelfde te doen voor andere leveranciers waar hij de primaire persoon was, zodat hij niet kan annuleren of knoeien met diensten die u van die leveranciers krijgt, en ook zodat leveranciers weten wie ze moeten contacteren voor verlengingen, problemen, enz ... die u enkele hoofdbrekens kunnen besparen als iets dat de IT-manager niet heeft vastgelegd, gebeurt.

Ik weet zeker dat er meer is dat ik gemist heb, maar dat is niet mijn hoofd.


38
2018-06-22 12:25



Ik zou ook moeten toevoegen dat dit een goed moment is om uw beveiligingsbeleid te herzien en uw algehele veiligheid te verbeteren. ;) - skraggy
Ik denk dat je "perimeter" niet "parameter" bedoelt - Matt Rogish
Ja, sorry ... dat krijg ik als ik reageer voordat ik 's ochtends koffie heb gedronken. :) - skraggy
Maak je geen zorgen; Ik zou het hebben bewerkt als ik genoeg rep had - maar het deed mijn hersenen een tijdje pijn doen totdat ik het correct had gepareerd :) - Matt Rogish


Vergeet fysieke beveiliging niet - zorg ervoor dat hij niet in een gebouw kan komen - het is geweldig dat u zich overal in de netwerkkit bevindt, maar als hij bij het datacenter kan komen, is het zinloos.


18
2018-06-22 09:34





We vermoedden dat een ontevreden werknemer die nog in hun opzegtermijn zat, mogelijk enkele programma's voor externe toegang had geïnstalleerd, dus we hebben zijn aanmeldingsaccount beperkt tot alleen werkuren, zodat hij niet op tijd kon doorwerken als er niemand in de buurt was dingen (tijdens de werkuren konden we zijn scherm duidelijk zien, dus als hij zou opstaan ​​tegen onheil dat we hadden geweten).

Blijkbaar waardevol, hij had LogMeIn geïnstalleerd en probeerde in feite uren na de klok te gebruiken.

(dit was een klein bedrijfsnetwerk, geen ACL's of fraaie firewalls)


13
2018-06-22 09:35



Waarom zou u een DISGRUNTLED-medewerker gedurende de opzegtermijn aanhouden? Een werknemer die niet ontevreden is, geen probleem, maar een ontevreden werknemer? Dat is gewoon vragen om problemen. - Jason Tan
Ik heb een vermoeden dat hij zegt dat het een klein bedrijf is zonder ACL's of fraaie firewalls, het bedrijf kon hem waarschijnlijk niet kwijt. De IT-man had ze aan de korte haren als je begrijpt wat ik bedoel. Een slechte plek om binnen te zijn, maar ik kon het zien gebeuren. - Matt
Hij werd gehouden omdat de baas een tight-wad was. Als je iemand in Australië ontslaat, moet je ze vier weken volhouden of vier weken betalen in één keer om ze kwijt te raken. Hij vond het niet leuk om iemand vier weken lang te betalen en niets van hem terug te krijgen. - Mark Henderson♦
Ik had dit idee niet eens overwogen, dat de werknemer misschien niet in de VS is. Hoe egocentrisch mijn standpunt soms kan zijn. - Matt


Pas ook op dat u niet te veel blokkeert. Ik herinner me een situatie waarin iemand vertrok en een dag later werd het duidelijk dat sommige bedrijfskritieke software daadwerkelijk onder zijn persoonlijke gebruikersaccount draaide.


10
2018-06-22 09:41



Daar heb ik dat gedaan. Als onze sysadmin ooit weggaat, zullen we in echt heet water zijn omdat er veel diensten worden uitgevoerd onder zijn account. Slechte praktijk, ik weet het ... - Mark Henderson♦
Ik weet dat, waarom vertel je hem / haar niet om deze fatcs te veranderen? - serverhorror
Gebruik elke breuk als een kans om alle services naar speciale serviceaccounts te verplaatsen. - tomfanning


Gewoon om toe te voegen - zorg er ook voor dat je een audit hebt van mislukt en succesvolle aanmeldingen - een hele reeks mislukkingen voor een account gevolgd door succes kan gelijk zijn aan hacking. U kunt ook zorgen dat alle anderen hun wachtwoorden wijzigen als de IT-manager betrokken is bij wachtwoordinstellingen. Vergeet ook geen databasewachtwoorden en misschien wilt u zijn / haar e-mailaccount scanderen op beveiligde informatie. Ik zou ook toegangscontroles uitvoeren op vertrouwelijke informatie / databases en hem of haar toestaan ​​systeem- / databaseback-ups uit te voeren.

Ik hoop dat dit helpt.


6
2018-06-22 09:41



Ja, maar mensen ertoe brengen om hun wachtwoorden te wijzigen, zou een probleem zijn, hoewel ik denk dat je alle accounts zou kunnen instellen om bij de volgende keer inloggen te veranderen en iedereen moet vertellen dat een serverupdate dwingt (niemand vindt het leuk om wachtwoorden te veranderen, vooral gebruikers) Het is ook een goed moment om een ​​audit uit te voeren van alle gebruikersaccounts (zowel de lokale machine als het netwerk) die binnen het bedrijf bestaan. - p858snake


Zorg er ook voor, voordat je dit individu laat gaan, om te begrijpen dat dingen kunnen en zullen ondergaan, of problematisch zijn totdat je dat individu vervangt. Ik hoop dat je ze niet de schuld geeft van alles wat er gebeurt, alleen omdat je veronderstelt / weet dat het niet een goede manier is om af te stappen, of denkt dat ze je op de een of andere manier hacken omdat het toilet overloopt.

Hopelijk klinkt dat scenario belachelijk voor je. Maar het is een waargebeurd verhaal van mijn laatste baan dat de eigenaar me nu probeert aan te klagen wegens sabotage (eigenlijk omdat ik ermee stop en ze zijn niet bereid om iemand de marktrente te betalen om mij te vervangen) en cybermisdaden zoals hacking en internet-racketeering.

Waar het op neerkomt is, evalueer het 'waarom' vanwege de reden van hun ontslag. Als het om iets anders gaat dan economische behoeften, raad ik u aan uw wervingsprocedures te verfijnen, zodat u een meer professioneel persoon kunt aannemen waarin, van beroep, betrouwbaar en betrouwbaar moet zijn met bedrijfskritieke en meestal vertrouwelijke informatie en die de juiste persoon kan installeren beveiligingsprocedures die iedereen moet volgen.

Een manier om te weten terwijl u aan het sollicitatiegesprek bent, is hoe goed zij u en uw bedrijf in ruil daarvoor ondervragen. Aansprakelijkheid (Zoals in wat het bedrijf denkt dat de IT-manager in gebreke kan worden gesteld als er iets mis zou gaan - zou meestal in een contract zitten) en algemene netwerkbeveiliging is een van de drie belangrijkste dingen over de juiste IT-manager / CTO's geest bij het komen in om te interviewen voor een baan.


6
2018-06-22 13:33





Wijzig alle beheerderswachtwoorden (servers, routers, switches, remore-toegang, firewalls) Verwijder alle firewallregels voor externe toegang voor de IT-manager. Als u gebruikmaakt van beveiligingstokens, koppel de token (s) van de IT-beheerder dan van alle toegang. Verwijder TACACS-toegang (als u dit gebruikt).

Zorg ervoor dat u deze wijzigingen aanbrengt bij de IT-manager in een conferentiekamer of anderszins onder fysieke controle, zodat hij / zij het proces niet kan observeren. Hoewel het lezen van een poassword tijdens het typen op een toetsenbord niet-triviaal is (niet moeilijk, gewoon niet triviaal), als dit moet worden herhaald, is er een groter risico dat het wachtwoord wordt gevonden.

Wijzig sloten indien mogelijk. Als sleutels kunnen worden gerepliceerd (en in het kort, ze kunnen), zal dit voorkomen dat de IT-manager achteraf fysieke toegang krijgt. Schakel elke passcard uit die u niet kunt afrekenen (niet alleen kaart (en) waarvan u weet dat ze aan de IT-manager zijn verstrekt).

Als u meerdere inkomende telefoonlijnen hebt, controleert u ALLE apparaten om er zeker van te zijn dat er geen onbekende apparaten aan zijn gekoppeld.


5
2018-06-22 12:17





Controleer het firewallbeleid
Wijzig het beheerderswachtwoord en controleer op accounts die niet meer in gebruik zijn.
Trek zijn / haar certificaten in
Maak een back-up van zijn / haar werkstation en formatteer het.
Gebruik controles op de controlesom voor de belangrijke bestanden op uw servers en plaats een IDS een tijdje in een spanpoort in uw rack.

Alleen mijn 2cts.


3
2018-06-22 09:36





Controleer ook op extra accounts. Hij zou gemakkelijk een nieuw account kunnen toevoegen zodra hij weet dat hij weggaat. Of zelfs kort nadat hij was aangekomen.


3
2018-06-22 09:55



Ik heb dat gezien. We hebben de beheerderstoegang tot de servers op de locatie van deze gast alleen verwijderd om een ​​gebruiker met de naam JBond te vinden die op de console is ingelogd. Op het account van Poor Jame is ook de beheerderstoegang verwijderd. - Mitch


Het hangt ervan af hoe paranoïde je bent. Sommige mensen gaan zover als het al erg genoeg is om alle sleutels en sloten te vervangen. Een andere reden om aardig te zijn voor sys-beheerders;)

Alle bovenstaande aanbevelingen zijn goed - een andere geeft zelfs alle gebruikers de mogelijkheid hun wachtwoord te wijzigen (en als Windows) het complexe wachtwoordbeleid afdwingt.

Ook - als u ooit ondersteuning op afstand hebt gehad of een externe kantoor / client (dwz een andere site) hebt opgezet - zorg er ook voor dat zij hun wachtwoorden ook wijzigen.


3
2018-06-22 10:50