Frage Der IT-Manager verlässt - Was kann ich sperren?


Der IT-Manager verlässt möglicherweise, und es ist möglich, dass die Trennung der Wege möglicherweise nicht vollständig zivil ist. Ich würde keine Bosheit erwarten, aber nur für den Fall, was überprüfe, ändere oder sperre ich?

Beispiele:

  • Administratorkennwörter
  • Drahtlose Passwörter
  • VPN-Zugriffsregeln
  • Router / Firewall-Einstellungen

50
2018-06-22 09:31


Ursprung


Siehe verwandte Hintertüren von früheren IT? - Zoredache


Antworten:


Natürlich muss die physische Sicherheit angesprochen werden, aber danach ...

Angenommen, Sie haben kein dokumentiertes Verfahren für den Fall, dass Mitarbeiter das Unternehmen verlassen (allgemeine Umgebung, da Sie nicht erwähnen, welche Plattformen Sie ausführen):

  1. Beginnen Sie mit der Perimetersicherheit. Ändern Sie alle Passwörter auf Perimetergeräten wie Routern, Firewalls, VPNs usw. Sperren Sie dann alle Konten, die der IT-Manager hatte, und überprüfen Sie alle verbleibenden Konten auf nicht mehr verwendete Konten. t gehören (falls er eine sekundäre hinzugefügt hat).
  2. E-Mail - entfernen Sie sein Konto oder deaktivieren Sie es mindestens in Abhängigkeit von Ihrer Unternehmensrichtlinie.
  3. Dann gehen Sie durch Ihre Host-Sicherheit. Bei allen Computern und Verzeichnisdiensten sollte sein Konto deaktiviert und / oder entfernt werden. (Entfernt wird bevorzugt, aber Sie müssen sie möglicherweise prüfen, falls er etwas ausführt, das zuerst gültig ist). Überprüfen Sie auch erneut alle Konten, die nicht mehr verwendet werden, sowie alle, die nicht gehören. Deaktivieren / entfernen Sie diese auch. Wenn Sie SSH-Schlüssel verwenden, sollten Sie sie in Admin / Root-Konten ändern.
  4. Bei gemeinsamen Accounts sollten alle ihre Passwörter geändert haben. Sie sollten sich auch die Entfernung von freigegebenen Konten oder das Deaktivieren der interaktiven Anmeldung als allgemeine Vorgehensweise ansehen.
  5. Anwendungskonten ... Vergessen Sie nicht, Passwörter zu ändern oder Konten von allen Anwendungen, auf die er Zugriff hatte, zu deaktivieren / entfernen, beginnend mit Administratorzugriffskonten.
  6. Protokollierung ... Stellen Sie sicher, dass Sie sich gut für die Kontoverwendung anmelden und diese genau überwachen, um nach verdächtigen Aktivitäten zu suchen.
  7. Backups ... stellen Sie sicher, dass Ihre Backups aktuell und sicher (vorzugsweise extern) sind. Stellen Sie sicher, dass Sie mit Ihren Backup-Systemen genauso wie mit Konten verfahren haben.
  8. Dokumente ... versuchen Sie so viel wie möglich zu identifizieren, bitten Sie ihn, wenn möglich, und kopieren Sie alle seine Dokumente an einen sicheren Ort.
  9. Wenn Sie irgendwelche Dienstleistungen ausgelagert haben (E-Mail, Spam-Filterung, Hosting jeglicher Art, etc ..), stellen Sie sicher, alle oben genannten, die auch mit diesen Dienstleistungen angemessen sind.

Wie du das alles machst, dokumentiere es, so dass Sie ein Verfahren für zukünftige Kündigungen haben.

Wenn Sie Colocation-Dienste verwenden, müssen Sie außerdem sicherstellen, dass der Name aus der Zugriffsliste und der Ticketübermittlungsliste entfernt wird. Es wäre ratsam, dasselbe für alle anderen Anbieter zu tun, bei denen er die primäre Person war, so dass er die Dienste, die Sie von diesen Anbietern erhalten, nicht abbrechen oder durcheinander bringen kann. Probleme, etc ... die Ihnen einige Kopfschmerzen ersparen können, wenn etwas, was der IT-Manager nicht dokumentiert hat, passiert.

Ich bin mir sicher, dass ich noch mehr vermisst habe, aber das ist nicht in meinem Kopf.


38
2018-06-22 12:25



Ich sollte auch hinzufügen, dass dies ein guter Zeitpunkt ist, um Ihre Sicherheitsrichtlinien zu überprüfen und Ihre allgemeine Sicherheit zu verbessern. ;) - skraggy
Ich denke du meinst "Perimeter" nicht "Parameter" - Matt Rogish
Ja, Entschuldigung ... das ist es, was ich bekommen habe, bevor ich am Morgen meinen Kaffee getrunken habe. :) - skraggy
Keine Bange; Ich hätte es bearbeitet, wenn ich genug Rep - hatte - aber es machte mein Gehirn für eine Weile weh, bis ich es richtig analysiert habe :) - Matt Rogish


Vergessen Sie nicht die physische Sicherheit - stellen Sie sicher, dass er nicht in ein Gebäude eindringen kann - es ist großartig, dass Sie alle über das Netzwerk-Kit verfügen, aber wenn er ins Rechenzentrum kommt, ist es sinnlos.


18
2018-06-22 09:34





Wir vermuteten, dass ein verärgerter Mitarbeiter, der sich noch in der Kündigungsfrist befand, möglicherweise einige Fernzugriffsprogramme installiert hatte. Daher beschränkten wir sein Anmeldekonto auf Arbeitszeiten, sodass er nach Feierabend nicht in der Lage war, sich zu melden Dinge (während der Arbeitsstunden konnten wir seinen Bildschirm deutlich sehen, wenn wir Ärger ertragen hätten, hätten wir es gewusst).

Es stellte sich heraus, dass er LogMeIn installiert hatte und tatsächlich den Zugriff nach Feierabend versuchte.

(Dies war ein kleines Firmennetzwerk, keine ACLs oder ausgefallene Firewalls)


13
2018-06-22 09:35



Warum sollten Sie einen DISGRUNTLED-Mitarbeiter über seine Kündigungsfrist halten? Ein Mitarbeiter, der nicht verärgert ist, kein Problem, sondern ein verärgerter Mitarbeiter? Das verlangt nur Ärger. - Jason Tan
Ich habe eine Ahnung davon, dass es eine kleine Firma ist, keine ACLs oder schicke Firewalls, die Firma könnte ihn wahrscheinlich nicht loswerden. Der IT-Typ hatte sie an den kurzen Haaren, wenn Sie wissen, was ich meine. Es war ein schlechter Ort, aber ich konnte es sehen. - Matt
Er wurde behalten, weil der Chef ein tight-wad war. Wenn Sie jemanden in Australien entlassen, müssen Sie ihn entweder für 4 Wochen bei voller Bezahlung behalten, oder Sie bezahlen ihn für 4 Wochen auf einmal und lassen ihn los. Es gefiel ihm nicht, jemanden für 4 Wochen zu bezahlen und nichts zurückzubekommen. - Mark Henderson♦
Ich hatte diese Idee nicht einmal in Betracht gezogen, dass der Angestellte vielleicht nicht in den USA ist. Wie egozentrisch kann mein Standpunkt manchmal sein. - Matt


Seien Sie auch vorsichtig, um nicht zu sehr zu sperren. Ich erinnere mich an eine Situation, in der jemand ging und einen Tag später wurde es offensichtlich, dass einige geschäftskritische Software tatsächlich unter seinem persönlichen Benutzerkonto lief.


10
2018-06-22 09:41



Kenne ich schon. Wenn unser Systemadministrator jemals geht, werden wir in wirklich heißem Wasser sein, da viele Dienste unter seinem Konto laufen werden. Schlechte Übung, ich weiß ... - Mark Henderson♦
Ich weiß du, warum erzählst du ihm nicht, diese Fatcs zu ändern? - serverhorror
Verwenden Sie einen Bruch als eine Möglichkeit, alle Dienste auf dedizierte Dienstkonten zu verschieben. - tomfanning


Nur hinzufügen - stellen Sie auch sicher, dass Sie Auditing von fehlgeschlagen haben und Erfolgreiche Logins - viele Fehler für einen Account gefolgt von einem Erfolg könnten dem Hacking gleichkommen. Sie könnten auch alle anderen dazu bringen, ihre Passwörter zu ändern, wenn der IT-Manager an den Passworteinstellungen beteiligt war. Vergessen Sie auch nicht die Datenbankpasswörter und Sie können sein / ihr E-Mail-Konto für sichere Informationen scrubben. Ich würde auch Zugriffsprüfungen auf vertrauliche Informationen / Datenbanken stellen und ihn / sie daran hindern, System- / Datenbanksicherungen durchzuführen.

Hoffe das hilft.


6
2018-06-22 09:41



Ja, aber Leute dazu zu bringen, ihre Passwörter zu ändern, wäre ein Problem, obwohl ich denke, Sie könnten alle Accounts so einstellen, dass sie beim nächsten Login geändert werden müssen und jedem mitteilen, dass ein Serverupdate erzwungen wird (niemand mag es, Passwörter zu ändern) Benutzer) Es ist auch eine gute Zeit, eine Prüfung aller Benutzerkonten (sowohl lokaler Computer als auch Netzwerk), die im Unternehmen vorhanden sind, durchzuführen. - p858snake


Achte auch darauf, dass du, bevor du diese Person gehen lässt, verstehen kannst, dass Dinge gehen können oder werden, oder dass sie problematisch sind, bis du diese Person ersetzt hast. Ich würde hoffen, dass du sie nicht für alles verantwortlich machst, was untergeht, nur weil du davon ausgehst / weißt, dass es kein guter Weg ist, oder dass sie dich irgendwie hacken, weil die Toilette übergelaufen ist.

Hoffentlich klingt dieses Szenario für Sie absurd. Aber es ist eine wahre Geschichte von meinem letzten Job, dass der Besitzer jetzt versucht, mich wegen Sabotage zu verklagen (im Grunde, weil ich aufhöre und nicht bereit bin, irgendjemandem den Marktpreis zu zahlen, um mich zu ersetzen) und Cyberkriminalität wie Hacking und Internet-Racketeering.

Endergebnis ist, das "warum" für den Grund ihrer Entlassung zu bewerten. Wenn es etwas anderes als wirtschaftliche Bedürfnisse ist, schlage ich vor, Sie verfeinern Ihre Einstellungsverfahren, so dass Sie eine professionellere Person einstellen können, in der, von Beruf, zuverlässig und vertrauenswürdig mit geschäftskritischen und in der Regel vertraulichen Informationen sein muss und wer richtig installieren kann Sicherheitsverfahren, denen alle folgen müssen.

Eine Möglichkeit zu wissen, wie Sie interviewen, ist, wie gut sie Sie und Ihr Geschäft im Gegenzug befragen. Haftung (wie in dem, was das Unternehmen denkt, dass der IT-Manager für etwas schief gehen kann, würde in der Regel in einem Vertrag scheitern) und insgesamt Netzwerksicherheit ist eines der 3 wichtigsten Dinge auf jeden richtigen IT-Manager / CTO der Meinung, wenn Sie kommen um für einen Job zu interviewen.


6
2018-06-22 13:33





Ändern Sie alle Administratorkennwörter (Server, Router, Switches, Remore-Zugriff, Firewalls) Entfernen Sie alle Firewallregeln für den Remotezugriff für den IT-Manager. Wenn Sie Sicherheitstoken verwenden, müssen Sie die Token des IT-Managers von allen Zugriffen trennen. Entfernen Sie den TACACS-Zugriff (wenn Sie diesen verwenden).

Stellen Sie sicher, dass Sie diese Änderungen mit dem IT-Manager in einem Konferenzraum oder anderweitig unter physischer Kontrolle durchführen, damit er den Prozess nicht beobachten kann. Das Lesen eines Pousswords, wie es auf einer Tastatur eingegeben wird, ist nicht-trivial (nicht schwer, nur nicht trivial), wenn dies wiederholt werden muss, besteht ein höheres Risiko, dass das Passwort erfasst wird.

Wenn möglich, ändern Sie die Sperren. Wenn Schlüssel repliziert werden können (und kurz gesagt, sie können dies), wird dies den IT-Manager daran hindern, später physischen Zugriff zu erhalten. Deaktivieren Sie alle Passkarten, die nicht berücksichtigt werden können (nicht nur die Karten, von denen Sie wissen, dass sie an den IT-Manager ausgegeben wurden).

Wenn Sie mehrere eingehende Telefonleitungen haben, überprüfen Sie ALLE, um sicherzustellen, dass keine unbekannten Geräte an sie angeschlossen sind.


5
2018-06-22 12:17





Überprüfen Sie die Firewall-Richtlinien
Ändern Sie das Administratorkennwort und suchen Sie nach Konten, die nicht mehr verwendet werden.
Entzieh deine Zertifikate
Sichern Sie seine Workstation und formatieren Sie sie.
Verwenden Sie Prüfsummenkontrollen für die wichtigen Dateien auf Ihren Servern und legen Sie für eine Weile ein IDS auf einen Span-Port in Ihrem Rack.

Nur meine 2cts.


3
2018-06-22 09:36