Schritte, die zu unternehmen sind, wenn das technische Personal abreist

20

Wie gehen Sie beim Abflug vor, wenn privilegiertes oder technisches Personal ausscheidet oder entlassen wird? Haben Sie eine Checkliste, um den fortlaufenden Betrieb / die Sicherheit der Unternehmensinfrastruktur zu gewährleisten?

Ich versuche, eine schöne kanonische Liste mit Dingen zu erstellen, die meine Kollegen tun sollten, wenn ich gehe (ich bin vor einer Woche zurückgetreten, also habe ich einen Monat Zeit, um aufzuräumen und GTFO).

Bisher habe ich:

  1. Begleite sie von den Räumlichkeiten
  2. Löschen Sie ihren E-Mail-Posteingang (stellen Sie alle E-Mails so ein, dass sie an einen Catch-All weitergeleitet werden)
  3. Löschen Sie ihre SSH-Schlüssel auf den Servern

  4. Löschen Sie ihre MySQL-Benutzerkonten

    ...

Was kommt als nächstes. Was habe ich vergessen zu erwähnen oder könnte ähnlich nützlich sein?

(Endnote: Warum ist dies ein Off-Topic? Ich bin ein Systemadministrator, und dies betrifft die kontinuierliche Unternehmenssicherheit. Dies ist definitiv ein Thema.)

security physical-security Tom O'Connor
quelle
relevant (nicht unbedingt ein Betrüger) serverfault.com/questions/171893/…
tombull89
4
Achten Sie auf die Weiterleitung von E-Mails. Es gibt mehrere Länder, in denen dies nicht erlaubt ist. In Norwegen dürfen wir nicht einmal automatische Antworten herausgeben, die besagen, dass der Mitarbeiter hier nicht mehr arbeitet. Wir müssen den Account komplett löschen. Der Standard-NDR (nicht existierender Benutzer) ist das einzige, was erlaubt ist.
Pause
1
Ist es üblich, dass Menschen außerhalb des Betriebsgeländes exportiert werden? Ich würde mir vorstellen, dass das nur nötig wäre, wenn Leute gefeuert werden.
Vetle
3
Sind Sie sicher, dass Sie den E-Mail-Posteingang löschen möchten? Wenn ein Mitarbeiter von einem Job, bei dem ich gearbeitet habe, sofort entlassen wurde, konnte ich durch das Durchsuchen seines Posteingangs schnell herausfinden, welche Entscheidungen für Projekte getroffen wurden, die ich plötzlich leitete. Ich denke (abhängig von der Legalität), dass Sie # 2 überdenken möchten.
Brian Stinar
2
@ Tim: digi.no/803038/reglene-for-epost-duger-ikke
pauska

Antworten:

7

Ich würde vorschlagen, eine Checkliste der Dinge zu erstellen, die Sie tun, wenn ein neuer Sysadmin dem Unternehmen beitritt (Systeme, zu denen Sie sie hinzufügen müssen, Gruppen, in die sein Konto muss usw.) und sowohl technische als auch physische Dinge zu enthalten - z. B. physische Schlüssel und Alarm Codes sind genauso wichtig wie SSH-Schlüssel und Passwörter.

Stellen Sie sicher, dass Sie diese Liste auf dem neuesten Stand halten - ich weiß, das ist leichter gesagt als getan. Aber es macht es einfacher, neue Teammitglieder sowohl in das Unternehmen als auch wieder herauszuarbeiten. Sie können dies jetzt noch tun und erhalten zumindest einen Teil des Nutzens, wenn Sie es verwenden, um der Person zu helfen, die abreist. Der Grund, warum ich eine Checkliste erwähne, ist, dass wir alle dazu neigen, in unseren eigenen Bereichen des Wohlbefindens zu denken und je nachdem, wer den Leaver bearbeitet, andere Dinge möglicherweise übersehen werden. Zum Beispiel: Ein "Gebäudesicherheitsmanager" oder ein "Büromanager" wird mehr über Türschlüssel nachdenken als über SSH-Schlüssel, und eine IT-Person wird genau das Gegenteil sein und am Ende ihren Zugriff auf das System widerrufen, ohne dass sie dazu in der Lage ist Nachts in das Gebäude gehen.

Dann gehen Sie einfach ihre Checkliste durch, wenn sie gehen, und verwenden Sie sie als Checkliste für Dinge, die rückgängig gemacht oder zurückgegeben werden sollen. Ihr gesamtes IT-Team sollte davon begeistert sein, wenn es professionell ist, da ein vereinbarter Prozess diese Mitarbeiter vor unberechtigten Vorwürfen eines ehemaligen Arbeitgebers ebenso schützt wie den Arbeitgeber vor ihnen.

Vergessen Sie nicht den Zugriff auf entfernte Rechenzentren oder den physischen Zugriff auf ein Backup-Daten-Repository eines Drittanbieters.

RobM
quelle
6

Ich bin überrascht, dass das noch niemand erwähnt hat, aber ...

Wenn Ihr WiFi-Netzwerk WPA oder (ich hoffe nicht) WEP verwendet, anstatt auf den Radius-Server zu tippen, können Sie diesen Schlüssel ändern.

Es ist eine riesige Tür, die offen bleibt. Wenn Sie der Netzwerkadministrator sind, besteht eine gute Chance, dass Sie diesen Schlüssel auswendig können .

Alex
quelle
1
Dies wird normalerweise dadurch gelöst, dass es sich bei AD oder einem anderen Verzeichnisdienst authentifiziert. Sobald das Konto gelöscht ist, können Sie nicht mehr einsteigen.
Split71
@ Split71: Der jetzt verstorbene Administrator kann möglicherweise nicht direkt auf die Server zugreifen. Wenn er sich jedoch im lokalen, vertrauenswürdigen Netzwerk befindet, hat er Zugriff auf den weichen, matschigen Unterbauch Ihrer gesamten Infrastruktur.
womble
5

Andere Dinge, die mir einfallen:

  • Physische Sicherheit - Schlüssel / Zugriffstags / VPN-Tags / Laptops entfernen
  • Nehmen Sie Telefone / Brombeeren mit
  • Entfernen / Deaktivieren Sie alle Konten, die sich auf externen Diensten / Websites befinden
  • Sperren Sie ihr Benutzerkonto
  • Ändern Sie alle freigegebenen Kennwörter, die sie kennen (ich schätze, Sie sollten keine freigegebenen Kennwörter haben)
  • Deaktivieren Sie das VPN-Konto
  • Stellen Sie sicher, dass alle Bugs / Tickets / Probleme usw. in den Tracking-Systemen neu zugewiesen wurden
jamespo
quelle
4
  • Nehmen Sie sie aus dem Nagios / Paging-System
  • Entfernen Sie ihre Sudo (nur für den Fall)
  • Teilen Sie dem / den Rechenzentrum (en) mit
  • Deaktivieren / sperren Sie alle VPN-Systeme im Büronetzwerk
  • Deaktivieren Sie alle Webanwendungen / Apache Confs / Firewalls, deren IP-Adressen fest codiert sind
Rory
quelle
2

Wenn ein Sysadmin das Unternehmen verlässt, ändern wir alle Passwörter für Benutzer (anstelle der monatlichen Passwortänderung). Wir haben ldap und Radius, also ist es nicht sehr schwierig. Dann betrachten wir Systeme, an denen er gearbeitet hat, sowie Dateien, die von ihm erstellt / geändert wurden. Wenn sich auf seiner Workstation wichtige Daten befinden, bereinigen oder archivieren wir diese.

Wir haben Zugriffsprüfung für alle Dienste, die Benutzer haben. Wenn der Dienst von einem unbekannten Benutzer verwendet wird, wird er von uns gesperrt, zumindest bis die Identifizierung erfolgt ist.

Andere Systeme werden in einer Woche gereinigt. Die meisten dienen Entwicklungszwecken und haben keine wertvollen Informationen. Sie werden regelmäßig durch Neuinstallation gereinigt.

MealstroM
quelle
1

Viele gute Ideen in diesem Thread ... Ein paar andere Dinge zu beachten:

Ich bin damit einverstanden, Kennwörter zu ändern oder termingerechte Benutzerkonten zu deaktivieren, anstatt sie zu löschen (zumindest zu Beginn). Es kann jedoch eine gute Idee sein, zu überprüfen, ob das Benutzerkonto zum Ausführen von Diensten / geplanten Aufgaben verwendet wird, bevor Maßnahmen ergriffen werden. Dies ist in einer Windows / AD-Umgebung wahrscheinlich wichtiger als in einer U-Umgebung

Einige der folgenden Punkte können schwierig sein, wenn der Mitarbeiter schnell oder unter nicht idealen Umständen abreist. aber diese können wichtig sein (besonders um 2 Uhr morgens, wenn gerade etwas passiert ist)

Wissenstransfer - Während wir alle unsere Dokumentationen auf dem neuesten Stand halten (ähm, mischt die Füße), kann es eine gute Sache sein, die Zeit mit dem Kurztimer zu planen und ein paar Fragen und Antworten mit einem anderen Administrator zu besprechen. Wenn Sie viel benutzerdefiniertes S / W ausführen oder eine komplexe Umgebung haben, kann es sehr hilfreich sein, Fragen zu stellen und Einzelgespräche zu führen.

Dazu gehören auch Passwörter. Hoffentlich verwendet jeder eine Art von verschlüsseltem Konto- / Kennwortspeicher (KeePass / PassSafe usw.). Wenn dies der Fall ist, sollte dies ziemlich einfach sein - besorgen Sie sich eine Kopie ihrer Datei und den Schlüssel dazu. Wenn nicht, ist es Zeit für eine Gehirnerschütterung.

Cybersylum
quelle
1

Beginnen Sie, indem Sie alle "Umkreis" -Kennwörter für Ihr Netzwerk ändern. Alle Konten, die er verwenden kann, um von zu Hause (oder vom Parkplatz mit WiFi) in Ihr Netzwerk zu gelangen, sollten sofort geändert werden.

  • Fernverwaltungskennwörter für Router und Firewalls?
  • VPN-Konten? Was ist mit den Administratorkonten im VPN?
  • WiFi-Verschlüsselung?
  • Browserbasierte E-Mail (OWA)?

Sobald diese abgedeckt sind, arbeiten Sie sich nach innen.

Myron-Semack
quelle
1

Andere Dinge, die überprüft werden müssen, um Ordnung zu schaffen:

  • Wenn sie eine statische IP-Adresse hatten, markieren Sie diese als verfügbar
  • Entfernen / Bereinigen Sie nach Möglichkeit alle benutzerdefinierten DNS-Einträge
  • aus einem beliebigen Mitarbeiterverzeichnis entfernen
  • Telefone
  • Entfernen Sie die E-Mail-Adresse aus allen automatisierten Berichten, die von einem Server oder einem Dienst gesendet werden
  • Wenn Sie Hardware- / Softwareinventar führen, markieren Sie Hardware- und Softwarelizenzen als verfügbar (dies hängt wirklich davon ab, wie Sie diese Dinge verwalten).
Safado
quelle
1

Stellen Sie sicher, dass alle Kennwortänderungen zwischen "Vom Netzwerk isoliert" (möglicherweise ein Exit-Interview in einem Konferenzraum, nachdem der Laptop zur Arbeit zurückgegeben wurde) und "Überlassen Sie es den eigenen Geräten" erfolgen. Dies verringert drastisch die Wahrscheinlichkeit, dass der Leaver die neuen Anmeldeinformationen ausspioniert (aber mit Smartphones und Ähnlichem ist es immer noch nicht null).

Vatine
quelle
0

Die obigen Antworten sind alle sehr gut. Als praktizierender Fachmann im InfoSec-Beruf (IT-Auditor) sollten Sie noch einige weitere Punkte beachten:

  1. Entfernen Sie privilegierte Administratorrechte wie den Domänenadministrator, wenn Sie Active Directory verwenden

  2. Entfernen Sie möglicherweise vorhandene privilegierte Datenbankrollen (z. B .: db_owner).

  3. Informieren Sie externe Clients, auf die der terminierte Benutzer möglicherweise Zugriff hatte, damit die Zugriffsberechtigungen widerrufen werden können.

  4. Entfernen Sie lokale Computerkonten, sofern diese zusätzlich zum Domänenzugriff vorhanden waren

Anthony
quelle