Como você lida com o processo de saída quando funcionários privilegiados ou técnicos renunciam / são demitidos? Você tem uma lista de verificação para garantir a operação / segurança contínua da infraestrutura da empresa?
Estou tentando criar uma boa lista canônica de coisas que meus colegas devem fazer quando sair (me demiti há uma semana, então tenho um mês para arrumar o GTFO).
Até agora eu tenho:
- Acompanhe-os para fora das instalações
- Excluir a caixa de entrada do email (defina todos os emails para encaminhar para um catch-all)
- Exclua suas chaves SSH no (s) servidor (es)
Exclua suas contas de usuário mysql
...
Então o que vem depois. O que eu esqueci de mencionar ou pode ser igualmente útil?
(nota de rodapé: por que isso é fora de tópico? Eu sou um administrador de sistemas e isso diz respeito à segurança contínua dos negócios, isso é definitivamente tópico).
security
physical-security
Tom O'Connor
fonte
fonte
Respostas:
Eu sugiro que você crie uma lista de verificação das coisas que você faz quando um novo administrador de sistemas ingressa na empresa (sistemas aos quais você precisa adicioná-las, grupos em que suas contas precisam entrar etc.) e inclui coisas técnicas e físicas - por exemplo, chaves físicas e alarmes códigos são tão importantes quanto chaves e senhas SSH.
Garanta que você mantenha essa lista atualizada - é mais fácil falar do que fazer, eu sei. Mas torna mais fácil processar novos membros da equipe na empresa e processá-los novamente. Você ainda pode fazer isso agora e obter pelo menos alguns dos benefícios de usá-lo para ajudar a pessoa que está saindo. A razão de eu mencionar uma lista de verificação é porque todos nós tendemos a pensar em nossas próprias esferas de conforto e coisas diferentes podem ser perdidas de outra forma, dependendo de quem está processando a partida. Por exemplo: um "gerente de segurança predial" ou um "gerente de escritório" estará pensando mais em chaves de porta do que chaves SSH e uma pessoa de TI será exatamente o oposto e acabará revogando seu acesso ao sistema, deixando-os capazes de entrar no prédio à noite.
Depois, basta acessar a lista de verificação quando sair, use-a como uma lista de itens para desfazer / retornar. Toda a sua equipe de TI deve estar entusiasmada com isso, se eles são profissionais, pois um processo acordado como esse os protege da culpa injustificada de um ex-empregador, tanto quanto protege o empregador deles.
Não se esqueça de coisas como acesso a datacenters remotos ou acesso físico a um repositório de dados de backup de terceiros.
fonte
Estou surpreso que ninguém tenha mencionado isso antes, mas ...
Se sua rede Wi-Fi usa WPA ou (espero que não) WEP, em vez de tocar no servidor Radius, convém alterar essa chave.
É uma porta enorme deixada aberta, se você é o administrador da rede, há uma boa chance de você conhecer essa chave de cor ... imagine como seria fácil voltar à rede a partir do estacionamento ou algo dessa natureza .
fonte
Outras coisas que vêm à mente:
fonte
fonte
Se algum administrador de sistemas deixar a empresa, alteraremos todas as senhas dos usuários (em vez da alteração mensal da senha). Temos LDAP e raio, por isso não é muito difícil. Depois, analisamos os sistemas nos quais ele estava trabalhando, bem como os arquivos criados por / modificados por ele. Se houver dados importantes em sua estação de trabalho, nós os limpamos ou arquivamos.
Temos auditoria de acesso para todos os serviços que possuem usuários. Se houver algum usuário desconhecido usando o serviço, nós o bloquearemos, pelo menos até que a identificação seja aprovada.
Outros sistemas serão limpos em uma semana; a maioria é para fins de desenvolvimento, não possui informações valiosas e é regularmente limpa por reinstalação.
fonte
Muitas boas idéias neste segmento ... Algumas outras coisas a considerar:
Concordo em alterar as senhas ou desativar as contas de usuário com termo versus excluí-las (pelo menos inicialmente); no entanto, pode ser uma boa ideia verificar se a conta do usuário está sendo usada para executar serviços / tarefas agendadas antes de tomar uma ação. Provavelmente isso é mais importante em um ambiente Windows / AD do que em um U
Alguns dos itens a seguir podem ser difíceis de fazer se o funcionário sair rapidamente ou sob circunstâncias abaixo do ideal; mas isso pode ser importante (principalmente naquelas 2 da manhã, quando aconteceu momentos)
Transferência de conhecimento - Enquanto todos mantemos toda a documentação atualizada (ahem, embaralha os pés), pode ser uma boa ideia agendar um horário com o temporizador curto e fazer algumas perguntas e respostas ou orientações com outro administrador. Se você tem várias opções personalizadas de execução, ou um ambiente complexo, pode ser realmente útil fazer perguntas e obter um tempo individual.
Junto com isso vai Senhas. Espero que todos estejam usando algum tipo de armazenamento de conta / senha criptografada (KeePass / PassSafe, etc). Se for esse o caso, isso deve ser bem fácil - obtenha uma cópia do arquivo e a chave dele. Caso contrário, é hora de despejar o cérebro.
fonte
Comece alterando todas as senhas de "perímetro" da sua rede. Quaisquer contas que ele possa usar para acessar sua rede em casa (ou no estacionamento com Wi-Fi) devem ser alteradas imediatamente.
Uma vez cobertos, trabalhe para dentro.
fonte
Outras coisas para verificar apenas para arrumar as coisas:
fonte
Tente garantir que todas as alterações de senha ocorram entre 'leaver isolado da rede' (talvez uma entrevista de saída em uma sala de conferências, após o retorno do laptop de trabalho) e 'leaver seja deixado para possuir dispositivos'. Isso diminui drasticamente a chance de o leaver espionar as novas credenciais (mas com smartphones e similares, ainda é nulo).
fonte
As respostas acima são todas muito boas. Como profissional praticante da profissão da InfoSec (IT Auditor), alguns outros pontos para você considerar:
Remova direitos administrativos privilegiados, como administrador de domínio, se você usar o Active Directory
Remova as funções de banco de dados privilegiadas que elas possam ter (ex: db_owner)
Informe aos clientes externos que o usuário finalizado pode ter acesso, para que os privilégios de acesso possam ser revogados.
Remova as contas da máquina local, se houver, além do acesso ao domínio
fonte