Действия, которые необходимо предпринять, когда технический персонал уходит

Как вы справляетесь с процессом отъезда, когда привилегированный или технический персонал уходит в отставку / увольняется? У вас есть контрольный список действий, которые необходимо предпринять для обеспечения непрерывной работы / безопасности инфраструктуры компании?

Я пытаюсь придумать хороший канонический список вещей, которые мои коллеги должны делать, когда я ухожу (я ушел в отставку неделю назад, так что у меня есть месяц, чтобы привести в порядок и GTFO).

Пока что у меня есть:

1. Проводите их из помещения
2. Удалить свою электронную почту Входящие (установите всю почту для переадресации на всеобщее обозрение)
3. Удалите их ключи SSH на сервере (ах)

4. Удалить их учетные записи пользователя MySQL

   ...

Ну и что дальше. Что я забыл упомянуть, или может быть таким же полезным?

(примечание: почему это не по теме? Я системный администратор, и это касается обеспечения безопасности бизнеса, это определенно не по теме).

Я бы предложил создать контрольный список того, что вы делаете, когда новый системный администратор присоединяется к компании (системы, в которые вам нужно добавить их, группы, в которые должен входить их аккаунт и т. Д.), И включает в себя как технические, так и физические вещи - например, физические ключи и сигнализацию коды так же важны, как ключи и пароли SSH.

Убедитесь, что вы держите этот список в актуальном состоянии - легче сказать, чем сделать, я знаю. Но это облегчает как обработку новых членов команды в компании, так и повторную обработку их. Вы все еще можете сделать это сейчас и получить хоть какую-то выгоду от его использования, чтобы помочь с уходящим человеком. Причина, по которой я упоминаю контрольный список, состоит в том, что мы все склонны думать в своих собственных сферах комфорта, и иначе могут быть упущены разные вещи, в зависимости от того, кто обрабатывает выпускника. Например: «менеджер по безопасности здания» или «офис-менеджер» будут больше думать о дверных ключах, чем о ключах SSH, и ИТ-специалист будет прямо противоположным и в конечном итоге отзовет свой доступ к системе, предоставив им возможность войти в здание ночью.

Затем просто просмотрите их контрольный список, когда они уходят, используйте его как контрольный список вещей, которые можно отменить / вернуть. Вся ваша ИТ-команда должна с энтузиазмом относиться к этому, если они профессиональны, поскольку наличие согласованного процесса, подобного этому, защищает их от необоснованной вины со стороны бывшего работодателя так же, как и от работодателя.

Не забывайте такие вещи, как доступ к удаленным центрам обработки данных или физический доступ к стороннему хранилищу данных резервного копирования.

Я удивлен, что никто не упомянул об этом раньше, но ...

Если ваша WiFi-сеть использует WPA или (я надеюсь, что нет) WEP, а не подключается к серверу Radius, вы можете рассмотреть возможность изменения этого ключа.

Это огромная дверь, оставленная открытой, если вы администратор сети, есть очень хороший шанс, что вы знаете этот ключ наизусть ... представьте, как легко было бы вернуться в сеть со стоянки или что-то в этом роде ,

Другие вещи, которые приходят на ум:

• Физическая безопасность - заберите ключи / метки доступа / метки vpn / ноутбуки
• Забери телефоны / ежевику
• Удалить / отключить любые учетные записи, которые они имеют на внешних сервисах / сайтах
• Заблокировать их учетную запись пользователя
• Измените любые общие пароли, которые они могут знать (я ценю, что у вас не должно быть общих паролей)
• Отключить учетную запись VPN
• Убедитесь, что все ошибки / тикеты / проблемы и т. Д. В любых системах отслеживания переназначены

• Сними их с системы nagios / пейджинга
• Удалить их sudo (на всякий случай)
• Сообщите датацентру (ам)
• Отключить / отозвать любую систему VPN в офисной сети
• Отключите любые веб-приложения / apache confs / firewall, в которых жестко прописаны их IP-адреса

Если какой-то системный администратор покидает компанию, мы меняем все пароли для пользователей (вместо ежемесячной смены пароля). У нас есть ldap и радиус, так что это не очень сложно. Затем мы рассмотрим системы, над которыми он работал, а также файлы, которые были созданы / изменены им. Если на его рабочей станции есть важные данные, мы их очищаем или архивируем.

У нас есть аудит доступа ко всем сервисам, которые есть у пользователей. Если есть какой-то неизвестный пользователь, использующий сервис, мы блокируем его, по крайней мере, до тех пор, пока идентификация не будет пройдена.

Другие системы будут очищены через неделю; большинство из них для целей разработки и не имеют ценной информации, и они регулярно очищаются путем переустановки.

Много хороших идей в этой теме ... Несколько других вещей для рассмотрения:

Я согласен с изменением паролей или отключением учетных записей пользователей по сравнению с их удалением (по крайней мере, на начальном этапе), однако может быть хорошей идеей проверить и проверить, используется ли учетная запись пользователя для запуска служб / запланированных задач, прежде чем предпринимать действия. Это, вероятно, более важно в среде Windows / AD, чем U

Некоторые из следующих пунктов могут быть трудны для выполнения, если работник уходит быстро или при не совсем идеальных обстоятельствах; но это может быть важно (особенно в те 2 часа ночи, когда только что произошли моменты)

Передача знаний. Несмотря на то, что мы все постоянно обновляем всю нашу документацию (хм, тасует ноги), было бы неплохо запланировать время с помощью короткого таймера и выполнить некоторые вопросы и ответы с другим администратором. Если у вас много пользовательских программ или сложная среда, может быть очень полезно задать вопросы и пообщаться один на один.

Наряду с этим идет пароли. Надеемся, что каждый использует какой-то тип зашифрованного хранилища учетных записей / паролей (KeePass / PassSafe и т. Д.). Если это так, это должно быть довольно просто - получите копию своего файла и ключ к нему. Если нет, то пришло время для умопомрачения.

Начните с изменения всех паролей «периметра» для вашей сети. Любые аккаунты, которые он может использовать для входа в вашу сеть из дома (или со стоянки с WiFi), должны быть немедленно изменены.

• Пароли удаленного администрирования для роутеров и брандмауэров?
• VPN аккаунты? А как насчет учетных записей администратора в VPN?
• WiFi шифрование?
• Электронная почта на основе браузера (OWA)?

Как только они пройдут, проложите себе путь внутрь.

Другие вещи, чтобы проверить, чтобы просто привести в порядок вещи:

• если у них был статический IP-адрес, пометьте как доступный
• удалить / очистить любые пользовательские записи DNS, если это возможно
• удалить из любого каталога сотрудников
• телефоны
• удалить адрес электронной почты из любого вида автоматического отчета, отправляемого сервером или службой
• если вы ведете инвентаризацию оборудования / программного обеспечения, отметьте лицензии на оборудование и программное обеспечение как доступные (это действительно зависит от того, как вы управляете этими вещами).

Постарайтесь убедиться, что все изменения пароля происходят между «выходящим из сети» (может быть, собеседованием в конференц-зале после возвращения рабочего ноутбука) и «оставлен для собственных устройств». Это значительно уменьшает вероятность того, что выпускник будет отслеживать новые учетные данные (но со смартфонами и т. П. Он все еще не равен нулю).

Приведенные выше ответы очень хорошие. Как практикующий профессионал в профессии InfoSec (ИТ-аудитор), некоторые другие моменты для вас, чтобы рассмотреть:

1. Удалите привилегированные административные права, такие как администратор домена, если вы используете Active Directory

2. Удалите привилегированные роли базы данных, которые у них могли быть (например: db_owner)

3. Сообщите внешним клиентам, что завершенный пользователь мог иметь доступ, чтобы можно было отозвать права доступа.

4. Удалите учетные записи локальных компьютеров, если они были, кроме доступа к домену