ИТ-менеджер может уйти, и возможно, что расставание не будет полностью вежливым. Я бы не ожидал злого умысла, но на всякий случай, что мне проверить, изменить или заблокировать?
Примеры:
Очевидно, что необходимо заняться физической безопасностью, но после этого ...
Предполагая, что у вас нет задокументированной процедуры ухода сотрудников (общая среда, поскольку вы не указываете, какие платформы вы используете):
Когда вы все это делаете, задокументируйте это, так что у вас есть процедура для будущих прекращений.
Кроме того, если вы пользуетесь услугами по размещению, убедитесь, что его имя удалено из списка доступа и списка отправки билетов. Было бы разумно сделать то же самое для любых других поставщиков, где он был основным лицом, обслуживающим его, чтобы он не мог отменять или вмешиваться в услуги, которые вы получаете от этих поставщиков, а также чтобы поставщики знали, к кому обращаться для продления. проблемы и т. д., которые могут избавить вас от головной боли, когда что-то не задокументировал ИТ-менеджер.
Я уверен, что я пропустил еще кое-что, но это не в моей голове.
Не забывайте о физической безопасности - убедитесь, что он не может попасть в какое-либо здание - это здорово, что у вас есть весь сетевой комплект, но если он сможет добраться до центра обработки данных, это бессмысленно.
Мы подозревали, что недовольный сотрудник, который все еще находился в периоде уведомления, возможно, установил некоторые программы удаленного доступа, поэтому мы ограничили его учетную запись для входа только в рабочее время, чтобы он не мог удаленно работать в нерабочее время, когда вокруг никого не было. вещи (в рабочее время мы могли ясно видеть его экран, поэтому, если бы он пошалил, мы бы знали).
Как оказалось, он установил LogMeIn и действительно пытался получить доступ в нерабочее время.
(это была сеть небольшой компании, без списков контроля доступа или необычных межсетевых экранов)
Также будьте осторожны, чтобы не блокировать слишком много. Я помню ситуацию, когда кто-то ушел, и через день стало очевидно, что какое-то критически важное для бизнеса программное обеспечение действительно работает под его личной учетной записью.
Также убедитесь, прежде чем отпустить этого человека, понять, что все может и будет идти плохо или будет проблематично, пока вы не замените этого человека. Я надеюсь, что вы не будете винить их во всем, что происходит, только потому, что вы предполагаете / знаете, что это не будет хорошим разделением, или думаете, что они каким-то образом взламывают вас, потому что унитаз переполнен.
Надеюсь, этот сценарий покажется вам абсурдным. Но это правдивая история из моей последней работы, что теперь владелец пытается подать на меня в суд за саботаж (в основном потому, что я уволился, а они не готовы платить кому-либо по рыночной ставке, чтобы заменить меня) и киберпреступления, такие как взлом и Интернет-рэкет.
Суть в том, оцените «почему» по причине их увольнения. Если это не экономические нужды, я предлагаю вам усовершенствовать процедуры приема на работу, чтобы вы могли нанять более профессионального человека, который по профессии должен быть надежным и заслуживающим доверия с критически важной и, как правило, конфиденциальной информацией для бизнеса, и который может правильно установить процедуры безопасности, которым должен следовать каждый.
Один из способов узнать во время собеседования - это то, насколько хорошо они взамен собеседуют вас и ваш бизнес. Ответственность (как и в том, что компания считает, что ИТ-менеджер может быть обвинен в том, что если что-то пойдет не так - обычно это оговорено в контракте), и общая сетевая безопасность - это одна из трех главных вещей, о которых думает любой надлежащий ИТ-менеджер / технический директор. на собеседование для приема на работу.
Просто добавьте - также убедитесь, что у вас есть аудит неудачных и успешные входы в систему - множество неудач для учетной записи с последующим успехом может быть равно взлому. Вы также можете заставить всех остальных изменить свои пароли, если ИТ-менеджер участвовал в настройке паролей. Не забывайте также пароли к базе данных, и вы можете очистить его / ее учетную запись электронной почты для получения безопасной информации. Я бы также проверил доступ к любой конфиденциальной информации / базам данных и запретил ему / ей выполнять резервное копирование системы / базы данных.
Надеюсь это поможет.
Измените все пароли администратора (серверы, маршрутизаторы, коммутаторы, удаленный доступ, брандмауэры). Удалите все правила брандмауэра для удаленного доступа для ИТ-менеджера. Если вы используете токены безопасности, отключите токен (ы) ИТ-менеджера от любого доступа. Удалите доступ TACACS (если вы его используете).
Обязательно выполняйте эти изменения вместе с ИТ-менеджером в конференц-зале или под физическим контролем, чтобы он не мог наблюдать за процессом. Хотя чтение пароля при его вводе на клавиатуре нетривиально (не сложно, просто нетривиально), если это нужно повторить, существует более высокий риск подбора пароля.
По возможности поменяйте замки. Если ключи можно реплицировать (короче говоря, они могут), это помешает ИТ-менеджеру получить физический доступ впоследствии. Отключите любую карту доступа, которую вы не можете использовать (не только карту (карты), которые, как вы знаете, были выданы ИТ-менеджеру).
Если у вас несколько входящих телефонных линий, отметьте ВСЕ они, чтобы убедиться, что к ним не подключены неизвестные устройства.
Не забудьте удалить любые учетные записи в экстранете, которые он может иметь от имени вашей компании. Их часто не замечают, и они часто становятся причиной многих вскрытий горя.
Возможно (по треку «Я ультра-параноик») также захочется уведомить ваших торговых представителей разных поставщиков, с которыми вы работаете, на случай, если он попытается связаться с кем-то там.
Это зависит от того, насколько вы параноик. Некоторые люди идут до такой степени - если это достаточно плохо - до замены всех ключей и замков. Еще одна причина быть милой сисадминам;)
Все вышеупомянутые советы хороши - еще один, возможно, даже заставит всех пользователей изменить свои пароли (и, если Windows) применить сложную политику паролей.
Также - если вы когда-либо оказывали удаленную поддержку или настраивали удаленный офис / клиент (например, другой сайт) - попросите их также изменить свои пароли.
Проверьте политики брандмауэра
Измените пароль администратора и проверьте учетные записи, которые больше не используются.
Отозвать его / ее сертификаты
Сделайте резервную копию его / ее рабочей станции и отформатируйте ее.
Используйте контрольные суммы для важных файлов на своих серверах и на время подключите IDS к порту span в вашей стойке.
Просто мой 2цт.
Также проверьте наличие дополнительных учетных записей. Он легко сможет добавить новую учетную запись, если узнает, что уходит. Или даже вскоре после его приезда.
На предыдущей работе в небольшой компании уволенный системный администратор знал пароли многих других сотрудников. Утром, когда его отпустили, мы установили свойство «пользователь должен сменить пароль» для любой учетной записи Active Directory, имеющей удаленный доступ.
Это может быть осуществимо не везде, но может быть разумным в зависимости от ситуации.
Двумя ключевыми вещами, которыми нужно управлять немедленно, являются:
Физический доступ - если у вас есть электронная система, отзовите его карту. Если все ваши замки являются физическими, либо убедитесь, что все ключи, выданные ему, возвращены, либо, если вы действительно беспокоитесь о вреде, замените замки на критические области.
Удаленный доступ - убедитесь, что VPN / Citrix / другая учетная запись удаленного доступа этого администратора отключена. Надеюсь, вы не разрешаете удаленный вход с использованием общих учетных записей; если да, измените пароли на всех из них. Также не забудьте отключить его учетную запись AD / NIS / LDAP.
Однако это лишь покрывает очевидное; всегда есть вероятность, например, что он установил пару модемов в серверных комнатах с консольными кабелями к ключевым сетевым устройствам / серверам. После того, как вы выполнили первоначальную блокировку, вы, вероятно, захотите, чтобы его замена провела полную очистку инфраструктуры, чтобы: A) убедиться, что документация обновлена, и B) выделить все, что выглядит странно.
Моя компания не так давно уволила разработчика, и была похожая ситуация. Он много знал об этой системе, и крайне важно было убедиться, что его отключат, как только ему сообщат о своем увольнении. Помимо приведенных выше советов, я также использовал Spectre Pro для наблюдения за всей его работой за 2 недели до его ухода: сетевая активность (IO), окна чатов, электронные письма, скриншоты каждые 2 минуты и т. Д. Это, вероятно, было излишним, и я никогда даже посмотрел на любой из них, потому что он ушел в хороших отношениях. Хотя это была хорошая страховка.
Если бы он контролировал веб-хостинг вашей компании,
Слабые стороны в этой области могут повлиять на то, как устроен ваш хостинг,
Сообщите всем сотрудникам, что этот сотрудник уходит, чтобы они считались уязвимыми для попыток взлома через социальные сети.
Он уже знает, как работает система и что там. Так что ему не понадобится слишком много информации, чтобы вернуться, если он захочет.
Если бы я ушел сегодня при неблагоприятных обстоятельствах, я считаю, что смогу позвонить персоналу, что мне все равно приходится делать время от времени, и узнать достаточно информации, чтобы вернуться в систему.
Возможно, я дал бы существующему пользователю домена права администратора (перед уходом). Я могу позвонить этому пользователю и попросить его / ее сообщить мне свой пароль.
Я бы порекомендовал следующие процедуры:
Это должно охватывать большинство возможных вариантов доступа. Просмотрите всю информацию, имеющую отношение к безопасности, в следующие недели, чтобы убедиться, что ни один из вариантов не остался «открытым».
Единственный способ быть полностью безопасным в случае с серверами - это точно так же, как вы убедитесь, что взломанный ящик чист: переустановите. Благодаря кукольный (или какой-либо другой системы управления конфигурацией) переустановка серверов и перевод их в определенное состояние может быть довольно быстрой и автоматизированной.