Etapas a serem tomadas quando a equipe técnica sair

17

Como você lida com o processo de saída quando funcionários privilegiados ou técnicos renunciam / são demitidos? Você tem uma lista de coisas a fazer para garantir a continuidade da operação / segurança da infraestrutura da empresa?

Estou tentando criar uma boa lista canônica de coisas que meus colegas devem fazer quando eu sair (me demiti há uma semana, então tenho um mês para arrumar e GTFO).

Até agora eu tenho:

  1. acompanhe-os fora das instalações
  2. Excluir sua Caixa de entrada de e-mail (definir todas as mensagens para encaminhar para um resumo)
  3. Excluir suas chaves SSH no (s) servidor (es)
  4. Exclua suas contas de usuário mysql

    ...

Então, o que vem a seguir? O que eu esqueci de mencionar, ou poderia ser igualmente útil?

(nota final: Por que isso é fora do tópico? Eu sou um administrador de sistemas, e isso diz respeito à segurança contínua dos negócios, isso é definitivamente no tópico.)

    
por Tom O'Connor 30.06.2011 / 13:03

10 respostas

7
Sugiro criar uma lista de coisas que você faz quando um novo administrador de sistemas se junta à empresa (sistemas que você precisa adicioná-los, grupos em que sua conta precisa entrar etc.) e inclui coisas técnicas e físicas - por exemplo, chaves físicas e códigos de alarme são tão importantes quanto chaves SSH e senhas.

Certifique-se de manter esta lista atualizada - mais fácil dizer do que fazer, eu sei. Mas torna mais fácil processar novos membros da equipe na empresa e processá-los novamente. Você ainda pode fazer isso agora e obter pelo menos alguns dos benefícios de usá-lo para ajudar a pessoa que está saindo. A razão pela qual eu menciono uma lista de verificação é porque todos nós tendemos a pensar em nossas próprias esferas de conforto e coisas diferentes podem ser perdidas de outra forma, dependendo de quem está processando o método. Por exemplo: um "gerente de segurança do prédio" ou um "gerente do escritório" vai pensar mais sobre chaves de porta do que chaves SSH e uma pessoa de TI será exatamente o oposto e acabará revogando o acesso ao sistema, deixando-os entrar no prédio à noite.

Depois, basta passar pela lista de verificação quando eles saírem, usá-la como uma lista de verificação de coisas para desfazer / receber retorno. Toda a sua equipe de TI deve ficar entusiasmada com isso se for profissional, pois ter um processo acordado como esse protege-o da culpa injustificada de um ex-empregador, da mesma forma que protege o empregador deles.

Não se esqueça de coisas como o acesso a datacenters remotos ou o acesso físico a um repositório de dados de backup de terceiros.

    
por 30.06.2011 / 13:46
6

Estou surpreso que ninguém tenha mencionado isso antes, mas ...

Se a sua rede Wi-Fi usa WPA ou (espero que não) WEP, em vez de tocar no servidor Radius, convém considerar a alteração dessa chave.

É uma enorme porta deixada aberta, se você é o administrador da rede, há uma boa chance de você saber que chave de coração ... imagine como seria fácil voltar para a rede do estacionamento ou algo assim dessa natureza.

    
por 30.06.2011 / 14:29
5

Outras coisas que vêm à mente:

  • Segurança física - remover chaves / tags de acesso / tags / laptops vpn
  • Tirar telefones / amoras
  • Remover / desativar as contas que eles têm em serviços / sites externos
  • Bloquear sua conta de usuário
  • Altere todas as senhas compartilhadas que elas possam conhecer (agradeço que você não tenha senhas compartilhadas)
  • Desativar conta de VPN
  • Garantir que todos os erros / tickets / problemas, etc., em qualquer sistema de rastreamento sejam reatribuídos
por 30.06.2011 / 13:11
4
  • Tire-os do sistema de nagios / paginação
  • Remova seu sudo (apenas no caso)
  • Diga ao (s) centro (s) de dados
  • Desativar / revogar qualquer sistema vpn na rede do escritório
  • Desabilite todos os aplicativos da web / apache confs / firewalls que tenham seus endereços IP codificados em
por 30.06.2011 / 13:14
2

Se algum administrador de sistemas deixar a empresa, alteramos todas as senhas para os usuários (em vez da alteração de senha mensal). Nós temos ldap e radius, então não é muito difícil. Em seguida, analisamos os sistemas em que ele estava trabalhando e os arquivos criados / modificados por ele. Se houver dados importantes em sua estação de trabalho, limpamos ou arquivamos.

Temos auditoria de acesso para todos os serviços que possuem usuários. Se houver algum usuário desconhecido usando o serviço, nós o bloquearemos, pelo menos até que a identificação seja passada.

Outros sistemas serão limpos em uma semana; a maioria é para fins de desenvolvimento e não tem informações valiosas, e eles são limpos regularmente por reinstalação.

    
por 30.06.2011 / 17:29
1

Muitas boas ideias neste tópico ... Algumas outras coisas a considerar:

Concordo em alterar senhas ou desativar contas de usuários com termo ao contrário de excluí-las (pelo menos inicialmente), mas pode ser uma boa ideia verificar se a conta do usuário está sendo usada para executar serviços / tarefas agendadas antes de executar uma ação. Isso é provavelmente mais importante em um ambiente Windows / AD do que um U

Alguns dos itens a seguir podem ser difíceis de fazer se o funcionário sair rapidamente ou em circunstâncias menos que ideais; mas isso pode ser importante (especialmente naqueles 2 da manhã).

Transferência de conhecimento - Enquanto todos nós mantemos toda a nossa documentação atualizada (aham, shuffles feet), pode ser uma boa coisa para agendar o horário com o temporizador e fazer alguns q & um ou passo a passo com outro administrador. Se você tem muito de um s / w em execução, ou um ambiente complexo, pode ser muito útil fazer perguntas e obter um tempo de um para um.

Junto com isso vai senhas. Espero que todos estejam usando algum tipo de armazenamento criptografado de conta / senha (KeePass / PassSafe, etc). Se for esse o caso, isso deve ser bem fácil - obtenha uma cópia do arquivo e a chave para isso. Se não, é hora de fazer um dumping cerebral.

    
por 30.06.2011 / 14:08
1

Comece alterando todas as senhas de "perímetro" da sua rede. Qualquer conta que ele possa usar para acessar sua rede de casa (ou do estacionamento com WiFi) deve ser alterada imediatamente.

  • Senhas de administração remota para roteadores e firewalls?
  • Contas VPN? E as contas de administrador na VPN?
  • Criptografia WiFi?
  • E-mail baseado em navegador (OWA)?

Uma vez que estes estão cobertos, trabalhe seu caminho para dentro.

    
por 30.06.2011 / 19:43
1

Outras coisas para verificar apenas para arrumar as coisas:

  • se tivessem um endereço IP estático, marque-o como disponível
  • remover / limpar qualquer DNS personalizado registra se possível
  • remover de qualquer funcionário diretório
  • telefones
  • remova o endereço de e-mail de qualquer tipo de relatório automatizado sendo enviado por um servidor ou um serviço
  • se você mantiver hardware / software Inventário, marca hardware e software licenças disponíveis (isto realmente depende de como você gerencia esses coisas).
por 30.06.2011 / 19:58
1

Tente garantir que todas as alterações de senha ocorram entre 'leaver isolated from network' (talvez uma entrevista de saída em uma sala de conferências, após o laptop de trabalho ter sido retornado) e 'o leaver é deixado para os próprios dispositivos'. Isso diminui drasticamente a chance de que o leaver esteja bisbilhotando as novas credenciais (mas com smartphones e coisas do tipo, ele ainda não é nulo).

    
por 01.07.2011 / 12:26
0

As respostas acima são todas muito boas. Como profissional atuante na profissão InfoSec (Auditor de TI), alguns outros pontos a serem considerados:

  1. Remova direitos administrativos privilegiados, como administrador de domínio, se você usar o Active Directory

  2. Remova as funções de banco de dados privilegiadas que elas podem ter (ex: db_owner)

  3. Informe aos clientes externos que o usuário finalizado pode ter acesso, para que os privilégios de acesso possam ser revogados.

  4. Remova as contas locais da máquina se elas tivessem além do acesso ao domínio

por 05.04.2017 / 03:01