Langkah yang harus diambil ketika staf teknis pergi

20

Bagaimana Anda menangani proses keberangkatan ketika staf istimewa atau teknis mengundurkan diri / dipecat? Apakah Anda memiliki daftar hal yang harus dilakukan untuk memastikan kelanjutan operasi / keamanan infrastruktur perusahaan?

Saya mencoba membuat daftar kanonik yang bagus tentang hal-hal yang harus dilakukan rekan saya ketika saya pergi (saya mengundurkan diri seminggu yang lalu, jadi saya punya waktu satu bulan untuk merapikan dan GTFO).

Sejauh ini saya punya:

  1. Bawa mereka keluar dari tempat itu
  2. Hapus Kotak Masuk email mereka (setel semua email untuk meneruskan ke catch-all)
  3. Hapus kunci SSH mereka di server
  4. Hapus akun pengguna mysql mereka

    ...

Jadi apa selanjutnya. Apa yang saya lupa sebutkan, atau mungkin berguna juga

(catatan akhir: Mengapa ini di luar topik? Saya seorang administrator sistem, dan ini menyangkut keamanan bisnis yang berkelanjutan, ini pasti sesuai topik.)

Tom O'Connor
sumber
relevan (tidak selalu menipu) serverfault.com/questions/171893/…
tombull89
4
Waspadai penerusan email; ada beberapa negara di mana ini tidak diperbolehkan. Di Norwegia, kami bahkan tidak diizinkan memberikan replikasi otomatis yang menyatakan bahwa karyawan tidak lagi bekerja di sini, kami harus menghapus akun sepenuhnya. NDR standar (pengguna yang tidak ada) adalah satu-satunya yang diizinkan.
pauska
1
Apakah biasa orang diekspor ke luar lokasi? Saya membayangkan itu hanya akan diperlukan ketika orang-orang dipecat.
Vetle
3
Anda yakin ingin menghapus kotak masuk email mereka? Ketika seorang rekan kerja dipecat secara instan dari pekerjaan tempat saya bekerja, melalui kotak masuk mereka memungkinkan saya untuk dengan cepat mengetahui keputusan apa yang telah dibuat pada proyek-proyek yang tiba-tiba saya sendiri kelola. Saya pikir (tergantung pada legalitas) Anda mungkin ingin mempertimbangkan kembali # 2.
Brian Stinar

Jawaban:

7

Saya sarankan untuk membuat daftar hal-hal yang Anda lakukan ketika sysadmin baru bergabung dengan perusahaan (sistem yang perlu Anda tambahkan, kelompokkan akun mereka harus masuk, dll) dan termasuk hal-hal teknis dan fisik - misalnya kunci fisik dan alarm kode sama pentingnya dengan kunci dan kata sandi SSH.

Pastikan Anda tetap memperbarui daftar ini - lebih mudah diucapkan daripada dilakukan, saya tahu. Tetapi membuatnya lebih mudah untuk memproses anggota tim baru menjadi perusahaan dan lagi untuk memprosesnya. Anda masih bisa melakukan ini sekarang dan mendapatkan setidaknya beberapa manfaat menggunakannya untuk membantu orang yang pergi. Alasan saya menyebutkan daftar periksa adalah karena kita semua cenderung berpikir dalam bidang kenyamanan kita sendiri dan hal-hal yang berbeda mungkin terlewatkan, tergantung pada siapa yang memproses leaver. Sebagai contoh: "manajer keamanan gedung" atau "manajer kantor" akan lebih memikirkan kunci pintu daripada kunci SSH dan orang IT akan menjadi kebalikannya dan akhirnya mencabut akses mereka ke sistem sambil membiarkan mereka dapat berjalan ke gedung di malam hari.

Kemudian cukup periksa checklist mereka ketika mereka pergi, gunakan itu sebagai checklist untuk membatalkan / dikembalikan. Semua tim TI Anda harus antusias dengan hal ini jika mereka profesional karena memiliki proses yang disepakati seperti ini melindungi mereka dari kesalahan yang tidak beralasan dari mantan majikan, sama halnya melindungi majikan dari mereka.

Jangan lupa hal-hal seperti akses ke pusat data jarak jauh atau akses fisik ke repositori data cadangan pihak ketiga.

RobM
sumber
6

Saya terkejut tidak ada yang menyebutkan itu sebelumnya tapi ...

Jika jaringan WiFi Anda menggunakan WPA atau (saya harap tidak) WEP yang bertentangan dengan mengetuk di server Radius, Anda mungkin ingin mempertimbangkan untuk mengubah kunci itu.

Ini adalah pintu besar yang dibiarkan terbuka, jika Anda adalah admin jaringan, ada peluang yang cukup bagus Anda tahu kunci itu ... bayangkan betapa mudahnya untuk kembali ke jaringan dari tempat parkir atau sesuatu seperti itu .

Alex
sumber
1
Ini biasanya diselesaikan dengan meminta otentikasi terhadap AD atau layanan direktori lainnya. Setelah akun dihapus, Anda tidak bisa melanjutkan lagi.
Split71
@ Split71: Admin yang sekarang berangkat mungkin tidak dapat masuk ke server secara langsung, tetapi jika mereka berada di jaringan lokal yang tepercaya, mereka punya akses ke perut yang lembut dan licin dari semua infrastruktur Anda.
womble
5

Hal-hal lain yang muncul dalam pikiran:

  • Keamanan fisik - ambil kunci / tag akses / tag vpn / laptop
  • Singkirkan telepon / blackberry
  • Hapus / nonaktifkan semua akun yang mereka miliki di layanan / situs eksternal
  • Kunci akun pengguna mereka
  • Ubah kata sandi bersama yang mungkin mereka ketahui (saya menghargai Anda tidak boleh memiliki kata sandi bersama)
  • Nonaktifkan akun VPN
  • Pastikan semua bug / tiket / masalah dll dalam sistem pelacakan ditugaskan kembali
jamespo
sumber
4
  • Lepaskan mereka dari sistem nagios / paging
  • Hapus sudo mereka (untuk jaga-jaga)
  • Beri tahu pusat data
  • Nonaktifkan / cabut sistem vpn apa pun ke jaringan kantor
  • Nonaktifkan aplikasi web / konfigurasi apache / firewall yang memiliki alamat IP-nya
Rory
sumber
2

Jika beberapa sysadmin keluar dari perusahaan, kami mengubah semua kata sandi untuk pengguna (bukan perubahan kata sandi bulanan). Kami memiliki ldap dan jari-jari, jadi itu tidak terlalu sulit. Kemudian kita melihat sistem yang sedang dikerjakannya, serta file yang dibuat oleh / dimodifikasi olehnya. Jika ada data penting di stasiun kerjanya, kami membersihkan atau mengarsipkannya.

Kami memiliki audit akses untuk semua layanan yang memiliki pengguna. Jika ada beberapa pengguna tak dikenal yang menggunakan layanan ini, kami memblokirnya, setidaknya sampai identifikasi dilewati.

Sistem lain akan dibersihkan dalam seminggu; sebagian besar untuk tujuan pengembangan dan tidak memiliki informasi berharga, dan mereka dibersihkan secara teratur dengan menginstal ulang.

MealstroM
sumber
1

Banyak ide bagus di utas ini ... Beberapa hal lain yang perlu dipertimbangkan:

Saya setuju untuk mengubah kata sandi atau menonaktifkan akun pengguna yang term panjang dibandingkan dengan menghapusnya (setidaknya pada awalnya), namun mungkin ide yang baik untuk memeriksa dan melihat apakah akun pengguna digunakan untuk menjalankan layanan / tugas yang dijadwalkan sebelum mengambil tindakan. Ini mungkin lebih penting dalam lingkungan Windows / AD daripada U

Beberapa hal berikut mungkin sulit dilakukan jika karyawan tersebut pergi dengan cepat atau dalam kondisi kurang ideal; tetapi ini bisa menjadi penting (terutama pada jam 2 pagi WTH yang baru saja terjadi)

Transfer pengetahuan - Meskipun kita semua menjaga semua dokumentasi kami tetap mutakhir (ahem, shuffles feet), mungkin merupakan hal yang baik untuk menjadwalkan waktu dengan penghitung waktu singkat dan melakukan beberapa tanya jawab atau penelusuran dengan admin lain. Jika Anda memiliki banyak s / w kustom berjalan, atau lingkungan yang kompleks itu bisa sangat membantu untuk mengajukan pertanyaan dan mendapatkan waktu satu-satu.

Seiring dengan itu masuk Kata Sandi. Semoga semua orang menggunakan beberapa jenis penyimpanan akun / kata sandi terenkripsi (KeePass / PassSafe, dll). Jika itu masalahnya, ini seharusnya cukup mudah - dapatkan salinan file mereka dan kunci untuk itu. Jika tidak, ini saatnya membuang otak.

Cybersylum
sumber
1

Mulailah dengan mengubah semua kata sandi "perimeter" untuk jaringan Anda. Akun apa pun yang dapat ia gunakan untuk masuk ke jaringan Anda dari rumah (atau dari tempat parkir dengan WiFi), harus segera diubah.

  • Kata sandi administrasi jarak jauh untuk router dan firewall?
  • Akun VPN? Bagaimana dengan akun admin di VPN?
  • Enkripsi WiFi?
  • Email berbasis browser (OWA)?

Setelah ini tertutup, kerjakan jalan Anda ke dalam.

myron-semack
sumber
1

Hal-hal lain yang perlu diperiksa hanya untuk merapikan:

  • jika mereka memiliki alamat IP statis, tandai sebagai tersedia
  • hapus / bersihkan semua catatan DNS khusus jika memungkinkan
  • hapus dari segala jenis direktori karyawan
  • telepon
  • menghapus alamat email dari segala jenis laporan otomatis yang dikirim oleh server atau layanan
  • jika Anda menyimpan inventaris perangkat keras / perangkat lunak, tandai lisensi perangkat keras dan perangkat lunak sebagai tersedia (ini benar-benar tergantung pada bagaimana Anda mengelola hal-hal ini).
Safado
sumber
1

Cobalah untuk memastikan bahwa semua perubahan kata sandi terjadi antara 'leaver diisolasi dari jaringan' (mungkin wawancara keluar di ruang konferensi, setelah laptop kantor dikembalikan) dan 'leaver dibiarkan memiliki perangkat'. Ini secara drastis mengurangi kemungkinan leaver akan mengintip kredensial baru (tetapi dengan smartphone dan sejenisnya, itu masih non-nol).

Vatine
sumber
0

Jawaban di atas semuanya sangat bagus. Sebagai seorang praktisi profesional dalam profesi InfoSec (Auditor TI), beberapa hal lain yang perlu Anda pertimbangkan:

  1. Hapus hak administratif yang diistimewakan seperti admin domain jika Anda menggunakan Active Directory

  2. Hapus peran basis data istimewa yang mungkin mereka miliki (mis: db_owner)

  3. Menginformasikan klien eksternal bahwa pengguna yang diakhiri mungkin memiliki akses sehingga hak akses dapat dicabut.

  4. Hapus akun mesin lokal jika ada selain akses domain

Anthony
sumber