ขั้นตอนที่ต้องปฏิบัติเมื่อเจ้าหน้าที่ด้านเทคนิคออกไป


20

คุณจะจัดการกระบวนการออกเดินทางอย่างไรเมื่อพนักงานที่ได้รับการยกเว้นหรือเจ้าหน้าที่ด้านเทคนิคลาออก / ถูกไล่ออก? คุณมีรายการตรวจสอบของสิ่งที่ต้องทำเพื่อให้แน่ใจว่าการดำเนินงาน / ความปลอดภัยของโครงสร้างพื้นฐานของ บริษัท อย่างต่อเนื่องหรือไม่?

ฉันกำลังพยายามหารายการสิ่งที่น่าเชื่อถือที่เพื่อนร่วมงานของฉันควรทำเมื่อฉันจากไป (ฉันลาออกเมื่อสัปดาห์ที่แล้วดังนั้นฉันจึงมีเวลาหนึ่งเดือนในการจัดระเบียบและ GTFO)

จนถึงตอนนี้ฉันได้:

  1. พาพวกเขาออกไปนอกสถานที่
  2. ลบกล่องขาเข้าอีเมลของพวกเขา (ตั้งค่าอีเมลทั้งหมดเพื่อส่งต่อไปยัง catch-all)
  3. ลบคีย์ SSH ของพวกเขาบนเซิร์ฟเวอร์
  4. ลบบัญชีผู้ใช้ mysql ของพวกเขา

    ...

ดังนั้นมีอะไรต่อไป ฉันลืมพูดถึงอะไรหรืออาจมีประโยชน์ในทำนองเดียวกัน

(หมายเหตุท้ายเรื่อง: ทำไมจึงเป็นหัวข้อนอกเรื่องนี้ฉันเป็นผู้ดูแลระบบและสิ่งนี้เกี่ยวข้องกับความปลอดภัยทางธุรกิจอย่างต่อเนื่อง


ที่เกี่ยวข้อง (ไม่จำเป็นต้องเป็นผู้ตกเป็นเหยื่อ) serverfault.com/questions/171893/…
tombull89

4
ระวังการส่งต่ออีเมล มีหลายประเทศที่ไม่อนุญาตให้ทำเช่นนี้ ในนอร์เวย์เราไม่ได้รับอนุญาตให้ทำซ้ำอัตโนมัติซึ่งระบุว่าพนักงานไม่ทำงานที่นี่อีกต่อไปเราต้องล้างบัญชีทั้งหมด NDR มาตรฐาน (ผู้ใช้ที่ไม่มีอยู่จริง) เป็นสิ่งเดียวที่ได้รับอนุญาต
pauska

1
เป็นเรื่องปกติที่ผู้คนจะถูกส่งออกนอกสถานที่หรือไม่ ฉันคิดว่าจะมีความจำเป็นก็ต่อเมื่อผู้คนถูกไล่ออก
Vetle

3
แน่ใจหรือไม่ว่าคุณต้องการลบกล่องขาเข้าอีเมลของพวกเขา เมื่อเพื่อนร่วมงานถูกไล่ออกจากงานที่ฉันทำงานอยู่การไปที่กล่องจดหมายของพวกเขาทำให้ฉันสามารถทราบได้อย่างรวดเร็วว่าการตัดสินใจใดที่เกิดขึ้นกับโครงการที่ฉันพบว่าตัวเองกำลังจัดการอยู่ ฉันคิดว่า (ขึ้นอยู่กับกฎหมาย) คุณอาจต้องการพิจารณา # 2 อีกครั้ง
Brian Stinar

คำตอบ:


7

ฉันขอแนะนำให้สร้างรายการตรวจสอบของสิ่งที่คุณทำเมื่อดูแลระบบใหม่เข้าร่วม บริษัท (ระบบที่คุณต้องการเพิ่มเข้าไปจัดกลุ่มบัญชีของพวกเขาต้องเข้าไป ฯลฯ ) และรวมทั้งสิ่งทางเทคนิคและทางกายภาพ - เช่นปุ่มทางกายภาพและการเตือนภัย รหัสมีความสำคัญเท่ากับคีย์และรหัสผ่าน SSH

ให้แน่ใจว่าคุณทำให้รายการนี้เป็นปัจจุบัน - พูดง่ายกว่าทำฉันรู้ แต่มันทำให้ง่ายขึ้นทั้งในการประมวลผลสมาชิกทีมใหม่เข้ามาใน บริษัท และอีกครั้งเพื่อดำเนินการพวกเขาออก คุณยังสามารถทำสิ่งนี้ได้ในตอนนี้และได้รับประโยชน์จากการใช้งานอย่างน้อยก็เพื่อช่วยเหลือผู้ที่กำลังจะจากไป เหตุผลที่ฉันพูดถึงรายการตรวจสอบเป็นเพราะเราทุกคนมักจะคิดว่าในความสะดวกสบายของเราเองและสิ่งต่าง ๆ อาจจะพลาดไปเป็นอย่างอื่นขึ้นอยู่กับผู้ที่ดำเนินการ leaver ตัวอย่างเช่น "การสร้างความปลอดภัยผู้จัดการ" หรือ "ผู้จัดการสำนักงาน" จะคิดเกี่ยวกับกุญแจประตูมากกว่ากุญแจ SSH และคนไอทีจะเป็นสิ่งที่ตรงกันข้ามและสิ้นสุดการเพิกถอนการเข้าถึงระบบในขณะที่ปล่อยให้พวกเขาสามารถ เดินเข้าไปในอาคารตอนกลางคืน

จากนั้นเพียงไปที่รายการตรวจสอบของพวกเขาเมื่อพวกเขาออกไปใช้เป็นรายการตรวจสอบเพื่อยกเลิก / รับคืน ทีมไอทีทั้งหมดของคุณควรกระตือรือร้นเกี่ยวกับเรื่องนี้หากพวกเขาเป็นมืออาชีพเนื่องจากมีกระบวนการที่ตกลงกันไว้เช่นนี้จะช่วยปกป้องพวกเขาจากความผิดที่ไม่ได้รับการรับรองจากอดีตนายจ้างเช่นเดียวกับที่ปกป้องนายจ้างจากพวกเขา

อย่าลืมสิ่งต่าง ๆ เช่นการเข้าถึงดาต้าเซ็นเตอร์ระยะไกลหรือการเข้าถึงที่เก็บข้อมูลสำรองของบุคคลที่สาม


6

ฉันประหลาดใจที่ไม่มีใครพูดถึงสิ่งนั้นมาก่อน แต่ ...

หากเครือข่าย WiFi ของคุณใช้ WPA หรือ (ฉันหวังว่าจะไม่) WEP ซึ่งตรงข้ามกับการแตะในเซิร์ฟเวอร์ Radius คุณอาจต้องการเปลี่ยนคีย์นั้น

มันเป็นประตูใหญ่ที่เปิดทิ้งไว้ถ้าคุณเป็นผู้ดูแลระบบเครือข่ายมีโอกาสที่ดีที่คุณรู้ว่าหัวใจสำคัญ ... ลองจินตนาการว่ามันจะง่ายแค่ไหนที่จะได้กลับมาบนเครือข่ายจากที่จอดรถหรืออะไรทำนองนั้น .


1
โดยปกติจะแก้ไขได้ด้วยการรับรองความถูกต้องกับโฆษณาหรือบริการไดเรกทอรีอื่น ๆ เมื่อบัญชีถูกลบคุณจะไม่สามารถดำเนินการต่อได้อีก
Split71

@ Split71: ผู้ดูแลระบบที่ออกไปตอนนี้อาจไม่สามารถเข้าไปยังเซิร์ฟเวอร์ได้โดยตรง แต่ถ้าพวกเขาอยู่ในเครือข่ายท้องถิ่นที่เชื่อถือได้พวกเขาจะสามารถเข้าถึงโครงสร้างพื้นฐานของคุณที่อ่อนนุ่มและนุ่มนวล
womble

5

สิ่งอื่น ๆ ที่ควรทราบ:

  • ความปลอดภัยทางกายภาพ - นำกุญแจ / แท็กการเข้าถึง / แท็ก vpn / แล็ปท็อป
  • นำโทรศัพท์ / แบล็กเบอร์รี่ไปด้วย
  • ลบ / ปิดการใช้งานบัญชีใด ๆ ที่มีอยู่ในบริการ / ไซต์ภายนอก
  • ล็อคบัญชีผู้ใช้
  • เปลี่ยนรหัสผ่านที่แบ่งปันซึ่งพวกเขาอาจรู้ (ฉันขอขอบคุณที่คุณไม่ควรมีรหัสผ่านที่แชร์)
  • ปิดใช้งานบัญชี VPN
  • ตรวจสอบให้แน่ใจว่าข้อบกพร่อง / ตั๋ว / ปัญหาอื่น ๆ ในระบบติดตามใด ๆ ถูกกำหนดใหม่

4
  • ถอดออกจากระบบ nagios / paging
  • ลบ sudo ของพวกเขา (ในกรณี)
  • บอกศูนย์ข้อมูล
  • ปิดการใช้งาน / เพิกถอนระบบ VPN ใด ๆ ลงในเครือข่ายสำนักงาน
  • ปิดการใช้งานเว็บแอปพลิเคชัน / apache confs / ไฟร์วอลล์ที่มีที่อยู่ IP ของพวกเขาในฮาร์ดโค้ด

2

หากดูแลระบบออกจาก บริษัท เราจะเปลี่ยนรหัสผ่านทั้งหมดสำหรับผู้ใช้ (แทนการเปลี่ยนรหัสผ่านรายเดือน) เรามี ldap และรัศมีจึงไม่ยากมาก จากนั้นเราจะดูระบบที่เขาทำงานอยู่รวมถึงไฟล์ที่สร้างโดย / แก้ไขโดยเขา หากมีข้อมูลสำคัญบนเวิร์กสเตชันของเขาเราจะล้างหรือเก็บถาวร

เรามีการตรวจสอบการเข้าถึงสำหรับบริการทั้งหมดที่มีผู้ใช้ หากมีผู้ใช้ที่ไม่รู้จักใช้บริการเราจะบล็อกเขาอย่างน้อยก็จนกว่าจะมีการระบุตัวตน

ระบบอื่น ๆ จะได้รับการทำความสะอาดในหนึ่งสัปดาห์ ส่วนใหญ่มีไว้เพื่อการพัฒนาและไม่มีข้อมูลที่มีค่าและจะถูกทำความสะอาดอย่างสม่ำเสมอโดยการติดตั้งใหม่


1

ความคิดที่ดีมากมายในหัวข้อนี้ ... สิ่งอื่น ๆ ที่ควรพิจารณา:

ฉันเห็นด้วยกับการเปลี่ยนรหัสผ่านหรือปิดการใช้งานบัญชีผู้ใช้ term'd กับการลบพวกเขา (อย่างน้อยเริ่มต้น) อย่างไรก็ตามอาจเป็นความคิดที่ดีที่จะตรวจสอบและดูว่าบัญชีผู้ใช้กำลังใช้บริการ / งานตามกำหนดเวลาก่อนดำเนินการ นี่อาจสำคัญกว่าในสภาพแวดล้อม Windows / AD มากกว่า U

รายการต่อไปนี้อาจเป็นเรื่องยากที่จะทำหากพนักงานลาออกอย่างรวดเร็วหรือภายใต้สถานการณ์ในอุดมคติ แต่สิ่งเหล่านี้อาจมีความสำคัญ (โดยเฉพาะอย่างยิ่งในช่วง 2 โมงเช้าเมื่อเกิดเหตุการณ์ขึ้น)

การถ่ายโอนความรู้ - ในขณะที่เราเก็บเอกสารทั้งหมดของเราเป็นปัจจุบัน (ahem, shuffles feet) อาจเป็นเรื่องดีที่จะกำหนดเวลาด้วยการจับเวลาสั้น ๆ หากคุณมี s / w ที่กำหนดเองทำงานจำนวนมากหรือสภาพแวดล้อมที่ซับซ้อนมันจะมีประโยชน์มากในการถามคำถามและรับแบบตัวต่อตัว

พร้อมกับรหัสผ่านที่ไป หวังว่าทุกคนจะใช้การจัดเก็บบัญชี / รหัสผ่านที่เข้ารหัสบางประเภท (KeePass / PassSafe เป็นต้น) หากเป็นกรณีนี้ควรจะค่อนข้างง่าย - รับสำเนาของไฟล์และกุญแจไป หากไม่เป็นเช่นนั้นก็ถึงเวลาสำหรับการทุ่มตลาดบ้าง


1

เริ่มต้นด้วยการเปลี่ยนรหัสผ่าน "ปริมณฑล" ทั้งหมดสำหรับเครือข่ายของคุณ บัญชีใด ๆ ที่เขาสามารถใช้เพื่อเข้าสู่เครือข่ายของคุณจากที่บ้าน (หรือจากที่จอดรถพร้อม WiFi) ควรเปลี่ยนทันที

  • รหัสผ่านการบริหารระยะไกลสำหรับเราเตอร์และไฟร์วอลล์?
  • บัญชี VPN หรือไม่ บัญชีผู้ดูแลระบบบน VPN เป็นอย่างไร
  • การเข้ารหัส WiFi หรือไม่
  • เบราว์เซอร์ที่ใช้อีเมล (OWA)

เมื่อสิ่งเหล่านี้ถูกปกคลุมทำงานในแบบของคุณ


1

สิ่งอื่น ๆ ที่จะตรวจสอบเพื่อเป็นระเบียบ:

  • หากพวกเขามีที่อยู่ IP แบบคงที่ทำเครื่องหมายว่ามีอยู่
  • ลบ / ล้างระเบียน DNS ที่กำหนดเองถ้าเป็นไปได้
  • ลบออกจากไดเรกทอรีพนักงานประเภทใดก็ได้
  • โทรศัพท์
  • ลบที่อยู่อีเมลออกจากรายงานอัตโนมัติทุกประเภทที่เซิร์ฟเวอร์หรือบริการส่งออก
  • ถ้าคุณเก็บสินค้าคงคลังของฮาร์ดแวร์ / ซอฟต์แวร์ทำเครื่องหมายใบอนุญาตฮาร์ดแวร์และซอฟต์แวร์ตามที่มีอยู่ (ขึ้นอยู่กับวิธีที่คุณจัดการสิ่งเหล่านี้)

1

พยายามตรวจสอบให้แน่ใจว่าการเปลี่ยนแปลงรหัสผ่านทั้งหมดเกิดขึ้นระหว่าง 'leaver ที่แยกได้จากเครือข่าย' (อาจเป็นการออกจากการสัมภาษณ์ในห้องประชุมหลังจากส่งคืนแล็ปท็อปที่ทำงาน) และ 'leaver ถูกปล่อยให้อุปกรณ์ของตัวเอง' สิ่งนี้จะช่วยลดโอกาสที่ผู้ก่อกวนจะสอดแนมข้อมูลประจำตัวใหม่ (แต่ด้วยสมาร์ทโฟนและสิ่งที่คล้ายกันก็ยังคงไม่เป็นโมฆะ)


0

คำตอบข้างต้นล้วนดีมาก ในฐานะที่เป็นมืออาชีพในด้านความมั่นคงสารสนเทศ (ผู้ตรวจสอบไอที) ประเด็นอื่น ๆ ที่คุณควรพิจารณา:

  1. ลบสิทธิ์ของผู้ดูแลระบบที่มีสิทธิ์เช่นผู้ดูแลโดเมนถ้าคุณใช้ Active Directory

  2. ลบบทบาทฐานข้อมูลที่มีสิทธิ์ซึ่งอาจมี (เช่น: db_owner)

  3. แจ้งลูกค้าภายนอกว่าผู้ใช้ที่ถูกยกเลิกอาจมีการเข้าถึงเพื่อให้สามารถเพิกถอนสิทธิ์การเข้าถึงได้

  4. ลบบัญชีเครื่องภายในหากมีนอกเหนือจากการเข้าถึงโดเมน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.