Question Le responsable informatique s'en va - Qu'est-ce que je verrouille?


Le responsable informatique est peut-être en train de partir, et il est possible que la séparation des moyens ne soit pas totalement civile. Je ne m'attendrais pas vraiment à une malveillance, mais juste au cas où, que puis-je vérifier, changer ou verrouiller?

Exemples:

  • Mots de passe administrateur
  • Mots de passe sans fil
  • Règles d'accès VPN
  • Paramètres du routeur / pare-feu

50
2018-06-22 09:31


origine


Voir connexes les portes arrière du précédent IT? - Zoredache


Réponses:


Évidemment, la sécurité physique doit être abordée, mais après cela ...

En supposant que vous ne disposiez pas d'une procédure documentée pour le départ des employés (environnement générique car vous ne mentionnez pas les plates-formes que vous exécutez):

  1. Commencez avec la sécurité du périmètre. Modifiez tous les mots de passe de tous les équipements de périmètre tels que les routeurs, les pare-feu, les vpn, etc. Verrouillez ensuite tous les comptes du responsable informatique et examinez tous les comptes restants afin de vous assurer qu'ils ne sont plus utilisés ou qu'ils ne le sont plus. t appartenir (au cas où il a ajouté un secondaire).
  2. E-mail - supprimez son compte ou au moins désactivez ses connexions en fonction de la politique de votre entreprise.
  3. Puis passez par la sécurité de votre hôte. Son compte doit avoir son compte désactivé et / ou supprimé. (Supprimé est préférable, mais vous devrez peut-être les vérifier au cas où quelque chose en cours de fonctionnement serait valide en premier). Encore une fois, vérifiez également les comptes qui ne sont plus utilisés, ainsi que ceux qui n'appartiennent pas. Désactiver / supprimer ceux-ci aussi. Si vous utilisez des clés ssh, vous devez les changer sur les comptes admin / root.
  4. Les comptes partagés, si vous en avez, devraient tous avoir leurs mots de passe modifiés. Vous devriez également envisager de supprimer les comptes partagés ou de désactiver la connexion interactive sur ces comptes en tant que pratique générale.
  5. Comptes d'applications ... n'oubliez pas de modifier les mots de passe ou de désactiver / supprimer les comptes de toutes les applications auxquelles il avait accès, en commençant par les comptes d'accès administrateur.
  6. Journalisation ... assurez-vous d'avoir une bonne journalisation pour l'utilisation du compte et surveillez-le attentivement pour détecter toute activité suspecte.
  7. Sauvegardes ... assurez-vous que vos sauvegardes sont à jour et sécurisées (de préférence hors site). Assurez-vous que vous avez fait la même chose que ci-dessus avec vos systèmes de sauvegarde en ce qui concerne les comptes.
  8. Documents ... essayez autant que possible de l'identifier, de lui demander si possible et de copier, dans un lieu sûr, toute sa documentation.
  9. Si vous avez des services externalisés (courrier électronique, filtrage du courrier indésirable, hébergement de quelque type que ce soit, etc.), veillez également à prendre toutes les mesures ci-dessus appropriées pour ces services.

Comme vous faites tout cela, le documenter, de sorte que vous ayez une procédure en place pour les résiliations futures.

De plus, si vous utilisez des services de colocation, assurez-vous de supprimer son nom de la liste d'accès et de la liste de soumission de tickets. Il serait sage de faire de même pour tous les autres fournisseurs où il était le principal responsable, afin qu'il ne puisse ni annuler ni gâcher les services que vous obtenez de ces fournisseurs, mais également que les fournisseurs sachent à qui s'adresser pour obtenir un renouvellement, problèmes, etc.… qui peuvent vous éviter des maux de tête lorsque quelque chose que le responsable informatique n'a pas documenté se produit.

Je suis sûr qu'il me manque plus, mais ce n'est pas grave.


38
2018-06-22 12:25



Je devrais également ajouter que le moment est venu de revoir votre politique de sécurité et de renforcer votre sécurité globale. ;) - skraggy
Je pense que vous voulez dire "périmètre" pas "paramètre" - Matt Rogish
Oui, désolé ... c'est ce que je reçois pour avoir répondu avant d'avoir bu mon café le matin. :) - skraggy
Pas de soucis; Je l'aurais édité si j'avais assez de reps - mais ça m'a fait mal au cerveau pendant un moment jusqu'à ce que je l'ait analysé correctement :) - Matt Rogish


N'oubliez pas la sécurité physique - assurez-vous qu'il ne peut pénétrer dans aucun bâtiment - c'est bien de pouvoir utiliser le kit réseau, mais s'il peut accéder au centre de données, cela ne sert à rien.


18
2018-06-22 09:34





Nous soupçonnions qu'un employé mécontent qui était encore dans sa période de préavis avait peut-être installé certains programmes d'accès à distance. Nous avons donc limité son compte d'ouverture de session aux heures de travail uniquement, de sorte qu'il ne puisse pas s'éloigner après les heures de travail, alors que personne n'était là pour le faire. choses (pendant les heures de travail, nous pouvions voir son écran clairement, donc s’il se levait pour faire des bêtises, nous le saurions).

En fin de compte, il avait installé LogMeIn et avait en fait tenté un accès après les heures de bureau.

(il s’agissait d’un réseau de petite entreprise, sans ACL ni pare-feu sophistiqués)


13
2018-06-22 09:35



Pourquoi voudriez-vous garder un employé dégrisé par leur période de préavis. Un employé qui n'est pas mécontent, pas de problème, mais un employé mécontent? C'est juste demander des ennuis. - Jason Tan
Je pense que c'est une petite entreprise sans ACL ni pare-feu sophistiqué, l'entreprise ne pourrait probablement pas se débarrasser de lui. Le gars de l'informatique les avait par les cheveux courts si vous voyez ce que je veux dire. Un mauvais endroit pour être, mais je pouvais le voir se produire. - Matt
Il a été retenu parce que le patron était un bourreau. Si vous limitez quelqu'un en Australie, vous devez soit le garder pendant 4 semaines au plein salaire, soit le payer pendant 4 semaines pour le payer en une fois et vous en débarrasser. Il n'aimait pas l'idée de payer quelqu'un pendant 4 semaines et de ne rien obtenir en retour. - Mark Henderson♦
Je n'avais même pas envisagé cette idée, que l'employé peut ne pas être aux États-Unis. Mon point de vue peut parfois être égocentrique. - Matt


Veillez également à ne pas trop enfermer. Je me souviens d'une situation où quelqu'un est parti et un jour plus tard, il est devenu évident que certains logiciels critiques fonctionnaient sous son compte d'utilisateur personnel.


10
2018-06-22 09:41



Été fait ça. Si notre administrateur système part jamais, nous serons dans une situation délicate, car de nombreux services sont configurés pour fonctionner sous son compte. Mauvaise pratique, je sais ... - Mark Henderson♦
Je vous sais que pourquoi ne lui dites-vous pas de changer ces fatcs? - serverhorror
Utilisez tout casse résultant de cette opération pour transférer tous les services vers des comptes de service dédiés. - tomfanning


Juste pour ajouter - assurez-vous également que vous avez l'audit de l'échec et connexions réussies - un groupe d'échecs pour un compte suivi de succès pourrait être synonyme de piratage. Vous pouvez également demander à tous les autres utilisateurs de modifier leurs mots de passe si le responsable informatique est impliqué dans les paramètres de mot de passe. N'oubliez pas non plus les mots de passe de base de données et vous voudrez peut-être effacer son compte de messagerie pour des informations sécurisées. Je mettrais également des vérifications d'accès sur toutes les informations / bases de données confidentielles, et lui interdirais d'effectuer des sauvegardes du système / des bases de données.

J'espère que cela t'aides.


6
2018-06-22 09:41



Oui, mais amener les gens à changer leurs mots de passe serait un problème, même si je suppose que vous pouvez configurer tous les comptes de manière à ce qu'ils nécessitent des changements lors de la prochaine connexion et dire à tout le monde qu'une mise à jour du serveur est forcée (personne n'aime être obligé de changer les mots de passe, surtout) utilisateurs) C’est également le bon moment pour effectuer un audit de tous les comptes d’utilisateurs (à la fois machine locale et réseau) existant au sein de l’entreprise. - p858snake


Assurez-vous également, avant de laisser partir cet individu, de comprendre que les choses peuvent et vont se détériorer ou qu'il sera problématique jusqu'à ce que vous remplaciez cet individu. J'espère que vous ne leur en voudrez pas pour tout ce qui se passe simplement parce que vous présumez / savez que ce ne sera pas une bonne façon de se séparer, ou que vous pensez qu'ils vous piratent d'une manière ou d'une autre parce que les toilettes ont débordé.

Espérons que ce scénario vous paraît absurde. Mais c’est une histoire vraie de mon dernier emploi que le propriétaire essaie maintenant de me poursuivre en justice pour sabotage (essentiellement parce que j’ai démissionné et qu’ils ne sont prêts à payer à qui que ce soit le taux du marché pour me remplacer) et des cyber-crimes tels que le piratage et le piratage. racket sur internet.

En bout de ligne est, évaluer le "pourquoi" pour la raison de leur licenciement. S'il s'agit de besoins autres qu'économiques, je vous suggère de peaufiner vos procédures d'embauche de manière à ce que vous puissiez embaucher une personne plus professionnelle dans laquelle, par profession, vous devez être fiable et digne de confiance, doté d'informations critiques et généralement confidentielles, et qui est en mesure de l'installer correctement. procédures de sécurité que tout le monde doit suivre.

Une façon de savoir pendant que vous interviewez est de savoir comment ils vous interviewent, vous et votre entreprise. Responsabilité (comme dans ce que la société pense que le responsable informatique peut être tenu pour responsable en cas de problème, il s'agirait généralement d'un contrat) et la sécurité globale du réseau est l'une des 3 choses les plus importantes dans l'esprit de tout responsable informatique / directeur technique quand il s'agit pour interviewer pour un travail.


6
2018-06-22 13:33





Changer tous les mots de passe administrateur (serveurs, routeurs, commutateurs, accès à distance, pare-feu) Supprimez toutes les règles de pare-feu pour l'accès à distance du responsable informatique. Si vous utilisez des jetons de sécurité, dissociez le ou les jetons du responsable informatique de tout accès. Supprimez l'accès TACACS (si vous l'utilisez).

Veillez à effectuer ces modifications avec le responsable informatique dans une salle de conférence ou sous un autre contrôle physique afin d'éviter l'observation du processus. Bien que la lecture d'un mot de passe au clavier soit tapée sur un clavier, ce n'est pas trivial (ni difficile, ni trivial), si cela doit être répété, le risque de glanement du mot de passe est plus élevé.

Si possible, changez les serrures. Si les clés peuvent être répliquées (et en bref, elles peuvent), cela empêchera le responsable informatique d'obtenir un accès physique par la suite. Désactivez toutes les cartes que vous ne pouvez pas comptabiliser (pas seulement les cartes que vous savez avoir été émises au responsable informatique).

Si vous avez plusieurs lignes téléphoniques entrantes, vérifiez-les toutes pour vous assurer qu'aucun périphérique inconnu n'y est connecté.


5
2018-06-22 12:17





Vérifiez les politiques de pare-feu
Modifiez le mot de passe de l'administrateur et recherchez les comptes qui ne sont plus utilisés.
Révoquer ses certificats
Sauvegardez son poste de travail et formatez-le.
Utilisez des contrôles de somme de contrôle pour les fichiers importants sur vos serveurs et connectez un IDS à un port span de votre rack pendant un moment.

Juste mes 2cts.


3
2018-06-22 09:36