技术人员离职时应采取的步骤

20

当特权或技术人员辞职/被解雇时,您如何处理离开过程?您是否有一份要确保公司基础设施持续运行/安全的工作清单?

我正在尝试提出一份不错的规范清单,列出我离开时同事应该做的事情(一周前我辞职了,所以我还有一个月的时间来整理和GTFO)。

到目前为止,我已经:

  1. 护送他们离开房屋
  2. 删除他们的电子邮件收件箱(将所有邮件设置为转发到全部接收)
  3. 删除服务器上的SSH密钥

  4. 删除他们的MySQL用户帐户

    ...

下一个是什么。我忘记提及什么,或者可能有用?

(尾注:为什么这是题外话?我是系统管理员,这关系到持续的业务安全性,这绝对是题外话。)

security  physical-security 
汤姆·奥康纳
source
相关(未nessecarily愚弄的人)serverfault.com/questions/171893/...
tombull89
4
注意电子邮件转发;有几个国家不允许这样做。在挪威,我们甚至不允许发布自动回复以表明该员工不再在这里工作,我们必须彻底清除该帐户。仅允许使用标准NDR(不存在的用户)。
pauska,2011年
1
人们被带出办公场所是否常见?我想这只有在被解雇时才有必要。
Vetle
3
您确定要删除其电子邮件收件箱吗?当一个同事被我所从事的工作立即解雇时,通过他们的收件箱,我可以迅速弄清楚对我突然发现自己管理的项目做出了哪些决定。我认为(取决于合法性)您可能需要重新考虑#2。
Brian Stinar 2011年
2
pauska,2011年

Answers:

7

我建议创建一个清单,以列出新的系统管理员加入公司时的工作清单(您需要将其添加到的系统,必须将其帐户分组的系统等),并包括技术和物理方面的内容,例如物理键和警报代码与SSH密钥和密码一样重要。

确保您保持此列表最新-我知道,说起来容易做起来难。但是,这不仅使将新团队成员加入公司,而且又将他们淘汰出局变得更加容易。您现在仍然可以执行此操作,并至少获得使用它来帮助即将离开的人的一些好处。我之所以提到一份清单,是因为我们都倾向于在自己的舒适范围内思考,否则,取决于谁在处理离职人员,可能会错过其他事情。例如:“建筑安全经理”或“办公室经理”将更多地考虑门钥匙而不是SSH钥匙,而IT人员将完全相反,并最终撤消了他们对系统的访问权限,同时使他们能够晚上走进大楼。

然后在他们离开时仔细检查清单,将其用作撤消/退回物品的清单。您的所有IT团队都应该对此充满热情,因为他们具有专业的才能,因为这样的约定流程可以保护他们免受前雇主的无理指责,同时也可以保护雇主免受他们的伤害。

不要忘记访问远程数据中心或物理访问第三方备份数据存储库之类的东西。

RobM
source
6

我很惊讶没有人提到过,但是...

如果您的WiFi网络使用WPA或(但不希望)使用WEP而不是轻按Radius服务器,则您可能需要考虑更改该密钥。

这是一扇敞开的大门,如果您是网络管理员,则很有可能您会心中知道该密钥……想象一下从停车场或类似性质的网络恢复到网络多么容易。 。

亚历克斯
source
1
通常可以通过使它针对AD或任何其他目录服务进行身份验证来解决。帐户删除后,您将无法继续使用。
Split71 2011年
@ Split71:现在离开的管理员可能无法直接进入服务器,但是如果它们位于受信任的本地网络上,则可以访问所有基础结构的柔软,柔软的底层。
womble
5

我想到的其他事情是:

  • 物理安全-带走钥匙/访问标签/ VPN标签/笔记本电脑
  • 带走手机/黑莓
  • 删除/禁用他们在外部服务/站点上拥有的任何帐户
  • 锁定他们的用户帐户
  • 更改他们可能知道的所有共享密码(我不应该拥有任何共享密码)
  • 禁用VPN帐户
  • 确保重新分配所有跟踪系统中的所有错误/故障单/问题等
詹姆士波
source
4
  • 将其从nagios /分页系统中删除
  • 删除他们的sudo(以防万一)
  • 告诉数据中心
  • 禁用/撤消任何VPN系统到办公室网络
  • 禁用所有IP地址已硬编码在其中的Web应用程序/ Apache conf /防火墙
罗里
source
2

如果某些系统管理员离开公司,我们将更改用户的所有密码(而不是每月更改一次密码)。我们有ldap和radius,所以并不是很难。然后我们看一下他正在使用的系统以及他创建/修改的文件。如果他的工作站上有重要数据,我们将对其进行清理或存档。

我们对具有用户的所有服务进行访问审核。如果有人使用该服务,我们将阻止他,至少直到通过身份验证为止。

其他系统将在一周内清洗一次;大多数都是出于开发目的,并且没有有价值的信息,并且会定期通过重新安装进行清理。

MealstroM
source
1

这个线程中有许多好的想法...其他需要考虑的事项:

我同意更改密码或禁用长期使用的用户帐户,而不是删除它们(至少在最初是这样),但是在采取行动之前,最好先检查一下用户帐户是否用于运行服务/计划的任务。在Windows / AD环境中,这可能比U更重要。

如果员工迅速离开或在不理想的情况下离开,以下一些项目可能会很难执行;但是这些可能很重要(尤其是在刚发生的那一刻凌晨2点)

知识转移-虽然我们所有人都保持最新的文档(糟糕,无所事事),但是最好安排时间短的时间安排时间并与另一位管理员进行问答和演练。如果您正在运行大量自定义软件,或者环境很复杂,那么提出问题并一对一的时间会很有帮助。

随之而来的是密码。希望每个人都在使用某种类型的加密帐户/密码存储(KeePass / PassSafe等)。如果真是这样,这应该很容易-获得文件的副本和密钥。如果没有,现在该是一些脑筋急转弯的时候了。

网络系统
source
1

首先更改网络的所有“外围”密码。他可以用来在家(或使用WiFi的停车场)进入您的网络的任何帐户,都应立即更改。

  • 路由器和防火墙的远程管理密码?
  • VPN帐户?VPN上的管理员帐户呢?
  • WiFi加密?
  • 基于浏览器的电子邮件(OWA)?

一旦覆盖了这些,就可以向内工作。

迈伦·塞马克
source
1

要整理的其他事项:

  • 如果它们具有静态IP地址,则标记为可用
  • 尽可能删除/清除任何自定义DNS记录
  • 从任何种类的员工目录中删除
  • 手机
  • 从服务器或服务发送的任何类型的自动报告中删除电子邮件地址
  • 如果您保留硬件/软件清单,则将硬件和软件许可证标记为可用(这实际上取决于您如何管理这些事情)。
萨法多
source
1

尝试确保所有密码更改都在“与网络隔离的leaver”(可能是返回工作手提电脑后在会议室进行的离开采访)和“ leaver留给自己的设备”之间发生。这极大地减少了离开者窥探新凭据的机会(但对于智能手机等,它仍然不为空)。

瓦汀
source
0

上面的答案都很好。作为InfoSec专业的实践专业人员(IT审核员),您需要考虑以下几点:

  1. 如果您使用Active Directory,请删除特权管理权限,例如域管理员

  2. 删除他们可能拥有的特权数据库角色(例如:db_owner)

  3. 通知外部客户端终止的用户可能已经有权访问,以便可以撤消访问特权。

  4. 删除本地计算机帐户(如果它们具有域访问权限)

安东尼
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.