ユーザーアカウントの追跡
こんにちは私が働いている会社の元従業員はまだサーバーにアクセスできると思います。実際、彼はアクセスしていると確信しています。彼が12月に会社を辞めたとき、彼は私たちのサーバーの1つから自分の個人ファイルを削除することを怠りました。私は彼に連絡して、彼にそれを知らせました。フォルダを確認したところ、ファイルがなくなっていることがわかりました。
その期間に変更されたファイルをハードドライブで検索すると、フォルダがユーザーによって変更されていることがわかりました(これは単なる数字の文字列であり、通常のドメイン\ユーザー名ではありません)。私はIT部門に番号を送信しましたが、彼らは肩をすくめて、存在しないユーザーアカウントを言っただけです。このユーザーアカウントがフォルダにアクセスした日付によると、他の誰もそのサーバーに接続していなかったと私が知っていたのは、夕方のある時間でした。
これはすべて過去2日間に発生しました。私の質問:このユーザーアカウントの詳細情報はどこで入手できますか?ユーザーと実行されたアクションを示すログが保持されていますか?
マシンはWindowsServer 2003SP1を実行しています。リモート接続します。
私の質問:このユーザーアカウントの詳細情報はどこで入手できますか?ユーザーと実行されたアクションを示すログが保持されていますか?
私の考え-情報を収集する目的は何ですか?あなたが次にどのようにそして何をするかは、あなたが起こりたいことと多くの関係があります。オプションの結果についての私の考えは次のとおりです。
Prosecute him-この時点で、彼は攻撃者であり、あなたの会社に明白な危害を加えています。あなたには法的措置を調査する権利があり、有害なことがまだ起こっていなくても、将来行動する権利を留保したいと思うかもしれません。この場合、これをデジタルフォレンジクスの領域と見なす必要があります。コンピュータ犯罪を起訴するには、証拠の強固な連鎖が必要であり、注意深い証拠収集が重要です。そのためには、経営陣、弁護士、専門の科学捜査チームの関与を開始します。 notマシンを台無しにします。まったく。可能であれば、ネットワークから切断し、別のハードウェアでクリーンな交換システムを構築するためのオプションについて確認してください。
彼がしたことから回復する-「何でも」は大きな領域です。すべてを手に入れることができない可能性があります。彼が1つのサーバーにアクセスできる場合、他のサーバーにアクセスできる可能性は十分にあります。また、彼がインフラストラクチャに精通している場合は、大まかな作業が必要になります。マシンのログファイルはあまり役に立たないと思います。誰かがバックアップし、従業員のアクセスコードのセット、作業の割り当て、責任範囲、およびアクセスできた場所とアクセスできなかった場所を確認する必要があります。これはsysadminレベルで発生する必要があります。インフラストラクチャでは、これらの穴を塞いでシステムを回復するために管理者レベルの権限が必要になることを願っています。
彼のアクセスをロックアウトします-わずかな妥協が疑われる場合でも、環境を再構築することをお勧めします。バックドアと穴はインサイダーがインストールするのに十分簡単なので、再構築することをお勧めします。
self Enlightenment-つまり、セキュリティへの影響すべてに関心があるわけではなく、技術に興味があるだけです-私は恐れています」 mすでに試した明らかなこと以上のことを伝えるには、Windows管理者が足りません。システム構成によっては、他のアクセスログが存在する場合があります。ログインに使用するリモートシステムは、VPNがある場合、アクセスログなどを含む情報を他の場所に記録する場合があります。ハイエンドセキュリティシステムには、整合性が追加されたオフラインバックアップがある場合があります。およびアクセス制御-ただし、システムがどのように構成されているかによって異なります。
余談ですが-支援を申し出たとしても恐喝ではありませんか?
あなたは濁った水にいます。 恐喝と恐喝-現代連邦法-公式、法律、裁判所、ホッブズ、ユナイテッド、州間高速道路
It is blackmail to demand or receive a valuable thing by offering not to inform against
anyone who has violated federal law (18 U.S.C. § 873).
そこから、あなたが使用した特定の言葉は、相互扶助の申し出がそのように解釈できるかどうかの要因になる可能性があります。
少なくとも私の会社では、私があなたのやり方で物事を処理した場合、私の上司はかなり腹を立てるでしょう。しかし、私は非常に厳格で明確なセキュリティポリシーを持つ会社で働いています。違反が疑われる場合、会社の一員としての私の仕事は、違反を修正するために十分な注意を払うことです会社によって-IT、法務、管理における指揮系統。元従業員に自分の個人ファイルへのアクセスを提供し、残されたセキュリティホールをクリーンアップすることは、私が工場エンジニアとして許可されていることの範囲をはるかに超えています。個人的には、私はこのようなもので多くのトレーニングを受けたので、余分な叩きつけを期待します、そして私は私が初心者または無知な非セキュリティオタクであると本当に主張することはできません。
とは言うものの、私は優れたセキュリティ慣行に多大な利害関係を持つ大企業で働いています。強力なセキュリティパラダイムを実施できないことは、侵害による情報や機能の潜在的な損失によるリスクであるだけでなく、セキュリティ侵害が公表されることになるでしょう。私たちの企業の評判を傷つけます。
あなたのマイレージは変わるかもしれません-あなたが目立たない小さなスタートアップで働いていて、セキュリティ業界ではないなら、あなたの会社はあなたがしたことで完全に大丈夫かもしれません。
いずれにせよ、私の最善のアドバイスは、あなたの直接の管理をできるだけ早く関与させることです。元従業員のセキュリティ違反の技術的状況を理解していなくても、これまでの状況への対処方法に(書面で)賛成または反対を示す必要があります。
彼がシステム管理者だった場合、彼は何かを変更する能力を持っていた可能性があるため、そのボックスに依存することはできなくなりました。
これをITチームまたはインシデント対応チームにエスカレーションする必要があります。被害は証拠を削除するだけではなく、機密性によってはボックスをワイプして再構築するのが賢明な予防策となる場合があります。
バックアップまたは監査ログがある場合、インシデント対応チームはそれらの保存を要求する必要があります。個人とのすべての電子メールなど、実行されたすべてのタイムラインをリストする必要があります。
インシデント対応チームはまた、法的な観点を検討するために適切な個人を関与させることができるはずです-調査を進める価値があるかもしれないし、そうでないかもしれませんが、それはビジネスコールであり、ITコールではありません。