特権スタッフまたは技術スタッフが辞任/解雇された場合、出発プロセスをどのように処理しますか?会社のインフラストラクチャの継続的な運用/セキュリティを確保するために行うべきことのチェックリストはありますか?
私は、同僚が去るときにすべきことの素晴らしい標準的なリストを考え出そうとしています(私は一週間前に辞任したので、片付けとGTFOに1か月かかります)。
これまでのところ私は持っています:
Mysqlユーザーアカウントを削除する
.。
それでは、次はどうでしょう。私が言及するのを忘れた、または同様に役立つかもしれないものは何ですか?
(注:これがトピックから外れているのはなぜですか?私はシステム管理者です。これは継続的なビジネスセキュリティに関係します。これは間違いなくトピックです。)
新しいシステム管理者が会社に加わったときに行うこと(システムを追加する必要があるシステム、アカウントが参加する必要があるグループなど)のチェックリストを作成し、技術的事項と物理的事項の両方を含めることをお勧めします。物理キーとアラームコードは、SSHキーとパスワードと同じくらい重要です。
このリストを最新の状態に保つようにしてください-言うのは簡単です、私は知っています。ただし、新しいチームメンバーを会社に処理することも、再度処理することも簡単になります。あなたは今でもこれを行うことができ、それを使用して退去する人を助けることの少なくともいくつかの利益を得ることができます。私がチェックリストに言及する理由は、私たち全員が自分の快適さの領域で考える傾向があり、それ以外の場合は、誰が脱退者を処理しているかによって、さまざまなことを見逃す可能性があるためです。たとえば、「ビルのセキュリティマネージャー」または「オフィスマネージャー」はSSHキーよりもドアキーについて考え、IT担当者は正反対になり、システムへのアクセスを取り消すことができます。夜に建物に入る。
次に、彼らが去ったときにチェックリストを確認し、元に戻す/戻すためのチェックリストとして使用します。すべてのITチームは、このような合意されたプロセスを持つことで、雇用主を保護するのと同じように、元雇用主からの不当な非難から保護するため、専門家であれば、これに熱心に取り組む必要があります。
リモートデータセンターへのアクセスや、サードパーティのバックアップデータリポジトリへの物理アクセスなどを忘れないでください。
これまで誰もそのことを言っていなかったのには驚きましたが...
WiFiネットワークがRadiusサーバーをタップするのではなくWPAまたは(私はそうしないことを望みます)WEPを使用する場合は、そのキーの変更を検討することをお勧めします。
それは開いたままの巨大なドアです。ネットワーク管理者であれば、その鍵を暗記している可能性がかなり高いでしょう...駐車場やそのような性質のものからネットワークに戻るのがどれほど簡単か想像してみてください。
思い浮かぶ他のこと:
一部のシステム管理者が会社を辞めた場合、ユーザーのすべてのパスワードを変更します(毎月のパスワード変更ではありません)。 LDAPとRADIUSがあるので、それほど難しくはありません。次に、彼が取り組んでいたシステムと、彼によって作成/変更されたファイルを調べます。彼のワークステーションに重要なデータがある場合は、それをクリーニングまたはアーカイブします。
ユーザーがいるすべてのサービスのアクセス監査があります。サービスを使用している不明なユーザーがいる場合、少なくともIDが渡されるまで、そのユーザーをブロックします。
他のシステムは1週間で掃除されます。ほとんどは開発目的であり、貴重な情報はなく、再インストールによって定期的にクリーニングされます。
すべてのパスワード変更が「ネットワークから分離されたリーバー」(おそらく、仕事用のラップトップが返却された後の会議室での出口インタビュー)と「リーバーが自分のデバイスに残されている」の間で発生することを確認してください。これにより、リーバーが新しい資格情報をスヌープする可能性が大幅に減少します(ただし、スマートフォンなどでは、nullのままです)。
ネットワークのすべての「境界」パスワードを変更することから始めます。彼が自宅(またはWiFiを備えた駐車場)からネットワークにアクセスするために使用できるアカウントは、すぐに変更する必要があります。
これらがカバーされたら、内側に向かって作業します。
物事を片付けるためだけにチェックする他の事柄:
上記の答えはすべてとても良いです。 InfoSec専門職(IT監査人)の実務専門家として、考慮すべき他のいくつかのポイント:
Active Directoryを使用している場合は、ドメイン管理者などの特権管理者権限を削除します
彼らが持っているかもしれない特権データベースロールを削除します(例:db_owner)
終了したユーザーがアクセス権を持っていた可能性があることを外部クライアントに通知して、アクセス権限を取り消すことができるようにします。
ドメインへのアクセスに加えてローカルマシンアカウントがある場合は、それらを削除します。