web-dev-qa-db-ja.com

技術スタッフが去るときに取るべきステップ

特権スタッフまたは技術スタッフが辞任/解雇された場合、出発プロセスをどのように処理しますか?会社のインフラストラクチャの継続的な運用/セキュリティを確保するために行うべきことのチェックリストはありますか?

私は、同僚が去るときにすべきことの素晴らしい標準的なリストを考え出そうとしています(私は一週間前に辞任したので、片付けとGTFOに1か月かかります)。

これまでのところ私は持っています:

  1. 敷地外にエスコートする
  2. メールの受信トレイを削除します(すべてのメールをキャッチオールに転送するように設定します)
  3. サーバー上のSSHキーを削除します
  4. Mysqlユーザーアカウントを削除する

    .。

それでは、次はどうでしょう。私が言及するのを忘れた、または同様に役立つかもしれないものは何ですか?

(注:これがトピックから外れているのはなぜですか?私はシステム管理者です。これは継続的なビジネスセキュリティに関係します。これは間違いなくトピックです。)

20
Tom O'Connor

新しいシステム管理者が会社に加わったときに行うこと(システムを追加する必要があるシステム、アカウントが参加する必要があるグループなど)のチェックリストを作成し、技術的事項と物理的事項の両方を含めることをお勧めします。物理キーとアラームコードは、SSHキーとパスワードと同じくらい重要です。

このリストを最新の状態に保つようにしてください-言うのは簡単です、私は知っています。ただし、新しいチームメンバーを会社に処理することも、再度処理することも簡単になります。あなたは今でもこれを行うことができ、それを使用して退去する人を助けることの少なくともいくつかの利益を得ることができます。私がチェックリストに言及する理由は、私たち全員が自分の快適さの領域で考える傾向があり、それ以外の場合は、誰が脱退者を処理しているかによって、さまざまなことを見逃す可能性があるためです。たとえば、「ビルのセキュリティマネージャー」または「オフィスマネージャー」はSSHキーよりもドアキーについて考え、IT担当者は正反対になり、システムへのアクセスを取り消すことができます。夜に建物に入る。

次に、彼らが去ったときにチェックリストを確認し、元に戻す/戻すためのチェックリストとして使用します。すべてのITチームは、このような合意されたプロセスを持つことで、雇用主を保護するのと同じように、元雇用主からの不当な非難から保護するため、専門家であれば、これに熱心に取り組む必要があります。

リモートデータセンターへのアクセスや、サードパーティのバックアップデータリポジトリへの物理アクセスなどを忘れないでください。

7
Rob Moir

これまで誰もそのことを言っていなかったのには驚きましたが...

WiFiネットワークがRadiusサーバーをタップするのではなくWPAまたは(私はそうしないことを望みます)WEPを使用する場合は、そのキーの変更を検討することをお勧めします。

それは開いたままの巨大なドアです。ネットワーク管理者であれば、その鍵を暗記している可能性がかなり高いでしょう...駐車場やそのような性質のものからネットワークに戻るのがどれほど簡単か想像してみてください。

6
Alex

思い浮かぶ他のこと:

  • 物理的セキュリティ-キー/アクセスタグ/ VPNタグ/ラップトップを持ち去る
  • 電話/ブラックベリーを持ち帰る
  • 外部サービス/サイトにあるアカウントを削除/無効化する
  • ユーザーアカウントをロックする
  • 彼らが知っている可能性のある共有パスワードを変更します(共有パスワードを使用しないでください)
  • VPNアカウントを無効にする
  • 追跡システムのすべてのバグ/チケット/問題などが再割り当てされていることを確認します
5
jamespo
  • それらをnagios /ページングシステムから外します
  • Sudoを削除する(念のため)
  • データセンターに伝える
  • オフィスネットワークへのVPNシステムを無効化/取り消します
  • IPアドレスがハードコードされているWebアプリケーション/ Apacheconfs/firewallsを無効にします
4
Rory

一部のシステム管理者が会社を辞めた場合、ユーザーのすべてのパスワードを変更します(毎月のパスワード変更ではありません)。 LDAPとRADIUSがあるので、それほど難しくはありません。次に、彼が取り組んでいたシステムと、彼によって作成/変更されたファイルを調べます。彼のワークステーションに重要なデータがある場合は、それをクリーニングまたはアーカイブします。

ユーザーがいるすべてのサービスのアクセス監査があります。サービスを使用している不明なユーザーがいる場合、少なくともIDが渡されるまで、そのユーザーをブロックします。

他のシステムは1週間で掃除されます。ほとんどは開発目的であり、貴重な情報はなく、再インストールによって定期的にクリーニングされます。

2
MealstroM

すべてのパスワード変更が「ネットワークから分離されたリーバー」(おそらく、仕事用のラップトップが返却された後の会議室での出口インタビュー)と「リーバーが自分のデバイスに残されている」の間で発生することを確認してください。これにより、リーバーが新しい資格情報をスヌープする可能性が大幅に減少します(ただし、スマートフォンなどでは、nullのままです)。

1
Vatine

ネットワークのすべての「境界」パスワードを変更することから始めます。彼が自宅(またはWiFiを備えた駐車場)からネットワークにアクセスするために使用できるアカウントは、すぐに変更する必要があります。

  • ルーターとファイアウォールのリモート管理パスワード?
  • VPNアカウント? VPNの管理者アカウントはどうですか?
  • WiFi暗号化?
  • ブラウザベースの電子メール(OWA)?

これらがカバーされたら、内側に向かって作業します。

1
myron-semack

物事を片付けるためだけにチェックする他の事柄:

  • 静的IPアドレスがある場合は、使用可能としてマーク
  • 可能であれば、カスタムDNSレコードを削除/クリーンアップします
  • あらゆる種類の従業員ディレクトリから削除する
  • 電話
  • サーバーまたはサービスによって送信されているあらゆる種類の自動レポートからメールアドレスを削除する
  • ハードウェア/ソフトウェアのインベントリを保持している場合は、ハードウェアとソフトウェアのライセンスを使用可能としてマークします(これは実際にはこれらを管理する方法によって異なります)。
1
Safado

上記の答えはすべてとても良いです。 InfoSec専門職(IT監査人)の実務専門家として、考慮すべき他のいくつかのポイント:

  1. Active Directoryを使用している場合は、ドメイン管理者などの特権管理者権限を削除します

  2. 彼らが持っているかもしれない特権データベースロールを削除します(例:db_owner)

  3. 終了したユーザーがアクセス権を持っていた可能性があることを外部クライアントに通知して、アクセス権限を取り消すことができるようにします。

  4. ドメインへのアクセスに加えてローカルマシンアカウントがある場合は、それらを削除します。

0
Anthony