기술 직원이 떠날 때 취할 조치

특권 또는 기술 담당자가 사직 / 해고 될 때 출국 절차를 어떻게 처리합니까? 회사 인프라의 지속적인 운영 / 보안을 보장하기 위해 수행해야 할 점검 목록이 있습니까?

나는 떠날 때 동료들이해야 할 훌륭한 정식 목록을 만들려고 노력하고 있습니다 (1 주일 전에 사임했습니다.

지금까지 나는 가지고있다 :

1. 구내에서 에스코트
2. 이메일받은 편지함 삭제 (모든 메일을 포괄으로 전달하도록 설정)
3. 서버에서 SSH 키 삭제

4. mysql 사용자 계정 삭제

   ...

그래서 다음은 무엇입니까. 내가 무엇을 언급하지 않았거나 비슷하게 유용 할 수 있습니까?

(미주 :이 주제가 다른 이유는 무엇입니까? 저는 시스템 관리자입니다. 이것은 지속적인 비즈니스 보안과 관련이 있습니다. 이는 분명히 주제입니다.)

새로운 sysadmin이 회사에 합류 할 때 (시스템을 추가해야하는 시스템, 계정이 들어가야하는 그룹 등) 수행 할 체크리스트를 생성하고 기술적 및 물리적 인 것 (예 : 물리적 키 및 경보)을 포함하는 것이 좋습니다. 코드는 SSH 키 및 비밀번호만큼 중요합니다.

이 목록을 최신 상태로 유지하십시오-말한 것보다 쉽습니다. 그러나 새로운 팀 구성원을 회사로 처리하고 다시 처리하는 것이 더 쉬워졌습니다. 지금도이 작업을 수행 할 수 있으며 떠나는 사람을 돕기 위해이 기능을 사용하는 이점을 얻을 수 있습니다. 내가 체크리스트를 언급하는 이유는 우리 모두 자신의 안락한 영역에서 생각하는 경향이 있고 누가 휴가를 처리하고 있는지에 따라 다른 것들이 다르게 누락 될 수 있기 때문입니다. 예를 들어 : "빌딩 보안 관리자"또는 "사무실 관리자"는 SSH 키보다 도어 키에 대해 더 많이 생각할 것이며 IT 담당자는 정반대이며 시스템에 대한 액세스를 취소하면서도 밤에 건물 안으로 들어 오십시오.

그런 다음 떠나면 체크리스트를 살펴보고 실행 취소 / 반품 할 체크리스트로 사용합니다. 이와 같은 합의 된 프로세스를 통해 고용주를 보호하는 것만 큼 이전 고용주로부터의 보증되지 않은 비난으로부터 보호하는 것처럼 모든 IT 팀은 이에 대해 열정적이어야합니다.

원격 데이터 센터 액세스 또는 타사 백업 데이터 저장소에 대한 물리적 액세스와 같은 것을 잊지 마십시오.

나는 아무도 전에 언급하지 않았지만 ...

WiFi 네트워크에서 Radius 서버를 누르는 대신 WPA 또는 WEP를 사용하지 않는 경우 해당 키를 변경하는 것이 좋습니다.

네트워크 관리자라면 문을 열어 놓을 수 있습니다. 주차장이나 자연에서 무언가를 네트워크로 되 돌리는 것이 얼마나 쉬운 지 상상해보십시오. .

떠오르는 다른 것들 :

• 물리적 보안-키 / 액세스 태그 / VPN 태그 / 노트북 제거
• 전화 / 블랙 베리를 빼앗아
• 외부 서비스 / 사이트에있는 모든 계정 제거 / 비활성화
• 사용자 계정을 잠그십시오
• 그들이 알고있는 공유 암호를 변경하십시오 (공유 암호가 없어야합니다)
• VPN 계정 비활성화
• 모든 추적 시스템의 모든 버그 / 티켓 / 문제 등이 재 할당되도록합니다.

• nagios / paging 시스템에서 분리하십시오
• 만일의 경우에 대비하여 그들의 sudo를 제거하십시오
• 데이터 센터에 알려주십시오
• 사무실 네트워크에 VPN 시스템 비활성화 / 해지
• IP 주소가 하드 코딩 된 웹 응용 프로그램 / 아파치 confs / 방화벽 비활성화

일부 sysadmin이 회사를 떠나면 월별 비밀번호 변경 대신 사용자의 모든 비밀번호가 변경됩니다. 우리는 ldap과 반지름을 가지고 있기 때문에 그리 어렵지 않습니다. 그리고 우리는 그가 작업하고있는 시스템과 그에 의해 생성 / 수정 된 파일을 살펴 봅니다. 그의 워크 스테이션에 중요한 데이터가 있으면이를 정리하거나 보관합니다.

사용자가있는 모든 서비스에 대한 액세스 감사가 있습니다. 알 수없는 사용자가 서비스를 사용하는 경우 적어도 식별이 통과 될 때까지 서비스를 차단합니다.

다른 시스템은 일주일 내에 청소됩니다. 대부분은 개발 용이며 중요한 정보가 없으며 정기적으로 재설치하여 정리합니다.

이 글의 많은 좋은 아이디어들 ... 고려해야 할 몇 가지 다른 것들 :

비밀번호를 변경하거나 기간이 만료 된 사용자 계정을 삭제하는 것 (최소한 초기에)에 동의하지만 조치를 취하기 전에 사용자 계정이 서비스 / 예약 된 작업을 실행하는 데 사용되고 있는지 확인하는 것이 좋습니다. 이것은 아마도 U보다 Windows / AD 환경에서 더 중요 할 것입니다

직원이 신속하게 또는 이상적인 상황에서 벗어나면 다음 항목 중 일부는 수행하기 어려울 수 있습니다. 그러나 이것들은 중요 할 수 있습니다 (특히 새벽 2시에 WTH는 방금 일어난 순간)

지식 이전-모든 문서를 모두 최신 상태로 유지하지만 (단, 발을 뒤섞음) 단시간 타이머를 사용하여 시간을 예약하고 다른 관리자와 질문 및 답변을하는 것이 좋습니다. 실행중인 사용자 정의 소프트웨어가 많거나 복잡한 환경 인 경우 질문을하고 일대일로 시간을 얻는 것이 실제로 도움이 될 수 있습니다.

그와 함께 암호가 사용됩니다. 모든 사람들이 암호화 된 계정 / 암호 저장 장치 (KeePass / PassSafe 등)를 사용하고 있기를 바랍니다. 이 경우 파일을 쉽게 복사 할 수 있습니다. 파일과 키를 복사하십시오. 그렇지 않다면, 뇌 덤핑을위한 시간이다.

네트워크의 모든 "경계"암호를 변경하여 시작하십시오. 가정 (또는 WiFi가있는 주차장)에서 네트워크에 접속하는 데 사용할 수있는 계정은 즉시 변경해야합니다.

• 라우터 및 방화벽의 원격 관리 비밀번호?
• VPN 계정? VPN의 관리자 계정은 어떻습니까?
• WiFi 암호화?
• 브라우저 기반 이메일 (OWA)?

이것들이 다루어지면 안쪽으로 가십시오.

정리하기 위해 확인할 사항 :

• 고정 IP 주소가있는 경우 사용 가능한 것으로 표시
• 가능하면 모든 사용자 지정 DNS 레코드를 제거 / 정리
• 모든 종류의 직원 디렉토리에서 제거
• 전화
• 서버 또는 서비스에서 전송하는 모든 종류의 자동 보고서에서 전자 메일 주소를 제거합니다.
• 하드웨어 / 소프트웨어 인벤토리를 유지하는 경우 하드웨어 및 소프트웨어 라이센스를 사용 가능한 것으로 표시하십시오 (이것은 실제로 관리하는 방법에 따라 다릅니다).

모든 암호 변경은 '네트워크에서 분리 된 보관함'(작업용 랩톱을 반환 한 후 회의실에서 나가는 인터뷰 일 수 있음)과 '기기가 소유 한 기기에 남겨 두었습니다'사이에 발생해야합니다. 이렇게하면 탈퇴자가 새로운 자격 증명을 스누핑 할 가능성이 크게 줄어 듭니다 (그러나 스마트 폰 등에서는 여전히 null이 아닙니다).

위의 답변은 모두 매우 좋습니다. InfoSec 직업 (IT 감사원)의 실무 전문가로서 다음 사항을 고려해야합니다.

1. Active Directory를 사용하는 경우 도메인 관리자와 같은 권한있는 관리 권한 제거

2. 보유한 권한있는 데이터베이스 역할을 제거하십시오 (예 : db_owner)

3. 액세스 권한을 취소 할 수 있도록 종료 된 사용자에게 액세스 권한이 있었음을 외부 클라이언트에 알립니다.

4. 도메인 액세스 외에 로컬 컴퓨터 계정이있는 경우 제거