离开技术人员时该怎么办

驳回时,您如何看待解雇过程 / 是首选还是技术人员? 您是否有需要做些什么来确保连续运行 / 基础设施安全公司?

我正在努力制作一个良好的规范列表,即我离开的同事应该做的事情 (我一周前退出,所以我有一个月才能完成 GTFO).

我有:

陪伴他们走出房间

删除他们的邮箱 (自定义所有邮件的货物以收到所有邮件)

删除他们的钥匙 SSH 到服务器 (兄弟)

删除他们的用户帐户 mysql

...

下一个是什么。 我忘了提到或有用的是什么?

(注意:为什么不在主题上? 我是一个系统管理员,这涉及业务的持续安全性,绝对是主题。)
已邀请:

风见雨下

赞同来自:

我建议创建一个新系统管理员加入公司时所做的清单 (您需要添加它们的系统,他们的帐户必须包含的组等。), 并包括技术和身体素 - 例如,物理密钥和报警代码不如键和密码重要。 SSH.

请务必更新此列表。 - 我知道它比做更容易。但它简化了向公司进入新团队成员的过程及其重新处理。您现在仍然可以这样做,并至少从其使用中使用某种用途来帮助外向人。我提到清单的原因是,我们都倾向于在我们的舒适领域中思考,否则你可以错过不同的东西,具体取决于谁的流程护理。例如:“建筑安全经理”或“办公室经理”将更多地思考门键而不是钥匙 SSH, 它专家将是完全相反的,最终拒绝进入系统,同时留下了在晚上进入建筑物的机会。

然后浏览他们的清单,当他们离开时,用它作为需要取消的清单。 / 返回。 如果他们是专业人士,您所有的IT团队都应该与这种情况有关,因为类似于这一点的商定的过程使他们免受前雇主免受前雇主的不合理内疚。

不要忘记这些事情作为访问远程数据处理中心或对第三方备份数据存储的物理访问。

风见雨下

赞同来自:

我惊讶于之前没有人提到过,但是 ...

如果你的网络 WiFi 用途 WPA 或者 (我希望不是) WEP, 不要连接到服务器 Radius, 您可以考虑更改此密钥。

这是一个巨大的门左转,如果你是网络管理员,那么你的钥匙很高的概率 ... 想象一下,如何从停车场返回到网络或类似的东西 .

二哥

赞同来自:

想到的其他事情:

物理安全 - 拿起钥匙 / 访问标签 / 标签 vpn / 笔记本电脑

删除手机 / 黑莓

消除 / 禁用它们对外部服务的所有帐户。 / 遗址

阻止他们的用户帐户

更改他们可能知道的任何常见密码 (我很欣赏你不应该有公共密码)

禁用账户 VPN

确保所有错误 / 应用程序 / 问题等。D.在任何跟踪系统中重新分配

冰洋

赞同来自:

从系统中删除它们 nagios / paging

删除它们 sudo (以防万一)

通知数据处理中心

禁用 / 取消任何系统 vpn 在办公室网络中

禁用任何Web应用程序 / apache confs / IP地址刚性编程的防火墙

快网

赞同来自:

如果某种SYSADMIN离开公司,我们会更改用户的所有密码 (而不是每月密码更改). 我们有 ldap 和 radius, 所以这不是很困难。 然后我们查看他工作的系统以及创建的文件 / 改为他们。 如果在其工作场所存在重要数据,我们会净化它们或存档。

我们对拥有用户的所有服务的访问都有审核。 如果未知用户使用服务,则至少在识别段落之前阻止它。

其余系统将在一周内准备; 其中大部分都被设计为开发,不包含有价值的信息,并且通过重新安装定期清洁它们。

莫问

赞同来自:

这个主题有很多好的想法。 ... 还有一些需要考虑的事情:

我同意更改密码或禁用具有有限期间的用户帐户,而不是删除它们。 (至少在初始阶段), 但是,检查并查看用户帐户是否用于启动服务可能是一个好主意 / 采取行动前计划任务。 它在环境中可能更重要 Windows / AD, 而不是 U

如果员工快速或在理想情况下触发,则可能难以满足以下一些项目; 但这可能很重要 (特别是在那些刚刚发生的时刻 2 在晚上)

转移知识 - 虽然我们都支持我们所有的文档最新 (khm,洗牌腿), 使用计时器调度时间可能是有用的,并使用另一个管理员进行一些问题和答案或逐步逐步指令。 如果您有很多定制软件或复杂的环境,请问问题并将一对一拨入一个人真正有助于。

以及此密码。 我希望每个人都使用任何类型的加密帐户存储 / 密码 (KeePass / PassSafe 等等。). 如果是这样,它应该很简单 - 获取文件的副本和键。 如果不是,是时候抛出脑。

奔跑吧少年

赞同来自:

首先更改网络周边的所有密码。 它可以用于从家中输入您的网络的任何帐户 (或从停车场 WiFi), 必须立即更改。

路由器和防火墙的远程管理密码?

账户 VPN? 关于管理员帐户呢? VPN?

加密 WiFi?

基于浏览器的电子邮件 (OWA)?

一旦他们被覆盖,就在里面移动。

风见雨下

赞同来自:

您需要检查以清理的其他事情:

如果他们有一个静态的IP地址,标记为负担得起

如果可能,删除 / 清洁任何用户记录 DNS

从员工的任何目录中删除

手机

从服务器或服务发送的任何自动报告中删除电子邮件地址

如果您正在进行设备库存 / 软件,标记设备和软件的许可证 (它真的取决于你如何管理这些东西).

知食

赞同来自:

尝试所有密码更改将在“离开网络”之间发生 (在返回工作的笔记本电脑之后,也许会议室的产出访谈) “退出仍然与设备单独。” 这急剧降低了堕落将跟踪新凭据的可能性。 (但是智能手机等他仍然不等于零).

龙天

赞同来自:

上面的所有答案都非常好。 作为信息安全领域的练习专家 (IT-审计员), 你应该考虑更多的分数:

删除特权管理权限,例如域管理员,如果您使用 Active Directory.

删除它们可以拥有的数据库的首选角色 (例如, db_owner)

通知外部客户可以撤销完成的用户可以访问访问权限。

如果它们除域访问之外,请删除本地计算机帐户

要回复问题请先登录注册