IT 经理可能会离职,而且分手可能不是完全礼貌的。我并不认为会有任何恶意,但以防万一,我应该检查、更改或锁定什么?
例子:
- 管理员密码
- 无线密码
- VPN 访问规则
- 路由器/防火墙设置
答案1
显然需要解决物理安全问题,但在那之后......
假设您没有关于员工离职的记录程序(环境通用,因为您没有提及运行哪些平台):
- 从边界安全开始。更改所有边界设备(如路由器、防火墙、vpn 等)的密码...然后锁定 IT 经理拥有的所有帐户,并检查所有剩余帐户,看看是否有不再使用的帐户,以及是否有不属于该帐户的帐户(以防他添加了辅助帐户)。
- 电子邮件 - 根据您的公司政策删除他的帐户或至少禁用其登录。
- 然后检查主机安全。所有机器和目录服务都应禁用和/或删除他的帐户。(最好是删除,但您可能需要先审核它们,以防他正在运行任何有效的程序)。同样,还要检查不再使用的帐户以及不属于的帐户。禁用/删除这些帐户。如果您使用 ssh 密钥,则应在管理员/根帐户上更改它们。
- 如果有共享账户,则应全部更改密码。您还应考虑删除共享账户或禁用其交互式登录,这是常规做法。
- 应用程序帐户...不要忘记更改密码,或者从他有权访问的所有应用程序中禁用/删除帐户,从管理员访问帐户开始。
- 日志记录...确保您已建立良好的帐户使用日志记录机制,并密切监视以查找任何可疑活动。
- 备份... 确保您的备份是最新且安全的(最好是异地备份)。确保您已对帐户的备份系统执行了上述操作。
- 文件……尽可能地尝试识别,尽可能向他提出请求,并将他的所有文件复制到安全的地方。
- 如果您外包了任何服务(电子邮件、垃圾邮件过滤、任何类型的托管等),请确保执行与这些服务相关的所有上述操作。
当你做完这一切的时候,记录它,以便您为将来的终止制定相应的程序。
此外,如果您使用任何主机托管服务,请确保将他的名字从访问列表和票证提交列表中删除。对于他作为主要负责人处理的其他供应商,也应该采取同样的措施,这样他就不会取消或干扰您从这些供应商获得的服务,而且供应商也知道在续订、问题等情况下联系谁……当 IT 经理没有记录的事情发生时,这可以为您省去一些麻烦。
我确信我还遗漏了更多,但这些已经是我能想到的了。
答案2
不要忘记物理安全 - 确保他不能进入任何建筑物 - 掌握整个网络设备当然很好,但如果他能进入数据中心,那就毫无意义了。
答案3
我们怀疑一名仍处于通知期内的不满员工可能安装了一些远程访问程序,因此我们将他的登录帐户限制在工作时间,这样他就无法在没人在场的情况下在下班后进行远程访问(在工作时间,我们可以清楚地看到他的屏幕,所以如果他捣乱,我们就会知道)。
事实证明很有价值,他安装了 LogMeIn,并且确实尝试了下班后访问。
(这是一个小型公司网络,没有 ACL 或花哨的防火墙)
答案4
补充一下——还要确保你已经审计了失败的和成功登录 - 一个帐户多次失败后再成功登录可能等同于黑客攻击。如果 IT 经理参与了密码设置,您可能还会让其他人也更改密码。不要忘记数据库密码,您可能希望清理他/她的电子邮件帐户以获取安全信息。我还会对任何机密信息/数据库进行访问检查,并禁止他/她执行系统/数据库备份。
希望这可以帮助。