Récemment, notre administrateur de réseau et de serveur a été laissé partir. Nous sommes une petite organisation et elle était seule à s'occuper des serveurs Windows et Mac. Nous avons essayé de sécuriser le réseau en modifiant le mot de passe du pare-feu et en désactivant son compte Windows.
Ma question ici concerne davantage la sécurisation de notre serveur Mac. Elle a construit le serveur Mac sur un Mac Mini sous OS X 10.11 et nous l'utilisons pour inscrire des périphériques Mac et des applications Push via le gestionnaire de profil.
Le problème est que je n’ai jamais utilisé de Mac auparavant et que je n’ai aucune expérience en matière de gestion ou d’administration de serveur. J'ai essayé de sécuriser le serveur Mac en changeant le mot de passe de son compte, qu'elle a indiqué avant de partir. Je ne veux pas désactiver son compte sur mac mini, car nous avons des tas de mots de passe enregistrés dans son trousseau que nous ne connaissons pas et nous utilisons actuellement les mots de passe enregistrés.
Quelqu'un pourrait-il me dire comment nous pouvons sécuriser notre serveur Mac au cas où elle ferait une tentative de sabotage puisqu'elle pourrait toujours accéder à notre serveur via iCloud et l'effacer à distance.
la source
Réponses:
Il y a essentiellement deux choses que vous devez faire pour protéger votre Mac d'un employé (involontairement) séparé:
C'est une approche qui se chevauche car aucun des deux n'est infaillible. Toutefois, si vous supprimez le plus grand nombre de chemins d'accès de l'extérieur de l'organisation, tout ce qui manque sera couvert par les informations d'identification du compte modifiées. et vice versa.
Sécurisé de l'extérieur
Il semble que vous ayez les informations d'identification d'administrateur requises pour changer / verrouiller son compte et pour accéder au pare-feu. Donc, ce que vous devez vérifier est:
Changer tous les mots de passe
Celui-ci se résume à comment "malveillant" vous pensez que cette personne est ou peut être. Vous avez désactivé sa mot de passe, mais avait-elle d'autres comptes ou connaissait-elle les mots de passe d'autres personnes?
Je rencontre souvent ce scénario, les clients des petites entreprises ont tendance à faire des choses pour lesquelles les grandes entreprises ont des politiques. Par exemple, une personne peut avoir un problème avec son appareil et au lieu de se connecter, elle apportera son ordinateur portable et lorsque l'administrateur de l'ordinateur lui demandera le mot de passe, il le notera.
Cela se produit parce que la confiance dans une petite organisation est plus grande. Ce n'est généralement pas un problème jusqu'à ce que vous deviez renvoyer l'administrateur de l'ordinateur. Ce n'est qu'un exemple.
Si vous pensez que la personne est suffisamment malveillante pour faire quelque chose, changez tous les mots de passe.
Enfin, en tant que personne qui fait cela pour gagner sa vie, je ne peux pas vous dire à quel point il est important de faire appel à un consultant externe qui peut vous aider à atténuer ces risques. Il s’agit d’une tierce partie, personne impartiale (entreprise) qui a un intérêt financier dans la sécurisation de vos actifs informatiques aura (et devrait) le même accès que vos administrateurs. De cette façon, si quelque chose se passait, vous pouvez appeler une personne qui connaît votre réseau et qui possède l'expertise pour vous permettre de continuer à fonctionner.
Mieux encore, un contrat signé (SLA - Service Level Agreement) entre vous et un fournisseur est une chose merveilleuse pour l'utilisateur final; ils résistent très bien devant les tribunaux.
la source
At-elle utilisé un compte iCloud enregistré auprès de votre entreprise ou personnellement? Les comptes d'administrateur nécessitant une adresse électronique à configurer (comme iCloud) doivent utiliser une adresse d'entreprise telle que "[email protected]" et non une adresse liée à un utilisateur spécifique. Cela signifie que lorsque l'utilisateur partira, un remplaçant pourra utiliser le même compte sans avoir à tout réenregistrer. Un e-mail d'entreprise doit également être utilisé comme e-mail de contact de récupération. Ainsi, un administrateur partant dans des conditions non optimales ne peut pas restaurer de manière malveillante son accès ou réinitialiser ses mots de passe (ou, avec iCloud, effacer à distance un système!). Même dans mon cas d'utilisation (où les emails "admin" servent à contrôler l'accès à des ordinateurs partagés dans un laboratoire, ou à l'administration Web pour un petit groupe à but non lucratif), aucun email personnel n'est utilisé pour les enregistrements - tout est géré par un compte dédié liés au groupe.
Vous devez également investir dans un gestionnaire de mot de passe, autre que Keychain, doté d'un mot de passe principal connu du responsable informatique et des cadres supérieurs, afin de ne pas perdre l'accès au cours de la rotation du personnel. Extrayez les mots de passe du trousseau et copiez-les dans le gestionnaire de mots de passe. Utilisez quelque chose comme 1Password qui peut stocker l’archive de mots de passe sur le réseau local, pas seulement dans le nuage.
la source
La chose la plus sûre à faire serait de déconnecter complètement cet utilisateur d'iCloud ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )
Assurez-vous de choisir "Conserver sur Mac" lorsqu'il vous demande si vous souhaitez conserver les données des différentes fonctionnalités des comptes iCloud.
la source
Profile Manager a besoin d'un identifiant Apple pour transmettre les profils aux périphériques. Vous devez donc accéder à l'application Serveur et configurer ce dernier avec un identifiant Apple différent (les conseils de Dr. Nixon seront utiles ici) en accédant à l'onglet Paramètres du premier. volet qui s’affiche (celui nommé pour votre serveur). Recherchez la case à cocher "Notification Apple Push", puis sélectionnez le bouton "Modifier l'identifiant Apple".
Cela devrait permettre à Profile Manager de continuer à travailler. Les applications restent achetées, vous pouvez donc les utiliser, mais elles ne peuvent pas être mises à jour sans l'identifiant Apple.
Le mot de passe de l'administrateur du répertoire (pour Open Directory, qui a été configuré dans le gestionnaire de profils) pourrait être un problème plus délicat. Comme Allan l'a dit, votre meilleur pari est d'engager une personne expérimentée pour nettoyer la situation.
la source