Sécurisation du serveur Mac après le congédiement de l'administrateur du serveur

1

Récemment, notre administrateur de réseau et de serveur a été laissé partir. Nous sommes une petite organisation et elle était seule à s'occuper des serveurs Windows et Mac. Nous avons essayé de sécuriser le réseau en modifiant le mot de passe du pare-feu et en désactivant son compte Windows.

Ma question ici concerne davantage la sécurisation de notre serveur Mac. Elle a construit le serveur Mac sur un Mac Mini sous OS X 10.11 et nous l'utilisons pour inscrire des périphériques Mac et des applications Push via le gestionnaire de profil.

Le problème est que je n’ai jamais utilisé de Mac auparavant et que je n’ai aucune expérience en matière de gestion ou d’administration de serveur. J'ai essayé de sécuriser le serveur Mac en changeant le mot de passe de son compte, qu'elle a indiqué avant de partir. Je ne veux pas désactiver son compte sur mac mini, car nous avons des tas de mots de passe enregistrés dans son trousseau que nous ne connaissons pas et nous utilisons actuellement les mots de passe enregistrés.

Quelqu'un pourrait-il me dire comment nous pouvons sécuriser notre serveur Mac au cas où elle ferait une tentative de sabotage puisqu'elle pourrait toujours accéder à notre serveur via iCloud et l'effacer à distance.

DickDale
la source
D'après ce que vous supposez qu'elle peut toujours accéder au serveur à distance via iCoud / Find My Mac?
nohillside
2
Si vous voulez vraiment être en sécurité, la seule option est de réinstaller le serveur à partir de zéro. En relation: serverfault.com/questions/171893/…
André Borie

Réponses:

3

Il y a essentiellement deux choses que vous devez faire pour protéger votre Mac d'un employé (involontairement) séparé:

  1. Sécurisé de l'extérieur
  2. Changer tous les mots de passe

C'est une approche qui se chevauche car aucun des deux n'est infaillible. Toutefois, si vous supprimez le plus grand nombre de chemins d'accès de l'extérieur de l'organisation, tout ce qui manque sera couvert par les informations d'identification du compte modifiées. et vice versa.

Sécurisé de l'extérieur

Il semble que vous ayez les informations d'identification d'administrateur requises pour changer / verrouiller son compte et pour accéder au pare-feu. Donc, ce que vous devez vérifier est:

  • iCloud et AppleID. Obtenez ces changé tout de suite.
  • Tous les ports ouverts sur le pare-feu, tels que SSH et VNC. Vous n'avez pas besoin d'un mot de passe pour cela, car elle peut "tunnel" directement. (Vous voudrez également fermer Windows RDP (Remote Desktop, port 3389) puisque vous avez dit que vous aviez des serveurs Windows.
  • Désactivez SSH et VNC sur le Mac Mini jusqu'à ce que tout soit verrouillé.
  • Le logiciel de contrôle à distance doit être supprimé / désactivé (TeamViewer, GoToMyPC, LogMeIn, etc.)

Changer tous les mots de passe

Celui-ci se résume à comment "malveillant" vous pensez que cette personne est ou peut être. Vous avez désactivé sa mot de passe, mais avait-elle d'autres comptes ou connaissait-elle les mots de passe d'autres personnes?

Je rencontre souvent ce scénario, les clients des petites entreprises ont tendance à faire des choses pour lesquelles les grandes entreprises ont des politiques. Par exemple, une personne peut avoir un problème avec son appareil et au lieu de se connecter, elle apportera son ordinateur portable et lorsque l'administrateur de l'ordinateur lui demandera le mot de passe, il le notera.

Cela se produit parce que la confiance dans une petite organisation est plus grande. Ce n'est généralement pas un problème jusqu'à ce que vous deviez renvoyer l'administrateur de l'ordinateur. Ce n'est qu'un exemple.

Si vous pensez que la personne est suffisamment malveillante pour faire quelque chose, changez tous les mots de passe.

Enfin, en tant que personne qui fait cela pour gagner sa vie, je ne peux pas vous dire à quel point il est important de faire appel à un consultant externe qui peut vous aider à atténuer ces risques. Il s’agit d’une tierce partie, personne impartiale (entreprise) qui a un intérêt financier dans la sécurisation de vos actifs informatiques aura (et devrait) le même accès que vos administrateurs. De cette façon, si quelque chose se passait, vous pouvez appeler une personne qui connaît votre réseau et qui possède l'expertise pour vous permettre de continuer à fonctionner.

Mieux encore, un contrat signé (SLA - Service Level Agreement) entre vous et un fournisseur est une chose merveilleuse pour l'utilisateur final; ils résistent très bien devant les tribunaux.

Allan
la source
Merci beaucoup à tous pour vos conseils. Elle a utilisé son adresse électronique personnelle comme identifiant Apple. Maintenant, je peux la déconnecter et me connecter moi-même, mais le problème, ce sont les applications qu'elle a configurées, telles que les applications serveur, etc. Est-il possible de me connecter à l'aide de mon identifiant Apple mais les applications ne sont pas perturbées et je continue à utiliser le serveur existant sans reconstruire. Merci
DickDale
Vous pouvez modifier l'adresse e-mail associée à un identifiant Apple, mais vous ne pouvez pas modifier l'identifiant Apple déplacer les applications d'un ID à l'autre . Pouvez-vous vous connecter à son identifiant Apple? Si vous le pouvez, je le ferais, changez l'adresse e-mail du compte et le mot de passe. Jusqu'à ce que vous puissiez configurer un nouvel identifiant Apple et racheter toutes les applications.
Allan
Allan - J'apprécie vraiment toute votre aide. Je n'ai pas le mot de passe pour Apple ID ni pour le Cloud. Apparemment, elle a utilisé deux comptes et noms de domaine différents, l'un pour le cloud et l'autre pour l'App Store. Si je crée un autre compte administrateur sur mac mini et que j'achète les applications, puis que je désactive son compte, cela fonctionnera-t-il? Que devrais-je rechercher. Merci beaucoup
DickDale
Ça devrait marcher. Sans vraiment voir ce qui se passe, il est difficile de vous donner une réponse définitive. Dites-moi comment je peux aider.
Allan
1

At-elle utilisé un compte iCloud enregistré auprès de votre entreprise ou personnellement? Les comptes d'administrateur nécessitant une adresse électronique à configurer (comme iCloud) doivent utiliser une adresse d'entreprise telle que "[email protected]" et non une adresse liée à un utilisateur spécifique. Cela signifie que lorsque l'utilisateur partira, un remplaçant pourra utiliser le même compte sans avoir à tout réenregistrer. Un e-mail d'entreprise doit également être utilisé comme e-mail de contact de récupération. Ainsi, un administrateur partant dans des conditions non optimales ne peut pas restaurer de manière malveillante son accès ou réinitialiser ses mots de passe (ou, avec iCloud, effacer à distance un système!). Même dans mon cas d'utilisation (où les emails "admin" servent à contrôler l'accès à des ordinateurs partagés dans un laboratoire, ou à l'administration Web pour un petit groupe à but non lucratif), aucun email personnel n'est utilisé pour les enregistrements - tout est géré par un compte dédié liés au groupe.

Vous devez également investir dans un gestionnaire de mot de passe, autre que Keychain, doté d'un mot de passe principal connu du responsable informatique et des cadres supérieurs, afin de ne pas perdre l'accès au cours de la rotation du personnel. Extrayez les mots de passe du trousseau et copiez-les dans le gestionnaire de mots de passe. Utilisez quelque chose comme 1Password qui peut stocker l’archive de mots de passe sur le réseau local, pas seulement dans le nuage.

dr.nixon
la source
Si le compte était à un groupe compte comme [email protected] ou à un compte personnel comme [email protected], vous devez toujours changer le mot de passe car, évidemment, l’administrateur qui a été viré l’aura toujours. Un gestionnaire de mots de passe ne change toujours pas le fait que vous devez modifier les mots de passe si l'administrateur les connaît ou crée des comptes qui n'ont pas été synchronisés avec le gestionnaire de mots de passe.
Allan
"Nous ne pouvons pas désactiver son compte à cause des mots de passe enregistrés" - ils ont besoin d'un responsable pour que cela ne soit plus un problème. Et le compte administrateur doit être lié à la société, et non à la personne, avec uniquement les courriers électroniques de la société pour la configuration et la récupération. Dès l'instant où une personne quitte, les mots de passe sont modifiés.
dr.nixon
SMH. Vous confondez commodité avec Sécurité. Vous pouvez modifier le mot de passe des administrateurs tout en ayant accès au compte sans le désactiver. Quoi qu'il en soit, vous voudriez vider le trousseau pour avoir accès à tout. Un gestionnaire de mot de passe n'empêche pas quelqu'un de stocker séparé mots de passe dans un trousseau; c'est juste pratique.
Allan
Si l'inquiétude est qu'elle puisse se connecter et effacer le compte, ils perdront tous les mots de passe. Ne vous fiez pas à un seul point de stockage pour des informations critiques comme celle-ci. Il permet également d'accéder aux mots de passe d'un système autre que Mac, ce que vous ne pouvez pas faire avec une exportation Keychain. Le réseau inclut les systèmes Win et Mac, la solution doit donc être compatible avec tous.
dr.nixon
Comment une personne se connecte-t-elle exactement à un système lorsque son mot de passe est modifié? Qu'est-ce qui vous fait également penser qu'un fichier centralisé n'est pas accessible multiplate-forme? Tout le reste de ce commentaire est une fonctionnalité / avantage (aka commodité ) d'avoir un gestionnaire de mot de passe; rien à voir avec la sécurité réelle.
Allan
0

La chose la plus sûre à faire serait de déconnecter complètement cet utilisateur d'iCloud ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )

Assurez-vous de choisir "Conserver sur Mac" lorsqu'il vous demande si vous souhaitez conserver les données des différentes fonctionnalités des comptes iCloud.

David Baverstock
la source
Lorsque je me suis déconnecté - cela ne me donne pas la possibilité de sauvegarder des données sur mac à la place, il dit supprimer les données de Mac. Si je me connecte avec mon identifiant iCloud, le serveur continuera à fonctionner correctement. Cela aura-t-il des implications sur les applications téléchargées à l'aide de différents identifiants Apple?
DickDale
0

Profile Manager a besoin d'un identifiant Apple pour transmettre les profils aux périphériques. Vous devez donc accéder à l'application Serveur et configurer ce dernier avec un identifiant Apple différent (les conseils de Dr. Nixon seront utiles ici) en accédant à l'onglet Paramètres du premier. volet qui s’affiche (celui nommé pour votre serveur). Recherchez la case à cocher "Notification Apple Push", puis sélectionnez le bouton "Modifier l'identifiant Apple".

Cela devrait permettre à Profile Manager de continuer à travailler. Les applications restent achetées, vous pouvez donc les utiliser, mais elles ne peuvent pas être mises à jour sans l'identifiant Apple.

Le mot de passe de l'administrateur du répertoire (pour Open Directory, qui a été configuré dans le gestionnaire de profils) pourrait être un problème plus délicat. Comme Allan l'a dit, votre meilleur pari est d'engager une personne expérimentée pour nettoyer la situation.

Leland Wallace
la source