Étapes à suivre lors du départ du personnel technique

Comment gérez-vous le processus de départ lorsque le personnel privilégié ou technique démissionne / est licencié? Avez-vous une liste de contrôle des choses à faire pour assurer le fonctionnement continu / la sécurité de l'infrastructure de l'entreprise?

J'essaie de dresser une belle liste canonique de choses que mes collègues devraient faire quand je pars (j'ai démissionné il y a une semaine, j'ai donc un mois pour ranger et GTFO).

Jusqu'à présent, j'ai:

1. Escortez-les hors des lieux
2. Supprimer leur boîte de réception de courrier électronique (définir tous les messages à transférer vers un fourre-tout)
3. Supprimer leurs clés SSH sur le (s) serveur (s)

4. Supprimer leur (s) compte (s) utilisateur mysql

   ...

Alors, quelle est la prochaine. Qu'est-ce que j'ai oublié de mentionner ou qui pourrait être tout aussi utile?

(note de fin: pourquoi est-ce hors sujet? Je suis administrateur système, et cela concerne la sécurité continue de l'entreprise, c'est définitivement sur le sujet.)

Je suggère de créer une liste de contrôle des choses que vous faites lorsqu'un nouveau administrateur système rejoint la société (systèmes auxquels vous devez les ajouter, groupes auxquels leur compte doit entrer, etc.) et inclure des éléments techniques et physiques - par exemple, clés physiques et alarme les codes sont tout aussi importants que les clés SSH et les mots de passe.

Assurez-vous de maintenir cette liste à jour - plus facile à dire qu'à faire, je sais. Mais cela facilite à la fois le traitement des nouveaux membres de l'équipe dans l'entreprise et leur retrait. Vous pouvez toujours le faire maintenant et obtenir au moins une partie de l'avantage de l'utiliser pour aider la personne qui quitte. La raison pour laquelle je mentionne une liste de contrôle est parce que nous avons tous tendance à penser dans nos propres sphères de confort et que différentes choses pourraient être manquées autrement, selon qui traite le sortant. Par exemple: un «responsable de la sécurité du bâtiment» ou un «responsable de bureau» va penser davantage aux clés de porte qu'aux clés SSH et un informaticien sera exactement le contraire et finira par révoquer son accès au système tout en lui laissant la possibilité de entrer dans le bâtiment la nuit.

Ensuite, parcourez simplement leur liste de contrôle lorsqu'ils partent, utilisez-la comme une liste de contrôle des choses à annuler / récupérer. Toute votre équipe informatique devrait être enthousiaste à ce sujet si elle est professionnelle car un processus convenu comme celui-ci les protège contre les reproches injustifiés d'un ancien employeur tout autant qu'elle protège l'employeur contre eux.

N'oubliez pas des choses comme l'accès à des centres de données distants ou l'accès physique à un référentiel de données de sauvegarde tiers.

Je suis surpris que personne ne l'ait mentionné auparavant, mais ...

Si votre réseau WiFi utilise WPA ou (j'espère que non) WEP au lieu de taper sur le serveur Radius, vous voudrez peut-être envisager de changer cette clé.

C'est une énorme porte laissée ouverte, si vous êtes l'administrateur du réseau, il y a de fortes chances que vous connaissiez cette clé par cœur ... imaginez à quel point il serait facile de revenir sur le réseau depuis le parking ou quelque chose de ce genre .

D'autres choses qui me viennent à l'esprit:

• Sécurité physique - clés à emporter / balises d'accès / balises vpn / ordinateurs portables
• Emportez téléphones / mûres
• Supprimer / désactiver tous les comptes qu'ils ont sur des services / sites externes
• Verrouiller son compte utilisateur
• Modifiez les mots de passe partagés qu'ils connaissent (j'apprécie que vous ne devriez pas avoir de mots de passe partagés)
• Désactiver le compte VPN
• Assurez-vous que tous les bogues / tickets / problèmes, etc. dans tous les systèmes de suivi sont réaffectés

• Retirez-les du système nagios / paging
• Retirez leur sudo (juste au cas où)
• Dites au (x) centre (s) de données
• Désactiver / révoquer tout système VPN dans le réseau du bureau
• Désactivez toutes les applications Web / confs apache / pare-feu dont les adresses IP sont codées en dur dans

Si un administrateur système quitte l'entreprise, nous changeons tous les mots de passe des utilisateurs (au lieu du changement de mot de passe mensuel). Nous avons ldap et radius, donc ce n'est pas très difficile. Ensuite, nous regardons les systèmes sur lesquels il travaillait, ainsi que les fichiers créés / modifiés par lui. S'il y a des données importantes sur son poste de travail, nous les nettoyons ou les archivons.

Nous avons un audit d'accès pour tous les services qui ont des utilisateurs. Si un utilisateur inconnu utilise le service, nous le bloquons, au moins jusqu'à ce que l'identification soit passée.

D'autres systèmes seront nettoyés dans une semaine; la plupart sont à des fins de développement et ne contiennent aucune information précieuse, et ils sont régulièrement nettoyés par réinstallation.

Beaucoup de bonnes idées dans ce fil ... Quelques autres choses à considérer:

Je suis d'accord sur la modification des mots de passe ou la désactivation des comptes d'utilisateurs terminés au lieu de les supprimer (au moins initialement), mais peut être une bonne idée de vérifier et de voir si le compte d'utilisateur est utilisé pour exécuter des services / tâches planifiées avant d'agir. Ceci est probablement plus important dans un environnement Windows / AD qu'un U

Quelques-uns des éléments suivants peuvent être difficiles à faire si l'employé quitte rapidement ou dans des circonstances moins qu'idéales; mais ceux-ci peuvent être importants (en particulier à ces moments matinaux de 2 heures du matin)

Transfert de connaissances - Bien que nous gardions tous toute notre documentation à jour (ahem, mélange les pieds), cela peut être une bonne chose de planifier du temps avec le temporisateur court et de faire des questions / réponses ou des visites avec un autre administrateur. Si vous avez beaucoup de s / w personnalisés en cours d'exécution, ou un environnement complexe, il peut être très utile de poser des questions et d'obtenir du temps en tête-à-tête.

Parallèlement à cela va mots de passe. Espérons que tout le monde utilise un certain type de stockage de compte / mot de passe crypté (KeePass / PassSafe, etc.). Si tel est le cas, cela devrait être assez facile - obtenez une copie de leur fichier et la clé de celui-ci. Si ce n'est pas le cas, il est temps de faire un brain-dumping.

Commencez par modifier tous les mots de passe "périmètre" de votre réseau. Tous les comptes qu'il peut utiliser pour accéder à votre réseau depuis votre domicile (ou depuis le parking avec WiFi) doivent être modifiés immédiatement.

• Mots de passe d'administration à distance pour les routeurs et les pare-feu?
• Comptes VPN? Qu'en est-il des comptes d'administrateur sur le VPN?
• Cryptage WiFi?
• Courriel par navigateur (OWA)?

Une fois ceux-ci couverts, progressez vers l'intérieur.

Autres choses à vérifier juste pour ranger les choses:

• s'ils avaient une adresse IP statique, marquez-la comme disponible
• supprimer / nettoyer tous les enregistrements DNS personnalisés si possible
• supprimer de toute sorte de répertoire des employés
• Téléphone (s
• supprimer l'adresse e-mail de toute sorte de rapport automatisé envoyé par un serveur ou un service
• si vous gardez un inventaire matériel / logiciel, marquez les licences matérielles et logicielles comme disponibles (cela dépend vraiment de la façon dont vous gérez ces choses).

Essayez de vous assurer que tous les changements de mot de passe se produisent entre `` sortant isolé du réseau '' (peut-être un entretien de sortie dans une salle de conférence, après le retour de l'ordinateur portable de travail) et `` le sortant est laissé à ses propres appareils ''. Cela réduit considérablement les chances que le sortant quitte les nouvelles informations d'identification (mais avec les smartphones et autres, ce n'est toujours pas nul).

Les réponses ci-dessus sont toutes très bonnes. En tant que professionnel exerçant dans la profession InfoSec (IT Auditor), quelques autres points à considérer:

1. Supprimez les droits d'administration privilégiés tels que l'administrateur de domaine si vous utilisez Active Directory

2. Supprimez les rôles de base de données privilégiés qu'ils ont pu avoir (ex: db_owner)

3. Informez les clients externes que l'utilisateur résilié peut avoir eu accès afin que les privilèges d'accès puissent être révoqués.

4. Supprimez les comptes des ordinateurs locaux s'ils en avaient en plus de l'accès au domaine