技术人员离职时采取的步骤

当特权或技术人员辞职/被解雇时,你如何处理离职程序? 你是否有清单来确保公司基础设施的持续运作/安全

我试图想出一个很好的经典名单,当我离开的时候,我的同事们应该做的事情(我一个星期前辞职了,所以我有一个月的时间来整理和GTFO)。

到目前为止,我得到了:

  1. 护送他们的场所
  2. 删除他们的电子邮件收件箱(设置所有的邮件转发到一个捕获所有)
  3. 删除服务器上的SSH密钥
  4. 删除他们的mysql用户帐户

那么接下来呢 我忘了提到什么,或者可能有相似的用处?

(尾注:为什么是这个题外话?我是一个系统pipe理员,这关系到持续的业务安全性,这绝对是主题。)

我build议创build一个新的系统pipe理员join公司时要做的事情的清单(你需要添加的系统,他们的帐户必须进入的组等),包括技术和物理的东西 – 例如物理键和警报代码与SSH密钥和密码一样重要。

确保你保持这个名单是最新的 – 我知道,说起来容易做起来难。 但是,更容易将新的团队成员join公司,并再次处理。 您现在仍然可以做到这一点,并至less获得使用它来帮助离开的人的一些好处。 我提到一个清单的原因是因为我们都倾向于在我们自己的舒适领域思考,而不同的事情可能会被错过,这取决于谁在处理离职者。 例如:“build筑安全经理”或“办公室经理”会比SSH密钥更多地考虑门钥匙,而IT人员则完全相反,并最终取消对系统的访问权限,同时让他们能够晚上走进大楼。

然后,当他们离开时,通过他们的检查清单,使用它作为撤消/得到返回的东西清单。 所有的IT团队都应该热衷于这个,如果他们是专业的,像这样的一个商定的过程,保护他们免受前雇主的无理指责,就像保护雇主不受他们的责备一样。

不要忘记访问远程数据中心或物理访问第三方备份数据存储库等内容。

我很惊讶没有人提到过之前,但…

如果您的WiFinetworking使用WPA或(我不希望)WEP,而不是在Radius服务器中进行轻击,则可能需要考虑更改该密钥。

这是一个敞开的大门,如果你是networkingpipe理员,那么你很有可能知道这个重点……想象一下从停车场回到networking或者是那种性质的东西是多么的容易。

其他的事情要记住:

  • 物理安全 – 拿走钥匙/访问标签/ VPN标签/笔记本电脑
  • 拿走电话/黑莓
  • 删除/禁用他们在外部服务/网站上拥有的任何帐户
  • locking他们的用户帐户
  • 改变他们可能知道的任何共享密码(我感谢你不应该有任何共享密码)
  • 禁用VPN帐户
  • 确保任何跟踪系统中的所有错误/票据/问题等都被重新分配
  • 将它们从Nagios /分页系统中取出
  • 删除他们的sudo(以防万一)
  • 告诉数据中心(s)
  • 禁用/撤销任何vpn系统到办公室networking
  • 禁用硬编码IP地址的任何Web应用程序/ apache confs /防火墙

如果某些系统pipe理员离开公司,我们更改用户的所有密码(而不是每月密码更改)。 我们有ldap和radius,所以不是很困难。 然后,我们看看他正在制作的系统,以及由他创build/修改的文件。 如果他的工作站上有重要的数据,我们将其清理或存档。

我们对所有有用户的服务进行访问审计。 如果有一些不知名的用户在使用该服务,我们会阻止他,至less在识别通过之前。

其他系统将在一周内清理; 大多数是为了发展的目的,没有有价值的信息,他们定期清理重新安装。

在这个线程中有许多好主意…还有一些其他的事情要考虑:

我同意更改密码或禁用term'd用户帐户与删除它们(至less在最初),但是可能是一个好主意,在采取行动之前检查并查看用户帐户是否被用于运行服务/计划的任务。 这在Windows / AD环境中可能比U更重要

如果员工很快离开或处于不理想的情况下,以下几项可能难以做到; 但这些可能是重要的(尤其是在那些凌晨2点刚刚发生的时刻)

知识转移 – 虽然我们都保持所有的文档都是最新的(ahem,shuffles feet),但是用短时间计划时间并与其他pipe理员进行一些问答或演练可能是一件好事。 如果你有很多定制软件在运行,或者是一个复杂的环境,那么提问和获得一对一的结果可能会非常有帮助。

随着密码。 希望每个人都使用某种types的encryption帐户/密码存储(KeePass / PassSafe等)。 如果是这样的话,这应该是非常简单的 – 获得他们的文件和密钥的副本。 如果不是的话,是时候进行一些大脑倾销了。

首先更改networking的所有“外围”密码。 任何帐户,他可以用来从家里(或从WiFi停车场)进入您的networking,应立即改变。

  • 路由器和防火墙的远程pipe理密码?
  • VPN帐户? 那VPN上的pipe理员账号呢?
  • WiFiencryption?
  • 基于浏览器的电子邮件(OWA)?

一旦这些被覆盖,工作你的方式向内。

其他的事情来检查只是为了整理:

  • 如果他们有一个静态IP地址,标记为可用
  • 如果可能,删除/清理任何自定义DNSlogging
  • 从任何types的员工目录中删除
  • 手机
  • 删除由服务器或服务发送的任何types的自动报告的电子邮件地址
  • 如果您保留硬件/软件清单,请将硬件和软件许可标记为可用(这实际上取决于您如何pipe理这些内容)。

尝试确保所有的密码更改发生在“networking隔离”(可能是会议室退出访问,下class后返回笔记本电脑)和“离开自己的设备”之间。 这极大地减less了离职者窥探新证书的机会(但是智能手机和类似的,它仍然是非空的)。

上面的答案都非常好。 作为资讯安全行业的专业人士(资讯科技审计师),您可以考虑以下其他事项:

  1. 如果您使用Active Directory,请删除特权pipe理权限,如域pipe理员

  2. 删除他们可能拥有的特权数据库angular色(例如:db_owner)

  3. 通知外部客户,被终止的用户可能有访问权限,以便可以撤消访问权限。

  4. 删除本地计算机帐户,如果他们有任何除了域访问