Un amministratore non deve mai avere "credenziali super utente" che non possono essere rimosse semplicemente rimuovendo il suo account utente o spostando l'account utente in un gruppo che non ha il permesso.

Un esempio: l'amministratore accede a un sistema Linux con il proprio account e usa sudo somecommand per eseguire operazioni che richiedono i permessi di root. Non si consente a questo utente amministratore di accedere effettivamente come root (e quindi di conoscere una singola password di root che dovrebbe essere modificata). NON C'È ACCOUNT ROOT per accedere a

Penso che questo principio possa essere applicato anche ad altre credenziali di accesso.

Naturalmente questo funziona solo se tutti seguono effettivamente la politica prima di abbandonare il proprio lavoro o di essere licenziati (o spostati in un'altra parte dell'azienda). non protegge contro un amministratore che rompe volontariamente la norma e crea una porta sul retro per se stesso.

Dipende molto da se l'amministratore ha lasciato buoni rapporti e quanto sia complessa la tua rete, ma alcuni buoni passi da fare sono. Ho lavorato con un certo numero di organizzazioni che prendono alcuni di questi passaggi ma nessuno di loro li prende tutti. Molti di loro revocano solo le credenziali dell'utente e adottano solo ulteriori passaggi se l'amministratore se ne andasse in cattive condizioni o se andasse a un concorrente.

• Revoca le credenziali degli utenti su tutti i server a livello di rete. Questo dovrebbe includere chiavi e password.
• Se sono a conoscenza dei dettagli di root che non richiedono di essere registrati come un altro utente, allora anche questi dettagli dovrebbero essere modificati.
• Anche altri dettagli dell'account, come quelli relativi all'hosting del server, dovrebbero essere anch'essi modificati, in quanto c'è sempre la possibilità che abbiano una copia di essi o possano ricordarli.
• Se la tua rete è chiusa ma autorizzi il traffico da determinati indirizzi IP come l'indirizzo di casa dell'amministratore, è importante assicurarsi che anche quelli vengano rimossi dall'accesso.
• Se possibile monitorare i tentativi di accesso da parte del nome utente uscenti, questo ti darebbe un avviso come potenziale che stanno cercando di ottenere l'accesso ai tuoi sistemi.

Buona fortuna con quello. Normalmente ti assicuri che tutte queste cose siano state fatte prima di licenziare qualcuno. Se qualcuno è un po 'esperto può ottenere molto difficile, se non quasi impossibile per vedere se non ha compromesso un sistema.

Se era l'unico dipendente, non si può dire se ha qualche backdoor sul posto. Quindi in questo momento potrebbe ancora avere accesso. Quando si dà accesso ad un amministratore di sistema, si guadagna la sua fiducia e bisogna assicurarsi che anche lui sia degno di fiducia.

Quindi cose da controllare:

• monitora tutto il traffico in entrata e in uscita

• revocare tutti i suoi accessi (dovrebbe essere fatto prima di licenziare qualcuno)

• Documentazione

Dalla mia vista personale:

Sembra che tu non abbia esperienza con questo e può essere piuttosto pericoloso, dovresti avere un consulente professionista. Avrei almeno parlato con il ragazzo e ho chiesto cosa avesse fatto. Ricorda che ha avuto accesso a tutto, che può rompere qualsiasi cosa. Lui conosce la sua infrastruttura. Se fa qualcosa di malevolo, puoi iniziare da zero perché nessuno dei tuoi attuali sistemi può essere considerato affidabile.

Se non mi credi, dai uno sguardo a questi casi:

• Il dipendente scontento di DHL elimina tutti gli ordini di 48 ore
• Chevron - Il sistema di emergenza è stato sabotato da un impiegato insoddisfatto in oltre 22 stati (USA 1992)
• Terry Childs, che ha spento FiberWAN

Come @Joel ha dichiarato: La gente pensa che Jurassic Park parla di dinosauri che mangiano persone e merda, ma in realtà si tratta di ciò che accade quando non si compensa adeguatamente il proprio amministratore di sistema

Aggiorna

La compagnia avrebbe dovuto dirgli che avrebbero assunto qualcuno in una posizione fissa un po 'più in anticipo. Poi spiegagli che potrebbe ancora aiutare di tanto in tanto se qualcosa è andato storto. Inoltre dovresti avere un periodo di transizione più lungo. Se non collabora, hai fondamentalmente lo scenario di Terry Childs. Quindi, oltre a perseguirlo, c'è poco che puoi fare.

who knew most of the top credentials

Non sono esattamente certo del tuo significato, ma questo mi spaventa. Sembra che l'individuo abbia avuto accesso e controllo su molti sistemi critici. Il sysadmin potrebbe anche avere avuto il controllo esclusivo. Alcuni anni fa la città di San Francisco ha perso il controllo della sua rete perché un singolo sysadmin si è rifiutato di dare le sue password ai suoi superiori. Quindi, molto prima che un amministratore di sistema se ne vada, dovresti assicurarti che ci siano almeno due persone che hanno accesso e controllo sui sistemi critici.

are there any other precautions that need to be taken other than changing those credentials?

Revoca l'accesso fisico.

Probabilmente è standard per raccogliere badge e chiavi d'ufficio, ma non dimenticare le chiavi di armadietti, aree riservate, codici di allarme, posizioni di stoccaggio fuori sede, permessi di parcheggio, ecc. Dovresti tenere un registro di ogni chiave fisica fornita fuori, chi li ha ricevuti e perché. Inoltre, dovresti essere in grado di ridigitare i punti di accesso critici entro 24 ore. Se il sistema di allarme consente all'utente di chiamare un falso allarme, assicurarsi che il dipendente uscente sia rimosso da tale elenco.

Fai sapere a tutti.

Non è difficile per un ex amministratore di sistema di ingegnere sociale un impiegato attuale. È praticamente impossibile impedire loro di chiamare un dipendente in servizio. Dato l'accesso alle informazioni interne, il sysadmin probabilmente sa chi chiamare e cosa dire per ottenere un qualche tipo di accesso alla rete. Quindi, annuncia che l'individuo non è più un dipendente. Se possibile, mostra una foto (una foto distintiva fa bene) dell'ex dipendente. Assicurati che sappiano a chi rivolgersi se il precedente amministratore di sistema contatta in modo sospetto. Se il sysadmin ha uno stretto rapporto con fornitori, aziende partner o sussidiarie, informalo pure.

Non dimenticare il telefono e il sistema di posta vocale.

Le vulnerabilità qui vanno dallo spionaggio alla casella vocale casuale fino alle chiamate a lunga distanza a spese dell'azienda.

Carte di credito, conti di addebito, ordini di acquisto

Se il sysadmin ha l'autorità di ordinare l'equipaggiamento, assicurarsi che l'abilità sia revocata da tutti i fornitori, distributori, ecc. È banale ordinare alcune buone attrezzature usando la procedura standard e cambiare l'indirizzo di spedizione.

Verifica eventuali contratti e accordi firmati dall'ex dipendente.

Se l'amministratore di sistema ha firmato contratti o accordi come parte del loro lavoro, chiedere a qualcuno di rivedere tutti i documenti firmati. Idealmente dovresti avere un database di documenti che i dipendenti hanno firmato e essere in grado di richiamare istantaneamente tutti i documenti firmati da un determinato dipendente.

Controlla la patch e aggiorna lo stato dei tuoi sistemi critici.

Anche l'ex dipendente non ha agito come amministratore per quei sistemi, potrebbero sapere qual era il loro stato.

Per il beneficio di tutti altro che leggeranno questo, questo è sicuramente il momento sbagliato per pensarci.

Ora ti sei messo in una posizione letteralmente impossibile; semplicemente non puoi dire con certezza che il tuo sistema non è compromesso. Inoltre, più difficile è stato il tuo sysadmin o quanto difficile è stato il tempo che potresti avergli dato, più probabilmente è che avrà installato una specie di backdoor. Come qualcuno che ripulisce questo tipo di casino per vivere, posso dirti che la percentuale di amministratori di sistema che lo fanno è estremamente alta, e il pericolo è molto reale.

In merito a cosa fare ora , il fattore determinante principale è la quantità di tempo di inattività che è possibile tollerare e la criticità del sistema IT per la tua azienda. Idealmente, chiudi tutto e ricostruisci tutto da capo. Sì davvero. Questo suona estremo, ma ora che ti sei messo in questo casino, è l'unico modo per essere sicuro. Nessuna altra soluzione funzionerà.

Se non puoi permetterti , o se pensi di poter tollerare un serio compromesso, puoi invece controllare i sistemi uno alla volta alla ricerca di processi a lungo termine, programmati attività, token di autenticazione codificati, autenticazione back-door code, processi di gestione remota, VPN, keystroke logger o altri strumenti di monitoraggio, qualsiasi altro componente incoerente con la tua politica di sicurezza.

E infine, se non puoi permetterti , puoi sempre chiudere gli occhi, coprire la testa e sperare per il meglio.

Come prevenirlo in futuro

Ancora più importante, ecco alcuni suggerimenti su come evitare che ciò accada di nuovo:

• ha più amministratori di sistema di primo livello . Le gerarchie sono facili da gestire, ma sono dannose per la sicurezza. Hai bisogno di qualcuno che possa "guardare l'osservatore"; qualcuno che ha l'abilità e l'autorità per controllare ciò che sta facendo il tuo amministratore di sistema e chi può trovare queste backdoor. Un amministratore di sistema ha molte meno possibilità di inserire una backdoor se teme che qualcuno lo trovi.

• Preferisci l'onestà sull'abilità quando assumi un sysadmin. Hai bisogno di qualcuno di cui ti possa fidare implicitamente, qualcuno che conosci non ti farà impazzire. Anche se non sono l'amministratore più esperto, il loro ruolo principale è quello di essere responsabili delle tue difese - l'onestà conta più di tutte le altre qualifiche combinate.

• Non tollerare la superiorità condiscendente . Questo va di pari passo con il punto precedente, ma per aggiungere un po 'di chiarezza: a qualcuno che non rispetta gli altri non ci si può fidare di agire nel migliore l'interesse degli altri. Tale persona non dovrebbe essere autorizzata a lavorare nell'IT nella tua azienda.

• Rendi felici i tuoi amministratori di sistema , qualunque cosa possa significare per loro. Se non sono felici, allora risolvono il problema o trovano qualcun altro - e in fretta.

Dopo aver letto TUTTO questo + commento ...

Sei fregato. Iniziare da zero. Indurisci i sistemi, nuove chiavi / password, VLAN, VPN ...

In sostanza, i nove metri interi.

Vieni @ dal punto di vista di un ex-amministratore MOLTO scontento. Quindi, difenditi da quei vettori concepibili. Ha lavorato in remoto, restringendo tutti gli altri accessi remoti ad eccezione della VPN (con chiavi aggiornate).

È una battuta fondamentale nella routine dei portelli per la quale la maggior parte delle aziende ha politiche e amp; procedure scritte con largo anticipo.

Spero che ce la fai, ma, se sei venuto qui per tante informazioni su cosa fare, mi dispiace per la compagnia. : - (

Ho avuto la sfortunata esperienza di quasi lo stesso problema. Ho perso diverse notti di sonno per questo, spero che questo ti aiuti.

Risposta breve: Inizia dall'esterno in. Se le tue applicazioni / operazioni interne permetteranno di cambiare gli indirizzi IP (se sai che attaccheranno) potrebbe essere un punto di svolta. Nel mio caso non potevo farlo poiché le applicazioni eseguite dai siti remoti stavano colpendo direttamente un IP esterno.

Secondo ho disabilitato il WiFi dell'ufficio che lui (amministratore precedente) ha configurato. Ho fatto questo secondo perché sapevo che sarei stato in grado di vederlo sulla proprietà se dovesse tentare di accedere. Guardate anche per vedere quali segnali wireless vedete aggirando la premessa per cercare di eliminare la possibilità di un access point nascosto installato senza alcuna conoscenza.

La prossima cosa che ho fatto è stata l'audit di OGNI REGOLA nel mio firewall. Ho trovato alcuni IP statici (aircard e internet via cavo) che sono stati "consentiti" e ho appena negato l'accesso da qualsiasi luogo in cui non potevo verificare l'accesso necessario.

Successivamente ho esaminato ogni file di registro su ogni server per cercare tentativi di accesso non riusciti. Se trovi qualcosa, documentalo.

Quindi forzerei TUTTI GLI UTENTI a cambiare le loro password e applicare una politica che non consente le parole da un dizionario come password. Ho dovuto convincere la gestione di questo, ma quando ho mostrato un attacco utilizzando un file dizionario VS bruteforce e hanno approvato la modifica della società in quel minuto.

Next (almeno nel mio caso) era il sistema telefonico. Cambia tutti i codici di accesso per tutti e impone loro di usare qualcos'altro (o fallo per loro se rifiutano di cambiare il loro PIN Voicemail)

La penultima cosa da fare sarebbe quella di annusare tutto il tuo traffico. Compra o costruisci un LAN Tap economico (ho comprato un tap lan di stelle lanciere) per circa $ 20 e l'ho messo tra il firewall e l'interruttore principale in cui tutto entra. Ho prestato particolare attenzione al traffico al di fuori dell'orario di lavoro. Questo dovrebbe aiutarti a identificare ciò che accade sulla tua rete durante le ore non lavorative.

Infine, a seconda della situazione come una totalità (il tuo datore di lavoro li ha licenziati per risparmiare?) potrebbe essere necessario dare loro (previa comunicazione) una chiamata a seconda della complessità della situazione. Ho scoperto chi era amico del precedente amministratore e sono diventato amico di loro rapidamente, nel caso avessi bisogno di chiamare il vecchio amministratore per un favore (password per il web hosting di un dominio separato che l'azienda ha acquistato come regalo per un non profit gruppo) La società senza scopo di lucro che il vecchio amministratore ha scritto un sito per è stato ancora perso poiché non lo hanno pagato (amministratore precedente) per un altro anno per rinnovare il dominio, ma almeno ho ottenuto il dominio per il no-profit. / p>

Se l'amministratore precedente fa minacce verbali o addirittura (più sconcertate), conserva più copie di tutto. Puoi anche affermare che i problemi legali che potrebbero derivarne non valgono lo sforzo (che non sono mai stati). Speriamo che questo ti aiuti un po '.

NOTA: questa risposta è stata migrata da un'altra domanda e quindi incorporata in questa. Di conseguenza, non si applica a questa domanda (l'altra domanda stava descrivendo una situazione in cui erano già stati commessi molti errori e l'accesso era ancora disponibile per un sysadmin che doveva partire presto). Forse dovrebbe essere rimosso, ma ho lasciato una versione inedita sotto

Penso che le altre risposte (in particolare @tylerl, @lucaskauffman) abbiano assolutamente ragione, ma allo stesso tempo forse sono eccessivamente allarmanti.

Sì, non puoi sapere con certezza cosa potrebbe fare questo sysadmin scontento. Tuttavia, ci vuole un po 'di malcontento per far entrare qualcuno nel sistema e causare danni. Questo tipo di azione è molto probabilmente in violazione del loro contratto di lavoro e illegale (come in te puoi andare in prigione se sei stato catturato).

Dal modo in cui lo guardo, il punto cruciale che altre risposte mancano, o che trattano come un ripensamento, è come risolvere la causa principale o il tuo più alto rischio, che è quanto sconvolto questa persona potrebbe essere .

Quindi penso che la prima e migliore linea di azione, è cercare di rendere questa persona il minimo scontento , possibilmente anche felice . Offri loro denaro extra per consegnare le cose, documentando ciò che stavano facendo e assicurandosi che il successore abbia un lavoro facile. Offri anche un'indennità extra di "standby" quando vengono pagati, ma non devi fare alcun lavoro. Spiega perché per l'azienda ha senso avere un dipendente interno che fa questo lavoro piuttosto che un appaltatore esterno.

Allo stesso tempo chiarisci che sai che sono le uniche persone in grado e che hanno pieno accesso al sistema, e se ci sono delle violazioni, saranno il primo sospetto e che non esiterai a segnalare e indagare anche sul più piccolo incidente.

Portare a termine l'intero IT e crearlo da zero lo aggiusterà anche, ma non vedo quanto sia realistica questa soluzione.