Protezione del server Mac dopo l'attivazione dell'amministratore del server

Ci sono fondamentalmente due cose che devi fare per proteggere il tuo Mac da un dipendente (involontariamente) separato:

1. Protezione dall'accesso esterno
2. Cambia tutte le password

Questo è un approccio sovrapposto perché nessuno dei due è infallibile al 100%. Tuttavia, se si rimuovono tutti i percorsi di accesso dall'esterno dell'organizzazione, qualsiasi cosa che manchi sarà coperta dalle credenziali dell'account modificate; e viceversa.

Protezione dall'accesso esterno

Sembra che tu abbia le credenziali di amministratore richieste per modificare / bloccare il suo account e accedere al firewall. Quindi, quello che devi controllare è:

• iCloud e AppleID. Ricevi subito queste modifiche.
• Qualsiasi porta aperta sul firewall come SSH e VNC. Non hai bisogno di una password per questi come lei può "tunnel" attraverso. (Dovrai anche chiudere Windows RDP (Desktop remoto, porta 3389) poiché hai detto che hai server Windows.
• Disattiva SSH e VNC su Mac Mini per il momento finché non riesci a bloccare tutto
• Il software di controllo remoto deve essere rimosso / disattivato (TeamViewer, GoToMyPC, LogMeIn, ecc.)

Cambia tutte le password

Questo spiega come "malevolo" pensi che questa persona sia o possa essere. Hai disattivato la password , ma ha altri account o conosce le password di altre persone?

Mi imbatto sempre in questo scenario, i clienti delle piccole imprese tendono a fare cose contro le quali le grandi organizzazioni hanno politiche. Ad esempio, qualcuno potrebbe avere un problema con il proprio dispositivo e invece di effettuare il remoting, porteranno il proprio laptop e quando viene richiesta la password dall'amministratore del computer, l'utente lo annota.

Succede perché c'è un più alto livello di fiducia in un'organizzazione più piccola. Solitamente non è un problema finché non si deve licenziare l'Amministratore del computer. Questo è solo un esempio.

Se ritieni che la persona sia abbastanza maliziosa da fare qualcosa, cambia tutte le password.

Infine, come qualcuno che fa questo per vivere, non posso dirti quanto sia importante assumere un consulente esterno che possa aiutarti a mitigare questi rischi per te. Si tratta di una terza parte, persona imparziale (società) che ha una partecipazione finanziaria nel proteggere le tue risorse IT (e dovrebbe) avere lo stesso accesso dei tuoi amministratori. In questo modo, se dovesse accadere qualcosa, c'è una persona che puoi chiamare che ha familiarità con la tua rete e ha le competenze per farti continuare.

Meglio di tutti, un contratto firmato (SLA - Service Level Agreement) tra te e un venditore è una cosa meravigliosa per l'utente finale; reggono molto bene in tribunale.

Ha usato un account iCloud registrato per la tua azienda o per lei personalmente? Gli account amministrativi che richiedono un indirizzo e-mail per impostare (come iCloud) dovrebbero utilizzare un indirizzo aziendale come "[email protected]" e non un indirizzo legato a un utente specifico. Ciò significa che quando l'utente esce, un sostituto sarà in grado di utilizzare lo stesso account senza dover registrare nuovamente tutto. Anche l'e-mail aziendale deve essere utilizzata come e-mail di contatto di ripristino, pertanto un amministratore che parte in condizioni non ottimali non può ripristinare maliziosamente l'accesso a se stesso o reimpostare le password (o, con iCloud, cancellare da remoto un sistema!). Anche nel mio caso d'uso (dove le email di "admin" servono a controllare l'accesso ai computer condivisi in un laboratorio, o amministrazione web per un piccolo gruppo non profit) nessuna email personale viene utilizzata per nessuna delle registrazioni - è gestita da un account dedicato collegato al gruppo.

Dovresti davvero investire anche in un gestore di password, qualcosa a parte Keychain, con una password principale che è nota al responsabile IT e ai dirigenti senior, per garantire che l'accesso non vada perso durante il turnover del personale. Estrarre le password dal portachiavi e copiarle nel gestore delle password. Usa qualcosa come 1Password che può archiviare l'archivio delle password sulla rete locale, non solo nel cloud.

La cosa più sicura da fare sarebbe quella di disconnettere l'utente completamente da iCloud ( link )

Assicurati di scegliere "Mantieni su Mac" quando ti chiede se desideri conservare i dati dalle varie funzionalità degli account iCloud.

Profile Manager ha bisogno di un ID Apple per inviare profili ai dispositivi, quindi è necessario accedere all'applicazione Server e configurare il gestore profili con un ID Apple diverso (i consigli del Dr. Nixon saranno utili qui), andando alla scheda delle impostazioni nel primo riquadro che appare (quello chiamato per il tuo server). Cerca la casella "Notifica push Apple" e seleziona il pulsante "Modifica ID Apple".

Questo dovrebbe consentire a Profile Manager di continuare a funzionare. Le applicazioni rimangono acquistate in modo da poterle comunque utilizzare, ma potrebbero non essere aggiornate senza l'ID Apple dell'acquirente.

La password per l'amministratore della directory (per Open Directory, che è stata impostata come parte di Profile Manager) potrebbe essere un problema più complesso. Come ha detto Allan, la soluzione migliore è assumere qualcuno esperto per ripulire la situazione.