信息安全企业政策人事管理

2021-09-05 23:31:08

如果用户离开了知道大多数顶级凭据的组织，除了更改这些凭据之外，是否还需要采取其他预防措施？

显然，还有标准用户留下诸如电子邮件/VPN访问被撤销、他们设备的mac地址被从我们的网络中删除等等之类的东西，但我更担心权力或超级用户。

这个问题是本周的 IT 安全问题。
阅读 2011 年 8 月 19 日的博客文章了解更多详情或提交您自己的本周问题。

4个回答

管理员永远不应拥有无法通过简单地删除其用户帐户或将用户帐户移动到缺乏权限的组来删除的“超级用户凭据”。

举个例子：管理员用自己的账号登录Linux系统，sudo somecommand用来做需要root权限的事情。您不允许此管理员用户以 root 身份实际登录（因此知道必须更改的单个 root 密码）。没有可登录的根帐户。

我认为这个原则也可以应用于其他访问凭证。

当然，这只有在每个人在辞职或被解雇（或被调到公司的另一部分）之前都真正遵守政策的情况下才有效。它不能防止管理员自愿违反政策并为自己创建后门。

这在很大程度上取决于管理员是否保持良好的条件以及您的网络有多复杂，但需要采取一些好的步骤。我曾与许多采取其中一些步骤的组织合作，但没有一个会采取所有这些步骤。他们中的许多人只会撤销用户凭据，并且只有在管理员离开时的条件不好或要去竞争对手的情况下才会采取进一步的措施。

祝你好运。通常，在解雇某人之前，您会确保所有这些事情都已完成。如果某人有点熟练，它会变得非常困难，如果不是几乎不可能的话，看看他是否没有破坏系统。

如果他是唯一的员工，没有人说他是否有任何后门。所以此时他可能仍然可以访问。当您授予系统管理员访问权限时，您将获得他的信任，并且您必须确保他也值得信赖。

所以要检查的事情：

以我个人的观点：

你似乎没有这方面的经验，这可能很危险，你应该找一个专业的顾问。我至少会和那个人谈谈，问他做了什么。请记住，他可以访问一切，他可以破坏任何东西。他知道他的基础设施。如果他做了一些恶意的事情，你可以从头开始，因为你当前的系统都不可信。

如果你不相信我，看看这些案例：

正如@Joel 所说： 人们认为侏罗纪公园是关于恐龙吃人和狗屎的，但它实际上是关于当你没有适当地补偿你的系统管理员时会发生什么

更新

公司应该提前告诉他，他们将在固定职位上招聘一些人。然后向他解释，如果出现问题，他仍然可以不时提供帮助。此外，您应该有更长的过渡期。如果他不合作，您基本上就会遇到 Terry Childs 的情况。所以除了起诉他，你无能为力。

为了其他将要阅读本文的人的利益，这绝对是考虑这个问题的错误时间。

现在，你已经把自己置于一个几乎不可能的位置；您根本无法确定您的系统没有受到损害。此外，您的系统管理员越困难，或者您给他的时间越困难，他就越有可能安装某种后门。作为一个以收拾这种烂摊子为生的人，我可以告诉你，这样做的系统管理员比例高得令人不安，而且危险是非常真实的。

关于现在做什么，主要的决定因素是您可以容忍多少停机时间以及您的 IT 系统对您的业务有多重要。理想情况下，您关闭所有内容，然后从头开始重建。对真的。这听起来很极端，但既然你已经让自己陷入了这个混乱，这是唯一可以确定的方法。没有其他解决方案将起作用。

如果您负担不起，或者您认为可以容忍严重的妥协，您可以逐一梳理系统，寻找任何长时间运行的进程、计划任务、硬编码的身份验证令牌、身份验证返回- 门代码、远程管理进程、VPN、击键记录器或其他监控工具，任何其他与您的安全策略不一致的组件。

最后，如果您负担不起，那么您可以随时闭上眼睛，捂住头，并希望最好。

将来如何防止这种情况

更重要的是，这里有一些提示可以防止这种情况再次发生：

拥有多个顶级系统管理员。层次结构易于管理，但不利于安全性。你需要一个可以“看守”的人；具有检查系统管理员在做什么以及可以找到这些后门的技能和权限的人。如果系统管理员害怕有人会发现它，那么他不太可能安装后门。
雇用系统管理员时，更喜欢诚实而不是技能。你需要一个你可以信任的人，一个你认识的人不会把你挂在外面晾干。即使他们不是最熟练的管理员，他们的主要职责是负责你的防御——诚实比所有其他资格加起来更重要。
不要容忍居高临下的优越感。这与上述观点一致，但要澄清一点：不能相信不尊重他人的人会为他人的最大利益行事。不应允许这样的人在您的公司从事 IT 工作。
让您的系统管理员开心，无论这对他们意味着什么。如果他们不满意，那么要么解决问题，要么找其他人——而且要快。

其它你可能感兴趣的问题