Задать вопрос

Что делать при увольнении системного администратора?

Вопрос, с которым в определенное время сталкивается любой безопасник.
Когда увольняется обыкновенный сотрудник, тут все понятно, блокируем учетную запись (УЗ) и отправляем с миром.
При увольнении сисадмина проблема глобально расширяется. Вот первое, что пришло в голову:
Блокировка админской УЗ;
Аудит ActiveDirectory на предмет недекларированных УЗ с правами администратора;
Проверка шлюза на новые правила для удаленных пользователей;
Проверка отложенных заданий на серверах и рабочих станциях.
Смена паролей на сетевом оборудовании, смена паролей типовых учетных (напр. root) записей на серверах.
Изъятие токенов, проверка пин-кодов на токенах.

Кто еще сталкивался с подобными проблемами, и какие шаги для обеспечения информационной безопасности я упустил?
  • Вопрос задан
  • 19349 просмотров
Подписаться 35 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 17
Dormidont
@Dormidont
В первую очередь — выплатить все положенные суммы и не пытаться что-то зажать, пусть даже и человек работал хреново. То есть, как можно более мирно расстаться. Нормальный админ после этого просто не будет пакостить, а ненормального это задержит хотя бы на пару деньков, а вы за это время и пароли смените, и правилам на файрволле ревизию сделаете. Самые клинические случаи, конечно, исключение, и тут вам самим решать.
Ответ написан
@lecter
Кстати насчет задач, их проверить точно стоит. Даже не по злому умыслу, задачи могут запускаться из под учетки админа. И после её блокировки перестанет создаваться, например, бэкап ряда БД.
Ответ написан
Комментировать
VasiliyIsaichkin
@VasiliyIsaichkin
Web front/back-end (JS-full stack) app developer
Согласен с demimurych и добавлю что в Windows тоже можно очень хитро спрятать много чего…

Вот параноя-вариант: где то (к примеру) в потолке (над потолочными плитами) стоит маленький неттоп который недокументированно врезан в сеть и к нему подключен gprs модем. Далее удаленно на него поступает команда и к примеру через протокол X10 по электросети или по Eternet'у бежит команда немного доработанному UPSу ресетнуть рабочий сервер, а там в биосе стоит загрузка по PXE первой (кто когда это проверит на боевом сервере? :) ). Далее с PXE-сервера на неттопе рабочий сервер грузит нужную ОС, немного автоматики и вуаля — доступ получен обратно ;) (какой бред только в 3 утра в голову не придет)

Мне кажется лучше с админом не ссорится — если захочет (особенно если было время подготовится) — нагадить сможет много и капитально.
Ответ написан
Комментировать
@1099511627776
Пишу все что интересно и на всем на чем интересно
У нас по законодательству человек должен отработать 2 недели перед тем как уйти. Предлагаю Вам найти подходящего специалиста перед тем и сделать так чтоб он эти 2 недели не отходил от старого админа. (перенял опыт).
В случае если у Вас используюется специфическое ПО к созданию\модификации которого приклал руку и сам админ то как минимум не сжигать мосты а сказать пиблизительно такую фразу: " Если что-то ему не будет понятно то приди помоги, мы тебе компенсируем".
Ответ написан
Комментировать
@TimID
Как я понимаю, с системным администратором Вы не дружите…

Отправить сисадмина в отпуск на неделю на Гаваии (где нет интернета, да и некогда ему будет, и вообще — это подкуп), за это время нанять НОРМАЛЬНЫХ сисадминов, чтобы они быстро всё перенастроили. Очень важно сменить «корневую» железку (циску или что там у Вас смотрит в сеть), причем сменить физически.
Еще лучше, связаться с фирмой по аудиту безопасности и потребовать от неё гарантии безопасности. Пусть добудут/сменят все пароли и т.п.

И главное, системный администратор ДОЛЖЕН работать на своего руководителя, а значит — протоколировать все свои действия (по безопасности и правам доступа) и давать отчеты. Как только замечаете, что он (сисадмин) начинает «темнить» и добавлять функциональность, которой может управлять он один, то СРАЗУ УВОЛЬНЯЙТЕ(!) — этот человек уже не хочет сделать лучше Вам, а хочет сделать себя «неприкасаемым».
В крайнем случае, нанимайте двух «зеркальных» сотрудников — чтобы они могли полностью дублировать друг-друга.

PS. И простите меня Компьютерные боги, что я Ваших главных жрецов «сливаю» — но натерпелся, нет мочи!
Ответ написан
самое идеальное — пойти по пути передачи от старого админа новому с одновременной проверкой и т.п.
Ответ написан
demimurych
@demimurych
Как системный администратор NIX систем скажу
что если у меня был рутовый доступ к серверу
и у меня есть желание сделать так, чтобы после моего увольнения что то случилось
я это желание реализую.

Помешать мне может только полная переустановка системы.
Ответ написан
Комментировать
Самый верный способ, это нанять вторым админом того, кто будет работать в дальнейшем, дать старому и новому поработать вместе месяц-два, когда второй будет в курсе всего происходящего в серверном хозяйстве, тогда уже увольнять старого.
Судя по описанному, текущий админ тот еще работничек… наверняка никакой документации нет, уволив его без заранее переданных дел, вы рискуете потерей данных и простоем работы… и даже расчудесный новый админ с ходу не сможет разобраться во всем… берите второго в пару не ошибетесь.
Ответ написан
Комментировать
opium
@opium
Просто люблю качественно работать
При жестком желании я как админ найду как оставить вам пасхальное яйцо.
С другой стороны надо менять все доступы, вплоть до портов где rdp и ssh.
Ответ написан
Комментировать
Dan_Vaganov
@Dan_Vaganov
Совместная работа нового со старым — лучший выход, пока вы ищете место где спрятать тело
Ответ написан
Комментировать
@extar
Вот в этой книге есть хорошая глава на тему «Как правильно уволись сисадмина».
Ответ написан
curlydevil
@curlydevil
Самый верный способ увольнять админа — на входе в контору дать коробку с его вещами и сообщить об увольнении, материально компенсировав такого рода неудобства.
Ответ написан
@1099511627776
Пишу все что интересно и на всем на чем интересно
Теперь внимание вопрос:
Админ сам уходит по своему желанию или его хотят уйти?
Ответ написан
Alukardd
@Alukardd
Если уж говорить о способах пакости и доступа к ресурсам сети, то Вам придётся проштудировать буквально ВСЁ. Т.к. VPN клиенты или любой другой способ backconnect'а, даже с клиентской машины, даст админу доступ во внутрь сети, а дальше уже всё намного проще для него…
Собственно, базовые принципы Вы описали еще в вопросе, а дальше рекомендую не накалять отношения. Т.к. по факту, реально защитится от злого уволенного админа выльется вашей фирме в кругленную сумму.
Ответ написан
Комментировать
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
а еще очень стоит проверить планировщики на всех серверах, т.к. гадость прекрасно можно сделать с любого редко и малоиспользуемого сервера, например windows server + radius — на прошлой моей работе я на него так ниразу и не заходил.
Ответ написан
Комментировать
wartur
@wartur
Мое мнение, все начинается с расширения персонала. Далее работа начинается в паре, даются задания параллельно. Все это конечно надо делать лояльно с человеком (это может быть месяц, два кстате). Далее в какой-то момент приходит на работу и все перенастроено. Далее начинается процесс увольнения. Единственно верный вариант. Все начинается с банального утверждения начальника, о том, что мы не успеваем делать работу — пора расширять коллектив.
Ответ написан
Комментировать
Flammar
@Flammar
Нужно чтоб сисадминов было двое. А лучше трое. Не только на случай увольнения, а на случай отпуска или болезни — тоже.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы