技術スタッフが去るときに取るステップ

特権または技術スタッフが辞任/解雇された場合、どのように出発プロセスを処理しますか？会社のインフラストラクチャの継続的な運用/セキュリティを確保するために行うべきことのチェックリストはありますか？

私は、同僚が去るときにすべきことの素敵な標準的なリストを考え出そうとしています（1週間前に辞任したため、1か月間整理してGTFOを用意しました）。

これまでのところ：

1. 敷地外にエスコートします
2. メールの受信トレイを削除します（すべてのメールをキャッチオールに転送するように設定します）
3. サーバー上のSSHキーを削除します

4. mysqlユーザーアカウントを削除します。

   ...

それで、次は何ですか。言及するのを忘れていた、または同様に有用かもしれませんか？

（注：なぜこれが話題から外れているのですか？私はシステム管理者であり、これはビジネスセキュリティの継続に関するものであり、間違いなく話題になっています。）

新しいシステム管理者が会社に参加するときに行うこと（システムを追加する必要がある、アカウントが入る必要があるグループなど）のチェックリストを作成し、技術的および物理的なもの（物理的なキーやアラームなど）を含めることをお勧めしますコードはSSHキーとパスワードと同じくらい重要です。

このリストを最新の状態に保つようにしてください-言うよりも簡単だと私は知っています。ただし、新しいチームメンバーを社内に処理し、再び処理することが容易になります。あなたは今でもこれを行うことができ、去る人を助けるためにそれを使用することの少なくともいくらかの利益を得ることができます。私がチェックリストに言及する理由は、誰もが自分の快適さの範囲で考える傾向があり、脱退者を処理している人に応じて、それ以外の場合は異なるものが見落とされる可能性があるためです。たとえば、「建物のセキュリティマネージャー」または「オフィスマネージャー」は、SSHキーよりもドアキーのことを考えようとします。夜に建物の中を歩きます。

その後、彼らが去るときにチェックリストに目を通し、それを元に戻す/返品するためのチェックリストとして使用します。このような合意されたプロセスは、雇用主を彼らから保護するのと同じくらい元の雇用主からの不当な非難から彼らを保護するので、あなたのITチームはすべてプロフェッショナルです。

リモートデータセンターへのアクセスや、サードパーティのバックアップデータリポジトリへの物理的なアクセスなどを忘れないでください。

誰も前にそれについて言及しなかったことに驚いていますが...

ご使用のWiFiネットワークでRadiusサーバーをタップするのではなく、WPAまたは（私はそうではない）WEPを使用している場合は、そのキーを変更することを検討してください。

あなたがネットワーク管理者なら、その鍵を心から知っている可能性がかなりあります...駐車場またはその性質のものからネットワークに戻ることがどれほど簡単か想像してください。

心に浮かぶ他のもの：

• 物理的セキュリティ-キーを奪う/アクセスタグ/ VPNタグ/ラップトップ
• 電話/ブラックベリーを奪う
• 外部サービス/サイトで持っているアカウントを削除/無効化する
• ユーザーアカウントをロックする
• 彼らが知っている可能性のある共有パスワードを変更します（共有パスワードを持たないようにしてください
• VPNアカウントを無効にする
• 追跡システムのすべてのバグ/チケット/問題などが再割り当てされていることを確認します

• nagios / pagingシステムからそれらを削除します
• sudoを削除します（念のため）
• データセンターに伝える
• VPNネットワークをオフィスネットワークに無効化/無効化する
• IPアドレスがハードコーディングされているWebアプリケーション/ Apache confs / firewallsを無効にします

システム管理者が退職した場合、毎月のパスワード変更の代わりに、ユーザーのすべてのパスワードを変更します。ldapとradiusがあるので、それほど難しくありません。次に、彼が取り組んでいたシステムと、彼によって作成/変更されたファイルを調べます。彼のワークステーションに重要なデータがある場合、それを消去またはアーカイブします。

ユーザーがいるすべてのサービスのアクセス監査があります。サービスを使用している不明なユーザーがいる場合、少なくともIDが渡されるまでブロックします。

他のシステムは1週間でクリーニングされます。ほとんどは開発用であり、貴重な情報はありません。また、再インストールにより定期的にクリーニングされます。

このスレッドには多くの優れたアイデアがあります...他にも考慮すべきことがいくつかあります。

パスワードを変更したり、期限付きのユーザーアカウントを無効にしたり（少なくとも最初は）することに同意しますが、アクションを実行する前にユーザーアカウントがサービス/スケジュールされたタスクの実行に使用されているかどうかを確認することをお勧めします。これはおそらく、Windows / AD環境ではUよりも重要です。

次の項目のいくつかは、従業員がすぐに退職する場合、または理想的な状況に満たない場合、実行が難しい場合があります。しかし、これらは重要になる可能性があります（特に、午前2時にWTHが発生した瞬間）

知識の伝達-すべてのドキュメントを最新の状態に保ちますが（エヘム、足をシャッフルします）、短時間のタイマーで時間をスケジュールし、別の管理者とQ＆Aまたはウォークスルーを行うのは良いことです。多数のカスタムソフトウェアを実行している場合、または複雑な環境がある場合は、質問をして1対1で取得することが非常に役立ちます。

それに加えて、パスワードも使用します。誰もが何らかのタイプの暗号化されたアカウント/パスワードストレージ（KeePass / PassSafeなど）を使用していることを願っています。その場合、これは非常に簡単です-ファイルのコピーとそのキーを取得します。そうでない場合は、いくつかの頭脳ダンプの時間です。

ネットワークのすべての「境界」パスワードを変更することから始めます。彼が自宅から（またはWiFi付きの駐車場から）ネットワークにアクセスするために使用できるアカウントは、すぐに変更する必要があります。

• ルーターとファイアウォールのリモート管理パスワード？
• VPNアカウント？VPNの管理者アカウントはどうですか？
• WiFi暗号化？
• ブラウザベースの電子メール（OWA）？

これらがカバーされたら、内側に向かって進みます。

整理整頓するためだけに確認するその他の事項：

• 静的IPアドレスがある場合は、利用可能としてマークします
• 可能であれば、カスタムDNSレコードを削除/クリーンアップします
• あらゆる種類の従業員ディレクトリから削除する
• 電話
• サーバーまたはサービスによって送信される自動レポートの種類から電子メールアドレスを削除する
• ハードウェア/ソフトウェアインベントリを保持する場合は、ハードウェアとソフトウェアのライセンスを使用可能としてマークします（これは、これらの管理方法によって異なります）。

「ネットワークから隔離された脱退者」（職場のラップトップが返却された後の会議室での退席インタビュー）と「脱退者は自分のデバイスに任されている」の間ですべてのパスワード変更が行われるようにしてください。これにより、退職者が新しい資格情報を索する可能性が大幅に減少します（ただし、スマートフォンなどでは、まだnullではありません）。

上記の答えはすべてとても良いです。InfoSecの専門職（IT監査員）の実務専門家として、考慮すべきその他のポイント：

1. Active Directoryを使用している場合、ドメイン管理者などの特権管理者権限を削除します

2. 持っていた特権データベースロールを削除します（例：db_owner）

3. アクセス権を取り消すことができるように、終了したユーザーがアクセスした可能性があることを外部クライアントに通知します。

4. ドメインアクセスに加えてローカルマシンアカウントがある場合は削除します