web-dev-qa-db-ja.com

システム管理者が特別な注意を払う必要がある場合、何をする必要がありますか?

上位の資格情報のほとんどを知っているユーザーが組織を辞めた場合、それらの資格情報を変更する以外に行う必要がある予防策はありますか?

電子メール/ VPNアクセスが取り消されたり、デバイスのMACアドレスがネットワークから削除されたりするなど、標準ユーザーも残していることは明らかですが、パワーユーザーやスーパーユーザーの方が心配です。

この質問は今週のITセキュリティの質問でした。
詳細については、2011年8月19日ブログエントリをお読みください。または自分で送信今週の質問。

corporate-policypeople-management
33
Toby

管理者は、自分のユーザーアカウントを削除したり、アクセス許可のないグループにユーザーアカウントを移動したりするだけでは削除できない「スーパーユーザーの資格情報」を持つべきではありません。

例:管理者は自分のアカウントでLinuxシステムにログインし、Sudo somecommand root権限を必要とする処理を実行します。この管理者ユーザーが実際にrootとしてログインすることを許可しません(したがって、変更する必要がある単一のrootパスワードを知っています)。 ISログインするためのルートアカウントがありません。

この原則は他のアクセス資格情報にも適用できると思います。

もちろん、これは、全員が実際に仕事を辞めるか解雇される前に(または会社の別の場所に移動する前に)ポリシーに準拠している場合にのみ機能します。それはポリシーを積極的に破る管理者から保護しませんで、自分用のバックドアを作成します。

15
Per Wiklander

管理者が適切な条件を残しているかどうか、およびネットワークがどれほど複雑であるかに大きく依存しますが、実行するいくつかの優れた手順があります。私はこれらのステップのいくつかを実行する多くの組織と協力してきましたが、それらすべてがすべてを実行するわけではありません。それらの多くは、ユーザー資格情報を取り消すだけであり、管理者が不適切な条件を残した場合、または競合他社に行く場合にのみ、追加の手順を実行します。

  • ネットワーク全体のすべてのサーバーでユーザーの資格情報を取り消します。これには、パスワードだけでなくキーも含める必要があります。
  • 最初に別のユーザーとしてログインする必要がないルートの詳細を知っている場合は、これらの詳細も変更する必要があります。
  • サーバーのホスティングに関連するものなど、その他のアカウントの詳細も変更する必要があります。それらのコピーを持っているか、または覚えている可能性が常にあるからです。
  • ネットワークが閉鎖されているが、管理者のホームアドレスなどの特定のIPアドレスからのトラフィックを許可している場合は、それらも確実にアクセスから削除することが重要です。
  • 可能であれば、リーバーのユーザー名によるログイン試行を監視すると、システムにアクセスしようとしている可能性があるという警告が表示されます。
10
Mark Davidson

頑張ってください。通常は、誰かを解雇する前に、これらすべてが完了していることを確認します。誰かが少し熟練している場合、システムが危険にさらされていないかどうかを確認することは、非常に難しく、ほとんど不可能ではないにせよです。

彼が唯一の従業員だった場合、バックドアが設置されているかどうかは明らかではありません。したがって、現時点では、彼はまだアクセスできる可能性があります。システム管理者にアクセス権を与えると、彼の信頼を得て、彼が信頼できることを確認する必要があります。

確認すること:

  • すべての着信および発信トラフィックを監視する

  • 彼のアクセスをすべて取り消す(誰かを解雇する前に行う必要があります)

  • ドキュメント

私の個人的な見解から:

これについては経験がないようで、非常に危険な場合があります。専門のコンサルタントに相談してください。私は少なくともその男と話をして、彼が何をしたのか尋ねたでしょう。彼はすべてにアクセスできたことを思い出してください、彼は何でも壊すことができます。彼は自分のインフラを知っています。彼が悪意のあることをした場合、現在のシステムはどれも信頼できないため、ゼロから始めることができます。

私を信じていない場合は、次のケースをご覧ください。

  • DHLの嫌な従業員が48時間の注文をすべて削除
  • シェブロン— 22以上の州で不満を抱いた従業員によって緊急システムが妨害された(USA 1992)
  • FibreWANをシャットダウンしたTerry Childs

@Joelが述べたように:人々はジュラシックパークは恐竜が人やたわごとを食べることについてであると思っていますが、それはあなたがシステム管理者を適切に補償しないとどうなるかについてです

更新

会社は、定位置にある誰かをもう少し前もって雇うつもりであると彼に伝えるべきだった。次に、何か問題が発生した場合でも、時々助けられる可能性があることを説明します。また、移行期間を長くする必要があります。彼が協力していない場合は、基本的にテリーチャイルズのシナリオがあります。したがって、彼を起訴することを除いて、あなたにできることはほとんどありません。

8
Lucas Kauffman

これを読むすべての人elseの利益のために、これは間違いなくこれについて考える時間ではありません。

さて、あなたは文字通り不可能な位置に自分を置きました。システムが危険にさらされていないことを確実に伝えることはできません。さらに、システム管理者が困難であるほど、またはシステム管理者が彼に与えた時間がどれほど困難であるほど、彼は何らかの可能性が高いバックドア。この種の混乱を片付けて生計を立てている人として、これを行うシステム管理者の割合は非常に高く、危険は非常に現実的であることがわかります。

今何をすべきかについて、主な決定要因は、許容できるダウンタイムの許容量と、ITシステムがビジネスにとってどれほど重要であるかです。理想的には、すべてをシャットダウンし、すべてを最初から再構築します。はい、そうです。これは極端に聞こえますが、この混乱に陥った今、それを確認する唯一の方法です。他の解決策は機能しません。

それを受け入れる余裕がない場合、または深刻な妥協を許容できると思われる場合は、代わりにシステムを1つずつ調べて、実行時間の長いプロセス、スケジュールされたタスク、ハードを探すことができます-コード化された認証トークン、認証バックドアコード、リモート管理プロセス、VPN、キーストロークロガーまたはその他の監視ツール、セキュリティポリシーと矛盾するその他のコンポーネント。

そして最後に、それを買う余裕がない場合なら、いつでも目を閉じて頭を覆い、最善を尽くすことができます。

今後これを防ぐ方法

さらに重要なのは、これが再発しないようにするためのヒントです。

  • 複数のトップレベルのシステム管理者がいる。階層は管理が容易ですが、セキュリティは良くありません。 「ウォッチャーを見る」ことができる人が必要です。あなたのシステム管理者が何をしているかをチェックするスキルと権限を持ち、これらのバックドアを見つけることができる人。システム管理者は、誰かがそれを見つけるのを恐れている場合、バックドアを置く可能性ははるかに低くなります。

  • スキルよりも正直を優先システム管理者を雇うとき。あなたは暗黙のうちに信頼できる誰かを必要とします、あなたが知っている誰かはあなたを乾かすためにハングアップしないでしょう。彼らが最も熟練した管理者でなくても、彼らの主な役割はあなたの防御に責任を負うことです-正直さは他のすべての資格を組み合わせた場合よりも重要です。

  • 降順の優越を容認しない。これは上記のポイントと一致しますが、少し明確にするために:他人を尊重しない人は、他人の利益のために最善を尽くして行動することを信頼できません。そのような人はあなたの会社のITで働くことを許されるべきではありません。

  • システム管理者を満足させてください、彼らにとって意味のあるものは何でも。彼らが満足していない場合は、問題を修正するか、他の誰かを見つけてください。

7
tylerl

最高の資格のほとんどを知っていた

あなたの意味は正確にはわかりませんが、これは私を怖がらせます。個人が多くの重要なシステムを広範囲にアクセスおよび制御できたようです。システム管理者が排他的な制御権を持っている可能性もあります。数年前 サンフランシスコ市はそのネットワークの制御を失った 一人のシステム管理者が上司にパスワードを与えることを拒否したため。したがって、システム管理者が去る前に、重要なシステムにアクセスして制御できる人が少なくとも2人いることを確認する必要があります。

これらの資格情報を変更する以外に行う必要がある他の予防策はありますか?

物理的アクセスを取り消す。

バッジとオフィスの鍵を収集することはおそらく標準的ですが、キャビネット、立ち入り禁止区域、アラームコード、オフサイトの保管場所、駐車許可証などの鍵を忘れないでください。それらを受け取った、そしてその理由。さらに、24時間以内に重要なアクセスポイントのキーを再生成できる必要があります。アラームシステムでユーザーが誤ったアラームを呼び出すことができる場合は、退職する従業員がそのリストから削除されていることを確認してください。

みんなに知らせてください。

元システム管理者が現在の従業員をソーシャルエンジニアリングすることは難しくありません。彼らが現在の従業員に電話をかけることを防ぐことは事実上不可能です。内部情報へのアクセスが与えられると、システム管理者はおそらく、あるタイプのネットワークアクセスを取得するために、誰に電話をかけ、何を言うべきかを知っています。したがって、その個人が従業員ではなくなったことを発表します。可能であれば、元従業員の写真(バッジ写真はうまくいきます)を見せてください。以前のシステム管理者が不審な連絡をした場合は、誰に話すべきかを確実に知っておいてください。システム管理者がサプライヤ、パートナー企業、または子会社と密接な関係を持っている場合は、それらも知らせてください。

電話とボイスメールシステムを忘れないでください。

ここでの脆弱性は、ランダムなボイスメールのスヌーピングから、会社の負担で長距離電話をかけることまでさまざまです。

クレジットカード、チャージ口座、発注書

システム管理者が機器を注文する権限を持っている場合は、すべてのサプライヤー、ベンダーなどからその機能が取り消されていることを確認してください。標準の手順を使用していくつかのニース機器を注文し、配送先住所を変更することは簡単です。

元従業員が署名した契約と合意を確認します。

システム管理者が仕事の一環として契約または契約に署名した場合は、署名したすべての文書を誰かにレビューしてもらいます。理想的には、従業員が署名したドキュメントのデータベースがあり、特定の従業員が署名したすべてのドキュメントを即座に呼び出すことができる必要があります。

重要なシステムのパッチと更新ステータスを確認してください。

前の従業員でさえ、それらのシステムの管理者として行動していませんでしたが、彼らは自分のステータスが何であったか知っているかもしれません。

6
this.josh

残念ながら、ほぼ同じ問題が発生しました。私はこれで数晩の睡眠を失いました、これがあなたを助けることを願っています。

短い答え:外部から始めます。アプリケーション/内部操作でIPアドレスの変更が許可される場合(攻撃することがわかっている場合)は、ゲームを変える可能性があります。私の場合、リモートサイトから実行されたアプリケーションが直接外部IPにアクセスしていたため、これを行うことができませんでした。

次に、彼(以前の管理者)が設定したオフィスのWiFiを無効にしました。もし彼がアクセスしようとした場合、私は彼がプロパティで彼を見ることができると知っていたので、私はこの2番目をしました。また、誰かが気付かないうちに隠しアクセスポイントが設置されている可能性を排除するために、あなたが現場を歩いているワイヤレス信号を確認してください。

次に行ったのは、ファイアウォールですべてのルールを監査することでした。 「許可」されている静的IP(エアカードおよびケーブルインターネット)をいくつか見つけ、必要なアクセスを確認できないすべての場所からのアクセスを拒否しました。

次に、失敗したログイン試行を探すために、すべてのサーバーのすべてのログファイルを調べました。何か見つけたらそれを文書化してください。

次に、すべてのユーザーにパスワードの変更を強制し、辞書からの単語をパスワードとして許可しないポリシーを適用します。私はこれの管理を説得する必要がありましたが、ディクショナリファイルVSブルートフォースを使用した攻撃を示し、その分会社の変更を承認しました。

次に(少なくとも私の場合は)電話システムでした。全員のすべてのアクセスコードを変更し、他の誰かを使用するように強制します(または、ボイスメールPINの変更を拒否した場合は、それを実行します)

最後に行うべきことは、自分のトラフィックをすべて盗聴することです。約20ドルで安価なLANタップ(手裏剣LANタップを購入しました)を購入または構築し、ファイアウォールとすべてが入っているメインスイッチの間に設置しました。営業時間外のトラフィックには細心の注意を払いました。これは、営業時間外のネットワークで何が起こっているかを特定するのに役立ちます。

最後に、全体としての状況に応じて(雇用主が彼らを解雇してお金を節約しましたか?)状況の複雑さに応じて、彼ら(以前のアドビン)に電話をかけなければならない場合があります。私は以前の管理者と友達で、すぐに彼らと友達になったことを知りました、私が古い管理者に電話する必要がある場合に備えて(会社が非営利団体へのギフトとして購入した別のドメインのWebホスティングへのパスワード)グループ)古い管理者がサイトを作成した非営利会社は、ドメインを更新するために彼(前の管理者)にさらに1年間支払わなかったため、依然として失われていましたが、少なくとも私は非営利団体のドメインを取り戻しました。

以前の管理者が口頭またはさらには(卑劣な)書面による脅威を作成した場合、すべてのコピーを複数保持します。また、それによって生じる可能性のある法的問題は、努力する価値がない(決してそうではない)と述べることもできます。うまくいけば、これは少し役立つでしょう。

4
Brad

そのすべてと解説を読んだ後...

あなたはめちゃくちゃです。ゼロから始めます。システムの強化、新しいキー/パスワード、VLAN、VPN ...

基本的には、9ヤード全体です。

非常に不満のある元管理者の観点から@に来てください。次に、考えられるこれらのベクトルに対して防御します。彼はリモートで作業し、VPN以外のすべてのリモートアクセスを制限しました(更新されたキーを使用)。

そのハッチルーチンの基本的なバテンは、ほとんどの企業がポリシーと手順を十分に前もって作成しているためです。

やり遂げることを願っていますが、何をすべきかについて多くの情報を得るためにここに来たなら、私はその会社を残念に思います。 :-(

4
laughingman

注:この回答は別の質問から移行され、この質問にマージされました。したがって、この質問にはまったく当てはまりません(もう1つの質問は、すでに多くのミスがあり、すぐに辞めるシステム管理者がまだアクセスできる状況を説明していました)。おそらく削除する必要がありますが、未編集のバージョンを下に残しました

私は他の答え(特に@ tylerl、@ lucaskauffman)は完全に正しいと思いますが、同時にそれらはおそらく過度の警告です。

はい、この不満を抱えたシステム管理者が何をする可能性があるのか​​、はっきりとはわかりません。ただし、誰かがシステムに侵入して損害を与えるには、かなりの不満が伴います。この種の行動は、おそらく労働契約の違反illegalの両方にあります(あなたが刑務所に行くことができる場合のようにあなたが捕まっています)。

私がそれを見る方法から、他の回答が見落とす、または後付けとして扱う重要なポイントは、根本原因またはあなたの最も高いリスクであるこの人を怒らせる方法)を修正する方法ですかもしれません

したがって、私は最初の最善の行動は、この人を最小の不満にしようとすることだと思います-=おそらく幸せ 。物事を引き渡し、彼らが何をしていたかを文書化し、後継者が簡単な仕事をしていることを確認するために、彼らに追加​​のお金を提供します。彼らが支払われたときに余分な「スタンバイ」補償さえ提供しますが、仕事をする必要はありません。会社にとって、外部の請負業者ではなく内部の従業員がこの作業を行うことが理にかなっている理由を説明してください。

同時に、彼らがシステムに完全にアクセスできる唯一の人物であることを明確にしてください。違反があった場合、彼らはprime suspectになり、あなたが勝ったことを明確にします。最小のインシデントでさえ、報告して調査することをためらわないでください。

IT全体を停止してゼロから構築することでも修正できますが、このソリューションが実際にどれほど現実的であるかはわかりません。

2
Yoav Aner