Contratista de TI con credenciales de administrador de dominio ¿la mejor práctica?

4

Vamos a contratar a un contratista externo para que realice algún trabajo en nuestro servidor de SharePoint y necesitarán derechos de administrador para la instalación de kerberos, etc.

¿Cuáles son las mejores prácticas para configurar la cuenta de usuario con la que este contratista realizará el control remoto?

¿Hay algunos documentos legales que deben firmarse que protegerán nuestra empresa?

También configuraremos el acceso VPN para este usuario a través de un firewall Meraki, ¿hay algún paso que deba seguir allí?

¿Hay alguna forma de rastrear la actividad de este usuario en la red?

    
pregunta llerdal 01.09.2016 - 19:09
fuente

1 respuesta

5

Primero las mejores prácticas generales:

  • No use cuentas genéricas (es decir, ConsultantCo) en lugar de usar cuentas con nombre (es decir, JSmith_Consultant). Uno para cada contratista.
  • El contratista probablemente no necesita administrador de dominio. La administración local en el servidor de SharePoint (y cualquier otro sistema que se necesite) debería ser suficiente.
  • Habilitar el registro en la (s) caja (s). Si es posible, envíe los registros a otro servidor al que el consultor no tenga acceso para fines de revisión / auditoría.
  • Habilitar inicios de sesión basados en el tiempo. En otras palabras, restrinja la capacidad del usuario para iniciar sesión solo en los momentos en que deberían estar trabajando.

Para dispositivos Meraki MX:

  • Del mismo modo, asegúrese de que el usuario no tenga permisos excesivos, si los usuarios VPN de Meraki no están vinculados a AD, entonces configure una contraseña separada (compleja) para esta cuenta también.
  • Habilitando el registro, Meraki admite la exportación a syslog para revisar la actividad.
  • No creo que Meraki haya implementado restricciones de tiempo en el acceso a VPN todavía, así que deshabilite manualmente la cuenta cuando no esté en uso (noches, fines de semana, días festivos, etc.)
respondido por el HashHazard 01.09.2016 - 20:09
fuente

Lea otras preguntas en las etiquetas