Un administrador nunca debe tener "credenciales de superusuario" que no se pueden eliminar simplemente eliminando su cuenta de usuario o mover la cuenta de usuario a un grupo que carece de permiso.

Un ejemplo: el administrador inicia sesión en un sistema Linux con su propia cuenta y usa sudo somecommand para hacer cosas que requieren permiso de root. No permite que este usuario administrador inicie sesión realmente como root (y, por lo tanto, conozca una única contraseña de root que debería cambiarse). NO HAY UNA CUENTA DE RAÍZ para iniciar sesión.

Creo que este principio también se puede aplicar a otras credenciales de acceso.

Por supuesto, esto solo funciona si todos siguen la política antes de renunciar a su trabajo o ser despedidos (o trasladados a otra parte de la compañía). no protege contra un administrador que rompe voluntariamente la política y crea una puerta trasera para él mismo.

Depende mucho de si el administrador lo dejó en buenos términos y de lo compleja que es su red, pero algunos de los buenos pasos a seguir son. He trabajado con varias organizaciones que toman algunos de estos pasos, pero ninguno de ellos los toma todos. Muchos de ellos solo revocan las credenciales de los usuarios y solo toman medidas adicionales si el administrador se fue en malas condiciones o fue a un competidor.

• Revocar las credenciales de los usuarios en todos los servidores de la red. Esto debe incluir claves, así como contraseñas.
• Si conocen los detalles de la raíz que no requieren iniciar sesión como otro usuario primero, estos datos también deben cambiarse.
• También se deben cambiar otros detalles de la cuenta, como los relacionados con el alojamiento del servidor, ya que siempre existe la posibilidad de que tengan una copia de ellos o puedan recordarlos.
• Si su red está cerrada, pero usted permite el tráfico de ciertas direcciones IP, como la dirección de inicio del administrador, es importante asegurarse de que también se eliminen del acceso.
• Si es posible monitorear los intentos de inicio de sesión con el nombre de usuario de Leavers, esto le dará una alerta sobre la posibilidad de que intenten acceder a sus sistemas.

Buena suerte con eso. Normalmente, se asegura de que se hayan hecho todas estas cosas antes de despedir a alguien. Si alguien tiene un poco de habilidad, puede ser muy difícil, si no casi imposible , para ver si no ha comprometido un sistema.

Si él era el único empleado, no se puede decir si tiene alguna puerta trasera en su lugar. Así que en este momento todavía podría tener acceso. Cuando le da acceso a un administrador del sistema, se gana su confianza y debe asegurarse de que también sea confiable.

Así que las cosas para comprobar:

• controlar todo el tráfico entrante y saliente

• revocar todo su acceso (debe hacerse antes de despedir a alguien)

• Documenting

Desde mi punto de vista personal:

Parece que no tienes experiencia con esto y puede ser bastante peligroso, debes obtener un asesor profesional. Al menos hubiera hablado con el chico y le hubiera preguntado qué ha hecho. Recuerda que tuvo acceso a todo, que puede romper cualquier cosa. Él conoce su infraestructura. Si hace algo malicioso, puede comenzar desde cero porque no se puede confiar en ninguno de sus sistemas actuales.

Si no me cree, eche un vistazo a estos casos:

• El empleado disgustado de DHL elimina todos los pedidos de 48 horas
• Chevron: el sistema de emergencia fue saboteado por empleados descontentos en más de 22 estados (EE. UU. 1992)
• Terry Childs, que cerraron FiberWAN

Como dijo @Joel: La gente cree que Jurassic Park se trata de dinosaurios que se comen gente y mierda, pero en realidad se trata de lo que sucede cuando no compensas a tu administrador de sistemas de forma adecuada

actualizacion

La compañía debería haberle dicho que iban a contratar a alguien en una posición fija un poco más por adelantado. Luego, explícale que todavía podría ayudar de vez en cuando si algo salía mal. También debe tener un período de transición más largo. Si no está cooperando, básicamente tienes el escenario de Terry Childs. Así que aparte de procesarlo, hay poco que puedas hacer.

  

que conocía la mayoría de las principales credenciales

No estoy exactamente seguro de tu significado, pero esto me asusta. Parece que el individuo tenía un amplio acceso y control sobre muchos sistemas críticos. El administrador del sistema puede incluso haber tenido control exclusivo. Hace algunos años la ciudad de San Francisco perdió el control de su red porque un solo administrador del sistema se negó a Dar sus contraseñas a sus superiores. Por lo tanto, mucho antes de que se vaya un administrador de sistemas, debe asegurarse de que haya al menos dos personas que tengan acceso y control sobre los sistemas críticos.

  

¿hay otras precauciones que deban tomarse además de cambiar esas credenciales?

Revocar el acceso físico.

Es probable que sea estándar recolectar las credenciales y las llaves de la oficina, pero no olvide las llaves de los gabinetes, las áreas restringidas, los códigos de alarma, los lugares de almacenamiento fuera del sitio, los permisos de estacionamiento, etc. Debe mantener un registro de todas las llaves físicas proporcionadas. Fuera, quién los recibió, y por qué. Además, debe poder cambiar los puntos de acceso críticos en 24 horas. Si su sistema de alarma permite que un usuario llame a una falsa alarma, asegúrese de que el empleado saliente sea eliminado de esa lista.

Que todos sepan.

Para un antiguo administrador de sistemas no es difícil para un ingeniero social un empleado actual. Es prácticamente imposible evitar que llamen a un empleado actual. Dado el acceso a la información interna, el administrador del sistema probablemente sepa a quién llamar y qué decir para obtener algún tipo de acceso a la red. Entonces, anuncie que el individuo ya no es un empleado. Si es posible, muestre una foto (una foto de identificación se ve bien) del exempleado. Asegúrese de que sepan con quién hablar si el antiguo administrador del sistema hace un contacto sospechoso. Si el administrador del sistema tenía una relación cercana con algún proveedor, compañía asociada o subsidiaria, infórmeselo también.

No olvides el teléfono y el sistema de correo de voz.

Las vulnerabilidades aquí van desde husmear en el correo de voz aleatorio hasta hacer llamadas de larga distancia a expensas de la compañía.

Tarjetas de crédito, cuentas de cargo, pedidos de compra

Si el administrador del sistema tenía autoridad para solicitar equipos, asegúrese de que se revoque la capacidad de todos los proveedores, proveedores, etc. Es trivial solicitar un equipo agradable mediante el procedimiento estándar y cambiar la dirección de envío.

Revise los contratos y acuerdos firmados por el ex empleado.

Si el administrador del sistema firmó algún contrato o acuerdo como parte de su trabajo, haga que alguien revise todos los documentos que firmó. Lo ideal es tener una base de datos de documentos que los empleados hayan firmado y poder recuperar instantáneamente todos los documentos que haya firmado un empleado determinado.

Verifique el parche y actualice el estado de sus sistemas críticos.

Incluso el empleado anterior no actuó como administrador de esos sistemas, es posible que sepan cuál era su estado.

Para el beneficio de todos los demás que leerán esto, este es definitivamente el momento equivocado para pensar en esto.

Ahora, te has puesto en una posición literalmente imposible; simplemente no puede decir con certeza que su sistema no está comprometido. Además, cuanto más difícil sea su administrador de sistemas o cuanta dificultad le haya dado, más probable es que él haya instalado algún tipo de puerta trasera. Como alguien que limpia este tipo de problemas para ganarse la vida, puedo decirles que el porcentaje de administradores de sistemas que hacen esto es inquietantemente alto y el peligro es muy real.

Sobre el tema de qué hacer ahora , el factor determinante principal es cuánto tiempo de inactividad puede tolerar y qué tan crítico es su sistema de TI para su negocio. Lo ideal es cerrar todo y reconstruirlo todo desde cero. Sí, en serio. Esto suena extremo, pero ahora que te has metido en este lío, es la única manera de estar seguro. Ninguna otra solución funcionará.

Si no puede pagar eso , o si cree que puede tolerar un compromiso serio, en su lugar puede examinar los sistemas uno por uno buscando procesos de larga duración, programados tareas, tokens de autenticación codificados, código de puerta trasera de autenticación, procesos de administración remota, VPN, registradores de pulsaciones de teclas u otras herramientas de monitoreo, cualquier otro componente que no sea coherente con su política de seguridad.

Y, por último, si no puedes permitírtelo , siempre puedes cerrar los ojos, cubrirte la cabeza y esperar lo mejor.

Cómo prevenir esto en el futuro

Más importante aún, aquí hay algunos consejos para evitar que esto vuelva a suceder:

• Tener varios administradores de sistemas de nivel superior . Las jerarquías son fáciles para la administración, pero malas para la seguridad. Necesitas a alguien que pueda "vigilar al observador"; alguien que tenga la habilidad y la autoridad para verificar qué está haciendo su administrador de sistemas y quién puede encontrar estas puertas traseras. Es mucho menos probable que un administrador de sistemas instale una puerta trasera si teme que alguien la encuentre.

• Prefiere la honestidad sobre la habilidad cuando contrata a un administrador del sistema. Necesitas a alguien en quien puedas confiar implícitamente, alguien que conozcas no te va a colgar para que se seque. Incluso si no son los administradores más capacitados, su función principal es ser responsable de sus defensas: la honestidad es más importante que todas las demás calificaciones combinadas.

• No toleres la superioridad condescendiente . Esto va de acuerdo con el punto anterior, pero para agregar un poco de claridad: a alguien que no respeta a los demás no se le puede confiar que actúe en el mejor interés de los demás. No se debe permitir que una persona así trabaje en TI en su empresa.

• Mantén contentos a tus administradores de sistemas , lo que sea que eso signifique para ellos. Si no están contentos, entonces solucione el problema o busque a otra persona, y rápido.

Después de leer TODO ese + comentario ...

Estás jodido. Empezar desde el principio. Sistemas Harden, nuevas claves / contraseñas, VLAN, VPN ...

Básicamente, los nueve metros enteros.

Come @ it desde la perspectiva de un ex-administrador MUY descontento. Entonces, defiéndete contra esos vectores concebibles. Trabajó de forma remota, restringe todos los demás accesos remotos excepto tu VPN (con claves actualizadas).

Es una rutina básica para las trampillas por las que la mayoría de las compañías tienen políticas y políticas; Procedimientos escritos con mucha antelación.

Espero que lo logres, pero si viniste aquí por tanta información sobre qué hacer, lo siento por la compañía. :-(

Tuve la desafortunada experiencia de casi el mismo problema. Perdí varias noches de sueño por esto, espero que esto te ayude.

Respuesta corta: Empezar desde el exterior hacia adentro. Si sus aplicaciones / operaciones internas permitirían cambiar las direcciones IP (si saben que atacarán) podría cambiar el juego. En mi caso, no pude hacer esto, ya que las aplicaciones ejecutadas desde sitios remotos estaban directamente en una IP externa.

Segundo, deshabilité el WiFi de la oficina que él (el administrador anterior) configuró. Hice este segundo porque sabía que sería capaz de verlo en la propiedad si intentara acceder. También mire para ver qué señales inalámbricas ve caminando alrededor de la premesis para intentar eliminar la posibilidad de que se instale un punto de acceso oculto sin que nadie lo sepa.

Lo siguiente que hice fue auditar CADA REGLA en mi firewall. Encontré algunas IP estáticas (tarjeta de aire e Internet por cable) que estaban "permitidas" y simplemente negué el acceso desde todas partes, por lo que no pude verificar que se necesitaba acceso.

A continuación, revisé todos los archivos de registro de cada servidor para buscar intentos de inicio de sesión fallidos. Si encuentra algo, documéntelo.

Luego, obligaría a TODOS LOS USUARIOS a cambiar sus contraseñas y aplicar una política que no permita palabras de un diccionario como contraseña. Tuve que convencer a la gerencia de esto, pero cuando mostré un ataque usando un archivo de diccionario VS bruteforce y aprobaron el cambio de la compañía en ese momento.

Siguiente (al menos en mi caso) era el sistema telefónico. Cambie todos los códigos de acceso para todos y obligue a que utilicen otra cosa (o hágalo por ellos si se niegan a cambiar su PIN de correo de voz)

Lo segundo que se debe hacer por último es detectar todo tu tráfico. Compre o construya un Tap de LAN de bajo costo (compré un tap de lan de star star) por aproximadamente $ 20 y lo puse entre el firewall y el interruptor principal en el que se encuentra todo. Presté especial atención al tráfico fuera del horario comercial. Esto debería ayudarlo a identificar lo que sucede en su red durante el horario no comercial.

Por último, dependiendo de la situación en su totalidad (¿su empleador los despidió para ahorrar dinero?) Es posible que tenga que llamarles (previo aviso) en función de la complejidad de la situación. Descubrí quién era amigo del administrador anterior y me hice amigo de ellos rápidamente, en caso de que tuviera que pedirle un favor al administrador anterior (contraseña para el alojamiento web de un dominio separado que la empresa compró como regalo para una organización sin fines de lucro). grupo) La compañía sin fines de lucro para la que el administrador anterior escribió un sitio todavía estaba perdida porque no le pagaron (administrador anterior) durante un año más para renovar el dominio, pero al menos recuperé el dominio para la organización sin fines de lucro.

Si el administrador anterior realiza amenazas verbales o incluso escritas (más tontas), conserve varias copias de todo. También puede indicar que los problemas legales que podrían surgir no valen la pena (que nunca lo son). Esperemos que esto te ayude un poco.

NOTA: esta respuesta se migró de otra pregunta y luego se fusionó con esta. Por lo tanto, no se aplica completamente a esta pregunta (la otra pregunta fue describir una situación en la que ya se cometieron muchos errores y el acceso aún estaba disponible para un administrador de sistemas que se va a dejar pronto). Tal vez debería eliminarse, pero dejé una versión sin editar a continuación

Creo que las otras respuestas (especialmente @tylerl, @lucaskauffman) son absolutamente correctas, pero al mismo tiempo, quizás sean demasiado alarmantes.

Sí, no puede estar seguro de lo que podría hacer este administrador de sistemas descontento. Sin embargo, se necesita bastante descontento para hacer que alguien entre en el sistema y cause daños. Este tipo de acción es muy probable tanto en incumplimiento de su contrato de trabajo como en ilegal (ya que puede ir a la cárcel si es atrapado).

Por el modo en que lo veo, el punto crucial que otras respuestas omiten o trata como una idea de último momento es cómo corregir la causa raíz o su mayor riesgo, que es lo molesto esta persona podría ser .

Por lo tanto, creo que el primer y mejor curso de acción es tratar de hacer que esta persona sea el menos descontento , posiblemente incluso feliz . Ofrézcales dinero extra para entregar las cosas, documentar lo que estaban haciendo y asegurarse de que el sucesor tenga un trabajo fácil. Ofrezca incluso una compensación adicional de 'standby' cuando les pagan, pero no tienen que hacer ningún trabajo. Explique por qué para la empresa tiene sentido que un empleado interno realice este trabajo en lugar de un contratista externo.

Al mismo tiempo, deje en claro que usted sabe que son las únicas personas capaces y que tienen acceso completo al sistema, y que si hay alguna violación, serán el principal sospechoso y que no dudará en informar e investigar incluso el incidente más pequeño.

Bajar todo tu IT y construirlo desde cero lo solucionará también, pero no veo qué tan realista es esta solución.