Zabezpieczanie serwera Mac po zwolnieniu administratora serwera

1

Ostatnio nasz administrator sieci i serwerów został zwolniony. Jesteśmy małą organizacją, która sama opiekowała się serwerami Windows i Mac. Próbowaliśmy zabezpieczyć sieć, zmieniając hasło zapory i wyłączając jej konto Windows.

Moje pytanie dotyczy bardziej zabezpieczenia naszego serwera Mac. Zbudowała serwer Mac na komputerze Mac Mini z systemem OS X 10.11 i wykorzystujemy go do rejestrowania urządzeń Mac i wypychania aplikacji za pomocą menedżera profili.

Teraz wyzwaniem jest to, że nigdy wcześniej nie korzystałem z komputerów Mac i nie mam żadnego doświadczenia w zarządzaniu serwerem lub administrowaniu nim. Próbowałem zabezpieczyć serwer Mac, zmieniając hasło do konta, które podała przed wyjazdem. Nie chcę wyłączać jej konta na mac mini, ponieważ w jej pęku kluczy zapisano wiele haseł, których nie wiemy, a teraz używamy zapisanych haseł.

Czy ktokolwiek mógłby mi pomóc, jak możemy zabezpieczyć nasz serwer Mac na wypadek, gdyby podjęła próbę sabotażu, ponieważ nadal może uzyskać dostęp do naszego serwera za pośrednictwem iCloud i może zdalnie wyczyścić serwer.

macos mac security server.app DickDale
źródło
Na podstawie czego zakładasz, że nadal może uzyskać dostęp do serwera zdalnie za pośrednictwem iCoud / Find My Mac?
nohillside
2
Jeśli naprawdę chcesz być bezpieczny, jedyną opcją jest ponowna instalacja serwera od podstaw. Związane z: serverfault.com/questions/171893/…
André Borie

Odpowiedzi:

3

Zasadniczo są dwie rzeczy, które musisz zrobić, aby zabezpieczyć komputer Mac przed (nieumyślnie) oddzielonym pracownikiem:

  1. Zabezpieczony przed dostępem z zewnątrz
  2. Zmień wszystkie hasła

Jest to podejście nakładające się, ponieważ żadne nie jest w 100% niezawodne. Jeśli jednak usuniesz tyle ścieżek dostępu spoza organizacji, cokolwiek zostanie pominięte, zostanie objęte zmienionymi poświadczeniami konta; i wzajemnie.

Bezpieczny dostęp z zewnątrz

Brzmi to tak, jakbyś miał poświadczenia administratora wymagane do zmiany / zablokowania swojego konta i dostępu do zapory. Więc musisz sprawdzić:

  • iCloud i AppleID. Zmień je natychmiast.
  • Wszelkie otwarte porty w zaporze, takie jak SSH i VNC. Nie potrzebujesz do tego hasła, ponieważ może „przejść przez tunel”. (Będziesz także chciał zamknąć Windows RDP (Remote Desktop, port 3389), ponieważ powiedziałeś, że masz serwery Windows.
  • Wyłącz SSH i VNC na komputerze Mac Mini, dopóki nie uda ci się zablokować wszystkiego
  • Oprogramowanie do zdalnego sterowania powinno zostać usunięte / wyłączone (TeamViewer, GoToMyPC, LogMeIn itp.)

Zmień wszystkie hasła

Ten sprowadza się do tego, jak „złośliwy” myślisz, że ta osoba jest lub może być. Wyłączyłeś jej hasło, ale czy miała inne konta lub znała hasła innych osób?

Cały czas spotykam się z tym scenariuszem, klienci małych firm zwykle robią rzeczy, przeciwko którym mają większe organizacje. Na przykład ktoś może mieć problem ze swoim urządzeniem i zamiast się zdalnie zabrać ze sobą laptopa, a gdy zostanie zapytany o hasło przez administratora komputera, użytkownik zapisze je.

Dzieje się tak, ponieważ istnieje wyższy poziom zaufania do mniejszej organizacji. Zazwyczaj nie stanowi to problemu, dopóki nie musisz zwolnić Administratora komputera. To tylko jeden przykład.

Jeśli uważasz, że osoba jest wystarczająco złośliwa, aby coś zrobić, zmień wszystkie hasła.

Wreszcie, jako ktoś, kto zarabia na życie, nie mogę ci powiedzieć, jak ważne jest zatrudnienie zewnętrznego konsultanta, który może pomóc ci zmniejszyć ryzyko. Jest to trzecia strona, bezstronna osoba (firma), która ma finansowe udziały w zabezpieczaniu twoich zasobów IT będzie (i powinna) mieć taki sam dostęp jak twój administrator (administratorzy). W ten sposób, jeśli coś się wydarzy, jest osoba, do której możesz zadzwonić, znająca twoją sieć i mająca wiedzę, która pozwoli ci działać.

Co najważniejsze, podpisana umowa (SLA - Service Level Agreement) między Tobą a dostawcą jest wspaniałą rzeczą dla użytkownika końcowego; dobrze sobie radzą w sądzie.

Allan
źródło
Wielkie dzięki za twoją radę. Użyła swojego osobistego adresu e-mail jako Apple ID. Teraz mogę ją podpisać i zalogować się, ale problem polega na tym, że aplikacje, które skonfigurowała, takie jak aplikacja serwera itp., Zostaną połączone z jej Apple ID. Czy jest sposób, w jaki mogę się zalogować przy użyciu mojego Apple ID, ale aplikacje nie są zakłócane i nadal używam istniejącego serwera bez przebudowy. Dzięki
DickDale
Możesz zmienić adres e-mail powiązany z Apple ID, ale nie możesz zmienić Apple ID ani przenosić aplikacje z jednego identyfikatora do następnego . Czy możesz zalogować się na jej Apple ID? Jeśli możesz, zrobiłbym to, zmień wiadomość e-mail na koncie i hasło. Dopóki nie możesz skonfigurować nowego Apple ID i odkupić wszystkie aplikacje.
Allan
Allan - Naprawdę doceniam twoją pomoc. Nie mam hasła do Apple ID ani do Cloud. Najwyraźniej korzystała z dwóch różnych kont i nazw domen, jednej dla chmury i jednej dla sklepu z aplikacjami. Jeśli utworzę inne konto administratora na mac mini i kupię aplikacje, a następnie wyłączę jej konto, czy zadziała? Czego jeszcze powinienem szukać. Wielkie dzięki
DickDale
To powinno działać. Bez zobaczenia, co się dzieje, trudno jest dać ci definitywną odpowiedź. Daj mi znać, jak mogę pomóc.
Allan
1

Czy korzystała z konta iCloud zarejestrowanego w Twojej firmie lub osobiście? Konta administracyjne, które wymagają adresu e-mail do skonfigurowania (np. ICloud), powinny używać adresu firmowego, takiego jak „[email protected]”, a nie adresu powiązanego z określonym użytkownikiem. Oznacza to, że gdy użytkownik odejdzie, zastępca będzie mógł korzystać z tego samego konta bez konieczności ponownego rejestrowania wszystkiego. Firmowa wiadomość e-mail powinna być również używana jako adres e-mail do odzyskiwania, więc administrator opuszczający mniej niż optymalne warunki nie może złośliwie przywrócić dostępu do siebie lub zresetować haseł (lub, w przypadku iCloud, zdalnie wyczyścić system!). Nawet w moim przypadku użycia (gdzie e-maile „admin” służą do kontrolowania dostępu do współdzielonych komputerów w laboratorium lub do administrowania siecią dla małej grupy non-profit) do żadnej rejestracji nie jest wykorzystywany osobisty adres e-mail - to wszystko jest obsługiwane przez dedykowane konto powiązany z grupą.

Naprawdę powinieneś również zainwestować w menedżera haseł, oprócz Keychain, z hasłem głównym, które jest znane kierownikowi działu IT i wyższemu kierownictwu, aby zapewnić, że dostęp nie zostanie utracony podczas rotacji personelu. Uzyskaj hasła z Keychain i skopiuj je do menedżera haseł. Użyj czegoś takiego jak 1Password, które może przechowywać archiwum haseł w sieci lokalnej, a nie tylko w chmurze.

dr.nixon
źródło
Czy konto było na Grupa konto takie jak [email protected] lub osobiste konto, takie jak [email protected], nadal musisz zmienić hasło, ponieważ oczywiście zwolniony administrator nadal będzie go miał. Menedżer haseł nadal nie zmienia faktu, że musisz zmienić hasła, jeśli administrator je znał lub stworzył konta, które nie zostały zsynchronizowane z menedżerem haseł.
Allan
„Nie możemy wyłączyć jej konta z powodu zapisanych haseł” - potrzebują menedżera, aby zapobiec temu problemowi. A konto administratora powinno być powiązane z firmą, a nie z osobą, tylko e-maile firmowe do konfiguracji i odzyskiwania. W chwili, gdy osoba opuszcza, hasła są zmieniane.
dr.nixon
SMH. Jesteś zagubiony wygoda z bezpieczeństwo. Możesz zmienić hasło administratora i nadal mieć dostęp do konta bez wyłączania go. W każdym razie chciałbyś zrzuć pęku kluczy aby uzyskać dostęp do wszystkiego. Menedżer haseł nie wyklucza przechowywania danych oddzielny hasła w pęku kluczy; to po prostu wygodne.
Allan
Jeśli obawiasz się, że mogłaby się zalogować i wyczyścić konto, tracą wszystkie hasła - nie powinny polegać na pojedynczym punkcie przechowywania krytycznych informacji takich jak ta. Umożliwia również dostęp do haseł z systemu innego niż Mac, czego nie można zrobić przy eksporcie Keychain. Sieć obejmuje systemy Win i Mac, więc rozwiązanie powinno być kompatybilne ze wszystkimi.
dr.nixon
Jak dokładnie osoba loguje się do systemu po zmianie hasła? Co także sprawia, że ​​uważasz, że scentralizowany plik nie jest dostępny na różnych platformach? Wszystko inne w tym komentarzu jest cechą / korzyścią (aka wygoda ) posiadania menedżera haseł; nic wspólnego z rzeczywistym bezpieczeństwem.
Allan
0

Najbezpieczniejszym rozwiązaniem byłoby całkowite zalogowanie tego użytkownika z iCloud ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )

Upewnij się, że wybrałeś „Keep on Mac”, gdy pytasz, czy chcesz zachować dane z kont iCloud różne funkcje.

David Baverstock
źródło
Kiedy się wylogowałem - nie daje mi opcji zapisywania danych na mac, zamiast tego mówi o usunięciu danych z Maca. Jeśli zaloguję się przy użyciu mojego identyfikatora iCloud, serwer będzie działał prawidłowo. Czy będzie miało jakiekolwiek konsekwencje dla aplikacji, które zostały pobrane przy użyciu innego identyfikatora Apple ID.
DickDale
0

Profile Manager potrzebuje Apple ID, aby wypchnąć profile na urządzenia, więc musisz przejść do aplikacji Server i skonfigurować menedżera profili z innym Apple ID (pomocne będą porady Dr. Nixona), przechodząc do karty ustawień w pierwszej okienko, które się pojawi (nazwa dla twojego serwera). Poszukaj pola wyboru „Powiadomienie push Apple” i wybierz przycisk „Edytuj identyfikator Apple ID”.

To powinno umożliwić Menedżerowi profili kontynuowanie pracy. Aplikacje pozostają zakupione, więc nadal możesz z nich korzystać, ale mogą nie aktualizować bez identyfikatora Apple ID kupującego.

Hasło administratora katalogu (dla Open Directory, który został skonfigurowany jako część Menedżera profili) może być bardziej skomplikowanym problemem. Jak powiedział Allan, najlepiej jest zatrudnić kogoś doświadczonego, aby oczyścić sytuację.

Leland Wallace
źródło