Ostatnio nasz administrator sieci i serwerów został zwolniony. Jesteśmy małą organizacją, która sama opiekowała się serwerami Windows i Mac. Próbowaliśmy zabezpieczyć sieć, zmieniając hasło zapory i wyłączając jej konto Windows.
Moje pytanie dotyczy bardziej zabezpieczenia naszego serwera Mac. Zbudowała serwer Mac na komputerze Mac Mini z systemem OS X 10.11 i wykorzystujemy go do rejestrowania urządzeń Mac i wypychania aplikacji za pomocą menedżera profili.
Teraz wyzwaniem jest to, że nigdy wcześniej nie korzystałem z komputerów Mac i nie mam żadnego doświadczenia w zarządzaniu serwerem lub administrowaniu nim. Próbowałem zabezpieczyć serwer Mac, zmieniając hasło do konta, które podała przed wyjazdem. Nie chcę wyłączać jej konta na mac mini, ponieważ w jej pęku kluczy zapisano wiele haseł, których nie wiemy, a teraz używamy zapisanych haseł.
Czy ktokolwiek mógłby mi pomóc, jak możemy zabezpieczyć nasz serwer Mac na wypadek, gdyby podjęła próbę sabotażu, ponieważ nadal może uzyskać dostęp do naszego serwera za pośrednictwem iCloud i może zdalnie wyczyścić serwer.
źródło
Odpowiedzi:
Zasadniczo są dwie rzeczy, które musisz zrobić, aby zabezpieczyć komputer Mac przed (nieumyślnie) oddzielonym pracownikiem:
Jest to podejście nakładające się, ponieważ żadne nie jest w 100% niezawodne. Jeśli jednak usuniesz tyle ścieżek dostępu spoza organizacji, cokolwiek zostanie pominięte, zostanie objęte zmienionymi poświadczeniami konta; i wzajemnie.
Bezpieczny dostęp z zewnątrz
Brzmi to tak, jakbyś miał poświadczenia administratora wymagane do zmiany / zablokowania swojego konta i dostępu do zapory. Więc musisz sprawdzić:
Zmień wszystkie hasła
Ten sprowadza się do tego, jak „złośliwy” myślisz, że ta osoba jest lub może być. Wyłączyłeś jej hasło, ale czy miała inne konta lub znała hasła innych osób?
Cały czas spotykam się z tym scenariuszem, klienci małych firm zwykle robią rzeczy, przeciwko którym mają większe organizacje. Na przykład ktoś może mieć problem ze swoim urządzeniem i zamiast się zdalnie zabrać ze sobą laptopa, a gdy zostanie zapytany o hasło przez administratora komputera, użytkownik zapisze je.
Dzieje się tak, ponieważ istnieje wyższy poziom zaufania do mniejszej organizacji. Zazwyczaj nie stanowi to problemu, dopóki nie musisz zwolnić Administratora komputera. To tylko jeden przykład.
Jeśli uważasz, że osoba jest wystarczająco złośliwa, aby coś zrobić, zmień wszystkie hasła.
Wreszcie, jako ktoś, kto zarabia na życie, nie mogę ci powiedzieć, jak ważne jest zatrudnienie zewnętrznego konsultanta, który może pomóc ci zmniejszyć ryzyko. Jest to trzecia strona, bezstronna osoba (firma), która ma finansowe udziały w zabezpieczaniu twoich zasobów IT będzie (i powinna) mieć taki sam dostęp jak twój administrator (administratorzy). W ten sposób, jeśli coś się wydarzy, jest osoba, do której możesz zadzwonić, znająca twoją sieć i mająca wiedzę, która pozwoli ci działać.
Co najważniejsze, podpisana umowa (SLA - Service Level Agreement) między Tobą a dostawcą jest wspaniałą rzeczą dla użytkownika końcowego; dobrze sobie radzą w sądzie.
źródło
Czy korzystała z konta iCloud zarejestrowanego w Twojej firmie lub osobiście? Konta administracyjne, które wymagają adresu e-mail do skonfigurowania (np. ICloud), powinny używać adresu firmowego, takiego jak „[email protected]”, a nie adresu powiązanego z określonym użytkownikiem. Oznacza to, że gdy użytkownik odejdzie, zastępca będzie mógł korzystać z tego samego konta bez konieczności ponownego rejestrowania wszystkiego. Firmowa wiadomość e-mail powinna być również używana jako adres e-mail do odzyskiwania, więc administrator opuszczający mniej niż optymalne warunki nie może złośliwie przywrócić dostępu do siebie lub zresetować haseł (lub, w przypadku iCloud, zdalnie wyczyścić system!). Nawet w moim przypadku użycia (gdzie e-maile „admin” służą do kontrolowania dostępu do współdzielonych komputerów w laboratorium lub do administrowania siecią dla małej grupy non-profit) do żadnej rejestracji nie jest wykorzystywany osobisty adres e-mail - to wszystko jest obsługiwane przez dedykowane konto powiązany z grupą.
Naprawdę powinieneś również zainwestować w menedżera haseł, oprócz Keychain, z hasłem głównym, które jest znane kierownikowi działu IT i wyższemu kierownictwu, aby zapewnić, że dostęp nie zostanie utracony podczas rotacji personelu. Uzyskaj hasła z Keychain i skopiuj je do menedżera haseł. Użyj czegoś takiego jak 1Password, które może przechowywać archiwum haseł w sieci lokalnej, a nie tylko w chmurze.
źródło
Najbezpieczniejszym rozwiązaniem byłoby całkowite zalogowanie tego użytkownika z iCloud ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )
Upewnij się, że wybrałeś „Keep on Mac”, gdy pytasz, czy chcesz zachować dane z kont iCloud różne funkcje.
źródło
Profile Manager potrzebuje Apple ID, aby wypchnąć profile na urządzenia, więc musisz przejść do aplikacji Server i skonfigurować menedżera profili z innym Apple ID (pomocne będą porady Dr. Nixona), przechodząc do karty ustawień w pierwszej okienko, które się pojawi (nazwa dla twojego serwera). Poszukaj pola wyboru „Powiadomienie push Apple” i wybierz przycisk „Edytuj identyfikator Apple ID”.
To powinno umożliwić Menedżerowi profili kontynuowanie pracy. Aplikacje pozostają zakupione, więc nadal możesz z nich korzystać, ale mogą nie aktualizować bez identyfikatora Apple ID kupującego.
Hasło administratora katalogu (dla Open Directory, który został skonfigurowany jako część Menedżera profili) może być bardziej skomplikowanym problemem. Jak powiedział Allan, najlepiej jest zatrudnić kogoś doświadczonego, aby oczyścić sytuację.
źródło