Sichern des Mac-Servers, nachdem Server-Admin gefeuert wurde

Kürzlich wurde unser Netzwerk- und Serveradministrator entlassen. Wir sind eine kleine Organisation und sie kümmerte sich allein um Windows- und Mac-Server. Wir haben versucht, das Netzwerk zu sichern, indem wir das Firewall-Passwort geändert und ihr Windows-Konto deaktiviert haben.

Meine Frage hier bezieht sich eher auf die Sicherung unseres Mac-Servers. Sie hat den Mac-Server auf einem Mac Mini mit OS X 10.11 erstellt und wir verwenden ihn, um Mac-Geräte zu registrieren und Apps über den Profilmanager zu pushen.

Jetzt ist die Herausforderung, dass ich noch nie Macs verwendet habe und keine Erfahrung mit der Verwaltung oder Verwaltung von Servern habe. Ich habe versucht, den Mac-Server zu sichern, indem ich ihr Kontopasswort geändert habe, das sie vor der Abreise angegeben hat. Ich möchte ihr Konto auf dem Mac Mini nicht deaktivieren, da in ihrem Schlüsselbund viele Passwörter gespeichert waren, die wir nicht kennen, und im Moment verwenden wir die gespeicherten Passwörter.

Könnte mir bitte jemand erklären, wie wir unseren Mac-Server sichern können, falls sie einen Sabotageversuch unternimmt, da sie immer noch über iCloud auf unseren Server zugreifen und den Server aus der Ferne löschen kann.

Basierend auf was gehen Sie davon aus, dass sie immer noch über iCoud/Find My Mac remote auf den Server zugreifen kann?
Wenn Sie wirklich sicher sein wollen, besteht die einzige Möglichkeit darin, den Server von Grund auf neu zu installieren. Siehe auch: serverfault.com/questions/171893/…

Antworten (4)

Grundsätzlich müssen Sie zwei Dinge tun, um Ihren Mac vor einem (unfreiwillig) getrennten Mitarbeiter zu schützen:

  1. Sicher vor Zugriff von außen
  2. Alle Passwörter ändern

Dies ist ein sich überschneidender Ansatz, da keiner zu 100 % narrensicher ist. Wenn Sie jedoch so viele der Zugriffspfade von außerhalb der Organisation entfernen, wird alles, was übersehen wird, von den geänderten Kontoanmeldeinformationen abgedeckt; und umgekehrt.

Sicher vor Zugriff von außen

Es hört sich so an, als hätten Sie die Administrator-Anmeldeinformationen, die erforderlich sind, um ihr Konto zu ändern/zu sperren und auf die Firewall zuzugreifen. Was Sie also überprüfen müssen, ist:

  • iCloud und AppleID. Lassen Sie diese sofort wechseln.
  • Alle offenen Ports auf der Firewall wie SSH und VNC. Sie brauchen dafür kein Passwort, da sie direkt hindurch „tunneln“ kann. (Sie sollten auch Windows RDP (Remote Desktop, Port 3389) schließen, da Sie sagten, Sie hätten Windows-Server.
  • Schalten Sie SSH und VNC auf dem Mac Mini vorerst aus, bis Sie alles sperren können
  • Fernsteuerungssoftware sollte entfernt/deaktiviert werden (TeamViewer, GoToMyPC, LogMeIn usw.)

Alle Passwörter ändern

Hier kommt es darauf an, wie "bösartig" diese Person Ihrer Meinung nach ist oder sein kann. Sie haben ihr Passwort deaktiviert, aber hatte sie andere Konten oder kannte sie die Passwörter anderer Personen?

Ich stoße ständig auf dieses Szenario, kleine Geschäftskunden neigen dazu, Dinge zu tun, gegen die größere Organisationen Richtlinien haben. Beispielsweise kann jemand ein Problem mit seinem Gerät haben und anstatt sich per Remote-Zugriff einzuloggen, bringt er seinen Laptop mit, und wenn er vom Computeradministrator nach dem Passwort gefragt wird, schreibt der Benutzer es auf.

Dies geschieht, weil in einer kleineren Organisation ein höheres Maß an Vertrauen besteht. Es ist normalerweise kein Problem, bis Sie den Computeradministrator feuern müssen. Das ist nur ein Beispiel.

Wenn Sie glauben, dass die Person böswillig genug ist, um etwas zu tun, lassen Sie alle Passwörter ändern.

Schließlich kann ich Ihnen als jemand, der dies beruflich macht, nicht sagen, wie wichtig es ist, einen externen Berater einzustellen, der Ihnen helfen kann, diese Risiken für Sie zu mindern. Hierbei handelt es sich um eine unabhängige Drittperson (Unternehmen), die einen finanziellen Anteil an der Sicherung Ihrer IT-Ressourcen hat, wird (und sollte) denselben Zugriff wie Ihr(e) Administrator(en) haben. Auf diese Weise können Sie, sollte etwas passieren, eine Person anrufen, die mit Ihrem Netzwerk vertraut ist und über das Fachwissen verfügt, um Sie am Laufen zu halten.

Das Beste ist, dass ein unterzeichneter Vertrag (SLA – Service Level Agreement) zwischen Ihnen und einem Anbieter eine wunderbare Sache für den Endbenutzer ist; sie halten vor Gericht sehr gut.

Vielen Dank an alle für Ihre Ratschläge. Sie verwendete ihre private E-Mail-Adresse als Apple-ID. Jetzt kann ich sie abmelden und mich selbst anmelden, aber das Problem ist, dass die Apps, die sie wie Server-App usw. konfiguriert hat, mit ihrer Apple-ID verbunden werden. Gibt es eine Möglichkeit, mich mit meiner Apple-ID anzumelden, aber Apps werden nicht gestört und ich verwende den vorhandenen Server weiter, ohne ihn neu zu erstellen. Danke
Sie können die mit einer Apple-ID verknüpfte E-Mail-Adresse ändern, aber Sie können weder die Apple-ID ändern noch Apps von einer ID zur nächsten verschieben . Kannst du dich bei ihrer Apple-ID anmelden? Wenn Sie können, würde ich dies tun, die E-Mail auf dem Konto und das Passwort ändern. Bis Sie eine neue Apple-ID einrichten und alle Apps erneut kaufen können.
Allan - Ich schätze Ihre Hilfe wirklich sehr. Ich habe weder das Passwort für Apple ID noch für Cloud. Anscheinend hat sie zwei verschiedene Konten und Domänennamen verwendet, einen für die Cloud und einen für den App Store. Wenn ich ein weiteres Administratorkonto auf dem Mac mini erstelle und die Apps kaufe und dann ihr Konto deaktiviere, funktioniert es dann? Wonach soll ich noch suchen. Vielen Dank
Es sollte funktionieren. Ohne wirklich zu sehen, was vor sich geht, ist es schwierig, Ihnen eine eindeutige Antwort zu geben. Lassen Sie mich wissen, wie ich helfen kann.

Hat sie ein iCloud-Konto verwendet, das für Ihr Unternehmen oder für sie persönlich registriert ist? Administratorkonten, für deren Einrichtung eine E-Mail-Adresse erforderlich ist (wie iCloud), sollten eine Unternehmensadresse wie „admin@company.com“ verwenden und keine an einen bestimmten Benutzer gebundene Adresse. Das bedeutet, dass beim Ausscheiden des Benutzers ein Ersatz dasselbe Konto verwenden kann, ohne dass alles neu registriert werden muss. Eine Unternehmens-E-Mail-Adresse sollte auch als Kontakt-E-Mail-Adresse für die Wiederherstellung verwendet werden, damit ein Administrator, der unter nicht optimalen Bedingungen abreist, nicht böswillig den Zugriff auf sich selbst wiederherstellen oder Kennwörter zurücksetzen kann (oder mit iCloud ein System aus der Ferne löschen kann!). Selbst in meinem Anwendungsfall (wo "Admin"-E-Mails dazu dienen, den Zugriff auf gemeinsam genutzte Computer in einem Labor oder die Webverwaltung für eine kleine gemeinnützige Gruppe zu kontrollieren)

Sie sollten wirklich auch in einen Passwort-Manager investieren, etwas anderes als den Schlüsselbund, mit einem Master-Passwort, das dem IT-Manager und der Geschäftsleitung bekannt ist, um sicherzustellen, dass der Zugriff bei Personalwechsel nicht verloren geht. Holen Sie sich die Passwörter aus dem Schlüsselbund und kopieren Sie sie in den Passwortmanager. Verwenden Sie etwas wie 1Password, das das Passwortarchiv im lokalen Netzwerk speichern kann, nicht nur in der Cloud.

Unabhängig davon, ob es sich bei dem Konto um ein Gruppenkonto wie admin@compnay.com oder um ein persönliches Konto wie meinname@compnay.com handelte, müssen Sie das Passwort trotzdem ändern, da der entlassene Administrator es offensichtlich immer noch hat. Ein Passwort-Manager ändert immer noch nichts an der Tatsache, dass Sie Passwörter ändern müssen, wenn der Administrator sie kannte oder Konten erstellte, die nicht mit dem Passwort-Manager synchronisiert wurden.
„Wegen der gespeicherten Passwörter können wir ihr Konto nicht deaktivieren“ – sie brauchen einen Manager, der verhindert, dass dies ein Problem darstellt. Und das Administratorkonto sollte an das Unternehmen gebunden sein, nicht an die Person, mit nur Firmen-E-Mails für die Einrichtung und Wiederherstellung. Sobald eine Person geht, werden die Passwörter geändert.
SMH. Sie verwechseln Komfort mit Sicherheit. Sie können das Administratorkennwort ändern und haben weiterhin Zugriff auf das Konto, ohne es zu deaktivieren. Wie auch immer, Sie möchten den Schlüsselbund entleeren , um Zugriff auf alles zu erhalten. Ein Passwort-Manager hindert niemanden daran, separate Passwörter in einem Schlüsselbund zu speichern; es ist einfach bequem.
Wenn sie befürchten, dass sie sich anmelden und das Konto löschen könnten, verlieren sie alle Passwörter – sie sollten sich nicht auf einen einzigen Speicherpunkt für kritische Informationen wie diese verlassen. Es ermöglicht auch den Zugriff auf die Passwörter von einem Nicht-Mac-System, was mit einem Schlüsselbund-Export nicht möglich ist. Das Netzwerk umfasst Win- und Mac-Systeme, daher sollte die Lösung mit allen kompatibel sein.
Wie genau meldet sich eine Person bei einem System an, wenn ihr Passwort geändert wird? Was lässt Sie auch glauben, dass eine zentralisierte Datei nicht plattformübergreifend zugänglich ist? Alles andere in diesem Kommentar ist eine Funktion/ein Vorteil (auch bekannt als Bequemlichkeit ) eines Passwort-Managers; nichts mit tatsächlicher Sicherheit zu tun.
Die Antwort richtet sich an einen Endbenutzer, der kein Experte für solche Dinge ist. Wenn Sie die Frage lesen, handelt es sich um eine unerfahrene Person, die versucht, ein System zu sichern, und sich dabei auf gespeicherte Passwörter in einem Konto verlässt. Wie wurde das Konto eingerichtet? Hat ein ehemaliger IT-Mitarbeiter die Option „Zulassen, dass Benutzer das Passwort mit iCloud zurücksetzen“ verwendet? In diesem Fall würde das Ändern des Passworts sie nicht davon abhalten, das System zu löschen, insbesondere wenn sie die E-Mail zur Kontowiederherstellung kontrolliert. Es ist vielleicht nicht Ihre bevorzugte Lösung, aber es ist ein einfaches und effektives plattformübergreifendes Backup, das von einem Laien implementiert werden kann.
Ihre Strategie besteht also darin, ihm eine Lösung anzubieten, die das Sicherheitsproblem nicht wirklich angeht, weil Ihre bevorzugte Methode praktisch ist? Wenn Sie meine Antwort noch einmal lesen, werden Sie feststellen, dass ich auf alle Ihre Bedenken eingehe. Ihre Lösung ist einfach, ja, aber sie ist nicht effektiv. Ich fürchte, Sie werden das OP in ein falsches Sicherheitsgefühl wiegen, weil Sie sich auf eine Strategie verlassen, die aus "Gruppen" -E-Mail-Konten und einem "Passwort-Manager" besteht.

Am sichersten wäre es, diesen Benutzer vollständig von iCloud abzumelden ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )

Stellen Sie sicher, dass Sie „Auf Mac behalten“ auswählen, wenn Sie gefragt werden, ob Sie die Daten aus den verschiedenen Funktionen der iCloud-Konten behalten möchten.

Wenn ich mich abgemeldet habe, habe ich keine Möglichkeit, Daten auf dem Mac zu speichern, sondern es heißt Daten vom Mac löschen. Wenn ich mich mit meiner iCloud-ID anmelde, funktioniert der Server weiterhin einwandfrei. Hat es Auswirkungen auf Apps, die mit einer anderen Apple-ID heruntergeladen wurden?

Der Profilmanager benötigt eine Apple-ID, um Profile auf Geräte zu übertragen, also müssen Sie in die Serveranwendung gehen und den Profilmanager mit einer anderen Apple-ID konfigurieren (der Rat von Dr. Nixon wird hier hilfreich sein), indem Sie im ersten auf die Registerkarte Einstellungen gehen Bereich, der erscheint (der nach Ihrem Server benannt ist). Suchen Sie nach dem Kontrollkästchen "Apple-Push-Benachrichtigung" und wählen Sie die Schaltfläche "Apple-ID bearbeiten".

Dadurch sollte der Profilmanager weiterarbeiten können. Anwendungen bleiben gekauft, sodass Sie sie weiterhin verwenden können, sie werden jedoch möglicherweise nicht ohne die Apple-ID des Käufers aktualisiert.

Das Passwort für den Verzeichnisadministrator (für Open Directory, das als Teil des Profilmanagers eingerichtet wurde) könnte ein schwierigeres Problem sein. Wie Allan sagte, ist es am besten, jemanden einzustellen, der erfahren ist, um die Situation zu bereinigen.

Sichern des Mac-Servers, nachdem Server-Admin gefeuert wurde
AntwortenHierDatenschutz-Bestimmungen1y, 0v