Asegurar el servidor Mac después de que el administrador del servidor fuera despedido

Recientemente, nuestro Administrador de Redes y Servidores fue despedido. Somos una organización pequeña y ella estaba sola cuidando servidores Windows y Mac. Hemos tratado de asegurar la red cambiando la contraseña del firewall y deshabilitando su cuenta de Windows.

Mi pregunta aquí es más sobre cómo asegurar nuestro servidor Mac. Ella construyó el servidor Mac en una Mac Mini con OS X 10.11 y lo usamos para inscribir dispositivos Mac y enviar aplicaciones a través del administrador de perfiles.

Ahora el desafío es que nunca antes había usado Mac y no tengo experiencia en la gestión o administración de servidores. Traté de proteger el servidor Mac cambiando la contraseña de su cuenta que me dio antes de salir. No quiero deshabilitar su cuenta en Mac mini porque había un montón de contraseñas guardadas en su llavero que no conocemos y en este momento estamos usando las contraseñas guardadas.

¿Alguien podría orientarme sobre cómo podemos asegurar nuestro servidor Mac en caso de que ella haga algún intento de sabotaje, ya que aún puede acceder a nuestro servidor a través de iCloud y puede borrar el servidor de forma remota?

¿En base a qué supone que todavía puede acceder al servidor de forma remota a través de iCoud/Find My Mac?
Si realmente quiere estar seguro, la única opción es reinstalar el servidor desde cero. Relacionado: serverfault.com/questions/171893/…

Respuestas (4)

Básicamente, hay dos cosas que debe hacer para proteger su Mac de un empleado separado (involuntariamente):

  1. Acceso seguro desde el exterior
  2. Cambiar todas las contraseñas

Este es un enfoque superpuesto porque ninguno es 100% infalible. Sin embargo, si elimina la mayor cantidad posible de rutas de acceso desde fuera de la organización, lo que falte quedará cubierto por las credenciales de cuenta modificadas; y viceversa.

Acceso seguro desde el exterior

Parece que tiene las credenciales de administrador necesarias para cambiar/bloquear su cuenta y acceder al cortafuegos. Entonces, lo que debes verificar es:

  • iCloud y ID de Apple. Cámbialos de inmediato.
  • Cualquier puerto abierto en el firewall como SSH y VNC. No necesita una contraseña para estos, ya que ella puede "hacer un túnel" directamente. (También querrá cerrar Windows RDP (Escritorio remoto, puerto 3389) ya que dijo que tenía servidores Windows.
  • Apague SSH y VNC en la Mac Mini por el momento hasta que pueda bloquear todo
  • El software de control remoto debe eliminarse/deshabilitarse (TeamViewer, GoToMyPC, LogMeIn, etc.)

Cambiar todas las contraseñas

Este se reduce a cuán "maliciosa" crees que esta persona es o puede ser. Deshabilitaste su contraseña, pero ¿tenía otras cuentas o conocía las contraseñas de otras personas?

Me encuentro con este escenario todo el tiempo, los clientes de pequeñas empresas tienden a hacer cosas contra las que las organizaciones más grandes tienen políticas. Por ejemplo, alguien puede tener un problema con su dispositivo y, en lugar de conectarse de forma remota, traerá su computadora portátil y cuando el administrador de la computadora le solicite la contraseña, el usuario la escribirá.

Sucede porque hay un mayor nivel de confianza en una organización más pequeña. Por lo general, no es un problema hasta que tenga que despedir al administrador de la computadora. Ese es solo un ejemplo.

Si cree que la persona es lo suficientemente maliciosa como para hacer algo, cambie todas las contraseñas.

Finalmente, como alguien que hace esto para ganarse la vida, no puedo decirle lo importante que es contratar a un consultor externo que pueda ayudarlo a mitigar estos riesgos para usted. Esta es una persona (empresa) imparcial de terceros que tiene un interés financiero en asegurar sus activos de TI (y debería) tener el mismo acceso que su(s) administrador(es). De esta manera, si algo sucediera, hay una persona a la que puede llamar que está familiarizada con su red y tiene la experiencia para mantenerlo en funcionamiento.

Lo mejor de todo es que un contrato firmado (SLA - Service Level Agreement) entre usted y un proveedor es algo maravilloso para el usuario final; se sostienen muy bien en la corte.

Muchas gracias a todos por vuestros consejos. Usó su dirección de correo electrónico personal como ID de Apple. Ahora puedo cerrar sesión e iniciar sesión yo mismo, pero el problema es que las aplicaciones que ella configuró como aplicaciones de servidor, etc. se conectarán a su ID de Apple. ¿Hay alguna manera de que pueda iniciar sesión con mi ID de Apple pero las aplicaciones no se interrumpen y sigo usando el servidor existente sin reconstruir? Gracias
Puede cambiar la dirección de correo electrónico asociada con una ID de Apple, pero no puede cambiar la ID de Apple ni mover aplicaciones de una ID a la siguiente . ¿Puedes iniciar sesión en su ID de Apple? Si puedes, yo lo haría, cambiar el correo electrónico de la cuenta y la contraseña. Hasta que pueda configurar una nueva ID de Apple y volver a comprar todas las aplicaciones.
Allan: Realmente aprecio toda tu ayuda. No tengo la contraseña para Apple ID ni para Cloud. Aparentemente, usó dos cuentas y nombres de dominio diferentes, uno para la nube y otro para la tienda de aplicaciones. Si creo otra cuenta de administrador en mac mini y compro las aplicaciones y luego deshabilito su cuenta, ¿funcionará? Que mas debo buscar. Muchas gracias
Deberia de funcionar. Sin ver realmente lo que está pasando, es difícil darte una respuesta definitiva. Déjame saber cómo puedo ayudar.

¿Usó una cuenta de iCloud registrada a nombre de su empresa o de ella personalmente? Las cuentas de administrador que requieren una dirección de correo electrónico para configurarse (como iCloud) deben usar una dirección corporativa como "admin@company.com" y no una dirección vinculada a un usuario específico. Esto significa que cuando el usuario se vaya, un reemplazo podrá usar la misma cuenta sin tener que volver a registrar todo. También se debe usar un correo electrónico corporativo como correo electrónico de contacto de recuperación, por lo que un administrador que se va en condiciones menos que óptimas no puede restaurar maliciosamente el acceso a sí mismo o restablecer contraseñas (o, con iCloud, borrar un sistema de forma remota). Incluso en mi caso de uso (donde los correos electrónicos de "administrador" son para controlar el acceso a computadoras compartidas en un laboratorio o administración web para un pequeño grupo sin fines de lucro) nadie

Realmente también debería invertir en un administrador de contraseñas, algo además del llavero, con una contraseña maestra que sea conocida por el administrador de TI y el liderazgo senior, para garantizar que el acceso no se pierda durante la rotación del personal. Saque las contraseñas del llavero y cópielas en el administrador de contraseñas. Use algo como 1Password que puede almacenar el archivo de contraseñas en la red local, no solo en la nube.

Ya sea que la cuenta fuera una cuenta de grupo como admin@compnay.com o una cuenta personal como myname@compnay.com, aún debe cambiar la contraseña porque, obviamente, el administrador despedido aún la tendrá. Un administrador de contraseñas aún no cambia el hecho de que necesita cambiar las contraseñas si el administrador las conocía o creó cuentas que no estaban sincronizadas con el administrador de contraseñas.
"No podemos deshabilitar su cuenta debido a las contraseñas guardadas": necesitan un administrador para evitar que esto sea un problema. Y la cuenta de administrador debe estar vinculada a la empresa, no a la persona, con solo correos electrónicos de la empresa para configuración y recuperación. En el instante en que una persona se va, se cambian las contraseñas.
SMH. Estás confundiendo comodidad con seguridad. Puede cambiar la contraseña de administrador y seguir teniendo acceso a la cuenta sin deshabilitarla. De todos modos, querrás volcar el llavero para tener acceso a todo. Un administrador de contraseñas no impide que alguien almacene contraseñas separadas en un llavero; es simplemente conveniente.
Si la preocupación es que ella pueda iniciar sesión y borrar la cuenta, pierden todas las contraseñas; no deben confiar en un solo punto de almacenamiento para información crítica como esta. También permite el acceso a las contraseñas desde un sistema que no sea Mac, lo que no se puede hacer con una exportación de llavero. La red incluye sistemas Win y Mac, por lo que la solución debe ser compatible con todos.
¿Cómo inicia sesión exactamente una persona en un sistema cuando se cambia su contraseña? ¿Qué también le hace pensar que un archivo centralizado no es accesible entre plataformas? Todo lo demás en ese comentario es una característica/beneficio (también conocido como conveniencia ) de tener un administrador de contraseñas; nada que ver con la seguridad real.
La respuesta está dirigida a un usuario final que no es un experto en este tipo de cosas. Al leer la pregunta, esta es una persona sin experiencia encargada de tratar de asegurar un sistema y confiar en las contraseñas guardadas en una cuenta para hacerlo. ¿Cómo se configuró la cuenta? ¿Usó la persona anterior de TI la opción "permitir que el usuario restablezca la contraseña con iCloud"? En ese caso, cambiar la contraseña no le impediría borrar el sistema, especialmente si controla el correo electrónico de recuperación de la cuenta. Puede que no sea su solución preferida, pero es una copia de seguridad multiplataforma simple y efectiva para que la implemente un no experto.
Entonces, ¿su estrategia es brindarle una solución que en realidad no aborde el problema de seguridad porque su método preferido es conveniente? Si vuelve a leer mi respuesta, verá que atiendo cada una de sus inquietudes. Su solución es simple, sí, pero no es efectiva. Me temo que adormecerá al OP con una falsa sensación de seguridad debido a la dependencia de una estrategia que consiste en cuentas de correo electrónico "grupales" y un "administrador de contraseñas".

Lo más seguro sería desconectar a ese usuario de iCloud por completo ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )

Asegúrese de elegir "Mantener en Mac" cuando le pregunte si desea conservar los datos de las diversas funciones de las cuentas de iCloud.

Cuando me desconecté, no me da la opción de guardar datos en Mac, sino que dice eliminar datos de Mac. Si inicio sesión con mi ID de iCloud, el servidor seguirá funcionando correctamente. ¿Tendrá alguna implicación en las aplicaciones que se descargaron con una ID de Apple diferente?

El Administrador de perfiles necesita una ID de Apple para enviar perfiles a los dispositivos, por lo que debe ingresar a la aplicación Servidor y configurar el administrador de perfiles con una ID de Apple diferente (el consejo del Dr. Nixon será útil aquí), yendo a la pestaña de configuración en la primera panel que aparece (el que lleva el nombre de su servidor). Busque la casilla de verificación "Apple Push Notification" y seleccione el botón "Editar Apple ID".

Eso debería permitir que Profile Manager siga funcionando. Las aplicaciones permanecen compradas, por lo que aún puede usarlas, pero es posible que no se actualicen sin la ID de Apple del comprador.

La contraseña para el administrador del directorio (para Open Directory, que se configuró como parte del Administrador de perfiles) podría ser un problema más complicado. Como dijo Allan, su mejor apuesta es contratar a alguien con experiencia para limpiar la situación.

Asegurar el servidor Mac después de que el administrador del servidor fuera despedido
RespuestasAquíPolítica de privacidad1y, 0v