Recientemente, nuestro Administrador de Redes y Servidores fue despedido. Somos una organización pequeña y ella estaba sola cuidando servidores Windows y Mac. Hemos tratado de asegurar la red cambiando la contraseña del firewall y deshabilitando su cuenta de Windows.
Mi pregunta aquí es más sobre cómo asegurar nuestro servidor Mac. Ella construyó el servidor Mac en una Mac Mini con OS X 10.11 y lo usamos para inscribir dispositivos Mac y enviar aplicaciones a través del administrador de perfiles.
Ahora el desafío es que nunca antes había usado Mac y no tengo experiencia en la gestión o administración de servidores. Traté de proteger el servidor Mac cambiando la contraseña de su cuenta que me dio antes de salir. No quiero deshabilitar su cuenta en Mac mini porque había un montón de contraseñas guardadas en su llavero que no conocemos y en este momento estamos usando las contraseñas guardadas.
¿Alguien podría orientarme sobre cómo podemos asegurar nuestro servidor Mac en caso de que ella haga algún intento de sabotaje, ya que aún puede acceder a nuestro servidor a través de iCloud y puede borrar el servidor de forma remota?
Básicamente, hay dos cosas que debe hacer para proteger su Mac de un empleado separado (involuntariamente):
Este es un enfoque superpuesto porque ninguno es 100% infalible. Sin embargo, si elimina la mayor cantidad posible de rutas de acceso desde fuera de la organización, lo que falte quedará cubierto por las credenciales de cuenta modificadas; y viceversa.
Parece que tiene las credenciales de administrador necesarias para cambiar/bloquear su cuenta y acceder al cortafuegos. Entonces, lo que debes verificar es:
Este se reduce a cuán "maliciosa" crees que esta persona es o puede ser. Deshabilitaste su contraseña, pero ¿tenía otras cuentas o conocía las contraseñas de otras personas?
Me encuentro con este escenario todo el tiempo, los clientes de pequeñas empresas tienden a hacer cosas contra las que las organizaciones más grandes tienen políticas. Por ejemplo, alguien puede tener un problema con su dispositivo y, en lugar de conectarse de forma remota, traerá su computadora portátil y cuando el administrador de la computadora le solicite la contraseña, el usuario la escribirá.
Sucede porque hay un mayor nivel de confianza en una organización más pequeña. Por lo general, no es un problema hasta que tenga que despedir al administrador de la computadora. Ese es solo un ejemplo.
Si cree que la persona es lo suficientemente maliciosa como para hacer algo, cambie todas las contraseñas.
Finalmente, como alguien que hace esto para ganarse la vida, no puedo decirle lo importante que es contratar a un consultor externo que pueda ayudarlo a mitigar estos riesgos para usted. Esta es una persona (empresa) imparcial de terceros que tiene un interés financiero en asegurar sus activos de TI (y debería) tener el mismo acceso que su(s) administrador(es). De esta manera, si algo sucediera, hay una persona a la que puede llamar que está familiarizada con su red y tiene la experiencia para mantenerlo en funcionamiento.
Lo mejor de todo es que un contrato firmado (SLA - Service Level Agreement) entre usted y un proveedor es algo maravilloso para el usuario final; se sostienen muy bien en la corte.
¿Usó una cuenta de iCloud registrada a nombre de su empresa o de ella personalmente? Las cuentas de administrador que requieren una dirección de correo electrónico para configurarse (como iCloud) deben usar una dirección corporativa como "admin@company.com" y no una dirección vinculada a un usuario específico. Esto significa que cuando el usuario se vaya, un reemplazo podrá usar la misma cuenta sin tener que volver a registrar todo. También se debe usar un correo electrónico corporativo como correo electrónico de contacto de recuperación, por lo que un administrador que se va en condiciones menos que óptimas no puede restaurar maliciosamente el acceso a sí mismo o restablecer contraseñas (o, con iCloud, borrar un sistema de forma remota). Incluso en mi caso de uso (donde los correos electrónicos de "administrador" son para controlar el acceso a computadoras compartidas en un laboratorio o administración web para un pequeño grupo sin fines de lucro) nadie
Realmente también debería invertir en un administrador de contraseñas, algo además del llavero, con una contraseña maestra que sea conocida por el administrador de TI y el liderazgo senior, para garantizar que el acceso no se pierda durante la rotación del personal. Saque las contraseñas del llavero y cópielas en el administrador de contraseñas. Use algo como 1Password que puede almacenar el archivo de contraseñas en la red local, no solo en la nube.
Lo más seguro sería desconectar a ese usuario de iCloud por completo ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )
Asegúrese de elegir "Mantener en Mac" cuando le pregunte si desea conservar los datos de las diversas funciones de las cuentas de iCloud.
El Administrador de perfiles necesita una ID de Apple para enviar perfiles a los dispositivos, por lo que debe ingresar a la aplicación Servidor y configurar el administrador de perfiles con una ID de Apple diferente (el consejo del Dr. Nixon será útil aquí), yendo a la pestaña de configuración en la primera panel que aparece (el que lleva el nombre de su servidor). Busque la casilla de verificación "Apple Push Notification" y seleccione el botón "Editar Apple ID".
Eso debería permitir que Profile Manager siga funcionando. Las aplicaciones permanecen compradas, por lo que aún puede usarlas, pero es posible que no se actualicen sin la ID de Apple del comprador.
La contraseña para el administrador del directorio (para Open Directory, que se configuró como parte del Administrador de perfiles) podría ser un problema más complicado. Como dijo Allan, su mejor apuesta es contratar a alguien con experiencia para limpiar la situación.
sin ladera
Andre Borie