Asegurando el servidor Mac después de que el administrador del servidor fue despedido

Hay básicamente dos cosas que debes hacer para proteger tu Mac de un empleado separado (involuntariamente):

1. Acceso seguro desde el exterior
2. Cambiar todas las contraseñas

Este es un enfoque superpuesto porque ninguno es 100% infalible. Sin embargo, si elimina tantas rutas de acceso desde fuera de la organización, las credenciales de cuenta modificadas cubrirán lo que se pierda; y viceversa.

Proteger desde el acceso exterior

Parece que tiene las credenciales de administrador necesarias para cambiar / bloquear su cuenta y para acceder al firewall. Entonces, lo que necesitas verificar es:

• iCloud y AppleID. Obtenga estos cambios de inmediato.
• Cualquier puerto abierto en el firewall como SSH y VNC. No necesita una contraseña para estos, ya que puede "hacer un túnel" a través de ellos. (También querrá cerrar Windows RDP (Escritorio remoto, puerto 3389) ya que dijo que tenía servidores de Windows.
• Desactive SSH y VNC en el Mac Mini por el momento hasta que pueda hacer que todo quede bloqueado
• El software de control remoto debe eliminarse / deshabilitarse (TeamViewer, GoToMyPC, LogMeIn, etc.)

Cambiar todas las contraseñas

Esto se reduce a cuán "malicioso" crees que es o puede ser esta persona. Has inhabilitado la contraseña de su , pero ¿tenía otras cuentas o conocía las contraseñas de otras personas?

Me encuentro con este escenario todo el tiempo, los clientes de pequeñas empresas tienden a hacer cosas contra las que las organizaciones más grandes tienen políticas en contra. Por ejemplo, alguien puede tener un problema con su dispositivo y, en lugar de realizar una comunicación remota, traerá su computadora portátil y cuando el administrador de la computadora le solicite la contraseña, el usuario la escribirá.

Ocurre porque hay un mayor nivel de confianza en una organización más pequeña. Por lo general, no es un problema hasta que tenga que despedir al administrador de la computadora. Ese es solo un ejemplo.

Si cree que la persona es lo suficientemente maliciosa como para hacer algo, cambie todas las contraseñas.

Finalmente, como alguien que hace esto para ganarse la vida, no puedo decirle lo importante que es contratar a un consultor externo que pueda ayudarlo a mitigar estos riesgos para usted. Esta es una tercera parte, persona imparcial (compañía) que tiene un interés financiero en asegurar sus activos de TI tendrá (y debería) tener el mismo acceso que sus administradores. De esta manera, si algo sucede, hay una persona a la que puede llamar que está familiarizada con su red y tiene la experiencia para mantenerlo en funcionamiento.

Lo mejor de todo es que un contrato firmado (SLA - Acuerdo de nivel de servicio) entre usted y un proveedor es algo maravilloso para el usuario final. resisten muy bien en la corte.

¿Utilizó una cuenta de iCloud registrada en su empresa o personalmente? Las cuentas de administrador que requieren una dirección de correo electrónico para configurar (como iCloud) deben usar una dirección corporativa como "[email protected]" y no una dirección vinculada a un usuario específico. Esto significa que cuando el usuario se retire, un reemplazo podrá usar la misma cuenta sin tener que volver a registrar todo. También se debe usar un correo electrónico corporativo como el correo de recuperación de contacto, de modo que un administrador que no cumpla con las condiciones óptimas no podrá restablecerse malintencionadamente ni restablecer las contraseñas (o, con iCloud, ¡borrar un sistema de forma remota!) Incluso en mi caso de uso (donde los correos electrónicos "admin" son para controlar el acceso a computadoras compartidas en un laboratorio, o administración web para un pequeño grupo sin fines de lucro) no se usa ningún correo electrónico personal para ninguno de los registros; todo se maneja con una cuenta dedicada vinculado al grupo.

También debería invertir en un administrador de contraseñas, algo aparte de Keychain, con una contraseña maestra que el administrador de TI y el liderazgo senior conocen, para garantizar que el acceso no se pierda durante la rotación de personal. Obtenga las contraseñas de Keychain y cópielas en el administrador de contraseñas. Use algo como 1Password que puede almacenar el archivo de contraseñas en la red local, no solo en la nube.

Lo más seguro sería cerrar la sesión de iCloud por completo ( enlace )

Asegúrese de elegir "Mantener en Mac" cuando le pregunte si desea conservar los datos de las distintas funciones de las cuentas de iCloud.

Profile Manager necesita un ID de Apple para enviar perfiles a los dispositivos, por lo que debe ingresar a la aplicación Servidor y configurar el administrador de perfiles con un ID de Apple diferente (el consejo del Dr. Nixon será útil aquí), yendo a la pestaña de configuración en el primer panel que aparece (el que lleva el nombre de su servidor). Busque la casilla de verificación "Apple Push Notification" y seleccione el botón "Editar ID de Apple".

Eso debería permitir que Profile Manager siga trabajando. Las aplicaciones se siguen comprando, por lo que aún puede usarlas, pero es posible que no se actualicen sin la ID de Apple del comprador.

La contraseña para el administrador del directorio (para Open Directory, que se configuró como parte de Profile Manager) podría ser un problema más complicado. Como dijo Allan, lo mejor es contratar a alguien con experiencia para arreglar la situación.