Asegurar el servidor Mac tras el despido del administrador del servidor

Hay básicamente dos cosas que debe hacer para asegurar su Mac de un empleado separado (involuntariamente):

1. Protegido del acceso exterior
2. Cambiar todas las contraseñas

Se trata de un enfoque superpuesto porque ninguno de los dos es 100% infalible. Sin embargo, si se elimina la mayor cantidad de vías de acceso desde fuera de la organización, lo que se pierda quedará cubierto por las credenciales de la cuenta modificada; y viceversa.

Protegido del acceso exterior

Parece que tienes las credenciales de administrador necesarias para cambiar/bloquear su cuenta y acceder al firewall. Por lo tanto, lo que usted necesita para comprobar es:

• iCloud y AppleID. Haz que los cambien de inmediato.
• Cualquier puerto abierto en el firewall como SSH y VNC. Usted no necesita una contraseña para estos ya que puede "túnel" a través de. (También querrá cerrar el RDP de Windows (Escritorio Remoto, puerto 3389) ya que dijo que tenía servidores de Windows.
• Desactivar SSH y VNC en el Mac Mini por el momento hasta que se pueda bloquear todo
• El software de control remoto debe ser eliminado/desactivado (TeamViewer, GoToMyPC, LogMeIn, etc.)

Cambiar todas las contraseñas

Esta se reduce a lo "maliciosa" que crees que es o puede ser esta persona. Usted deshabilitó su contraseña, pero ¿tenía otras cuentas o conocía las contraseñas de otras personas?

Me encuentro con este escenario todo el tiempo, los clientes de las pequeñas empresas tienden a hacer cosas que las organizaciones más grandes tienen políticas en contra. Por ejemplo, alguien puede tener un problema con su dispositivo y, en lugar de conectarse de forma remota, traerá su portátil y, cuando el administrador de ordenadores le pida la contraseña, el usuario la escribirá.

Sucede porque hay un mayor nivel de confianza en una organización más pequeña. No suele ser un problema hasta que hay que despedir al administrador informático. Eso es sólo un ejemplo.

Si cree que la persona es lo suficientemente maliciosa como para hacer algo, haga cambiar todas las contraseñas.

Por último, como alguien que se gana la vida con esto, no puedo decirle lo importante que es contratar a un consultor externo que pueda ayudarle a mitigar estos riesgos. Se trata de una persona (empresa) imparcial y de tercera parte que tiene un interés financiero en la seguridad de tus activos informáticos y que tendrá (y debería tener) el mismo acceso que tu(s) administrador(es). De este modo, si ocurre algo, hay una persona a la que puedes llamar que está familiarizada con tu red y tiene la experiencia necesaria para mantenerte en funcionamiento.

Lo mejor de todo es que un contrato firmado (SLA - Service Level Agreement) entre usted y un proveedor es algo maravilloso para el usuario final; se sostienen muy bien en los tribunales.

¿Utilizó una cuenta de iCloud registrada a su empresa o a ella personalmente? Las cuentas de administración que requieren una dirección de correo electrónico para su configuración (como iCloud) deberían utilizar una dirección corporativa como "admin@company.com" y no una dirección vinculada a un usuario específico. Esto significa que cuando el usuario se vaya, un sustituto podrá utilizar la misma cuenta sin tener que volver a registrar todo. Un correo electrónico corporativo debe ser utilizado como el correo electrónico de contacto de recuperación, por lo que un administrador que se va en condiciones menos óptimas no puede restaurar maliciosamente el acceso a sí mismo o restablecer las contraseñas (o, con iCloud, borrar remotamente un sistema). Incluso en mi caso de uso (en el que los correos electrónicos de los "administradores" son para controlar el acceso a los ordenadores compartidos en un laboratorio, o la administración de la web para un pequeño grupo sin ánimo de lucro) no se utiliza el correo electrónico personal de nadie para ninguno de los registros - todo se gestiona mediante una cuenta dedicada vinculada al grupo.

También deberías invertir en un gestor de contraseñas, algo aparte de Keychain, con una contraseña maestra que conozcan el director de TI y los altos cargos, para garantizar que el acceso no se pierda durante la rotación de personal. Saca las contraseñas de Llavero y cópialas en el gestor de contraseñas. Utiliza algo como 1Password que pueda almacenar el archivo de contraseñas en la red local, no sólo en la nube.

Lo más seguro sería cerrar la sesión de ese usuario en iCloud por completo ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )

Asegúrate de elegir "Conservar en el Mac" cuando te pregunte si quieres conservar los datos de las distintas funciones de las cuentas de iCloud.

Profile Manager necesita un ID de Apple para enviar los perfiles a los dispositivos, así que tienes que ir a la aplicación del servidor y configurar Profile Manager con un ID de Apple diferente (los consejos del Dr. Nixon serán útiles aquí), yendo a la pestaña de configuración en el primer panel que aparece (el que tiene el nombre de tu servidor). Busca la casilla "Notificación Push de Apple" y selecciona el botón "Editar ID de Apple".

Esto debería permitir que el Gestor de Perfiles siga funcionando. Las aplicaciones siguen siendo compradas, por lo que puedes seguir utilizándolas, pero es posible que no se actualicen sin el ID de Apple del comprador.

La contraseña para el administrador del directorio (para Open Directory, que se configuró como parte de Profile Manager) podría ser un problema más complicado. Como dijo Allan, su mejor opción es contratar a alguien con experiencia para limpiar la situación.