Взгляните на заголовки новостей о системных администраторах, которые превратились в злоумышленников и атаковали компании, в которых прежде работали. Почти во всех случаях ключевое слово — «работали». Почти всегда администратор получал сообщение об увольнении, прежде чем начать атаку. И вредительство оказывалась успешным в основном потому, что учетная запись администратора не была отключена после прекращения трудового договора.
Как правило, в крупных компаниях существуют очень надежные политики для отключения учетных записей увольняемых пользователей, тогда как малые и средние компании подходят к этому вопросу гораздо менее внимательно. Почти каждый знакомый мне администратор может вспомнить, как, просматривая базу данных Active Directory, он увидел полностью готовую к работе учетную запись администратора, давно покинувшего компанию.
Одна из причин, по которой эти учетные записи не отключены, — опасения, что внутри какого-нибудь сервера в сети есть задание, для успешного выполнения которого в домене должна присутствовать эта учетная запись. Вдруг после отключения этой учетной записи что-то сломается? На самом деле это лучше выяснить немедленно; ведь когда-нибудь учетную запись все же придется удалить — нельзя оставлять ее навсегда просто на всякий случай!
Еще один вывод из таких историй: не только уволенные сотрудники атакуют свои бывшие компании. Люди, добровольно сменившие место работы, также иногда опустошают серверы, к которым сохранили доступ. Одно лишь отсутствие явного конфликта не означает, что нет затаенной вражды и желания отомстить.
Так что же делать, когда администратор уходит из компании?
Прежде всего, если работник заранее предупредил об уходе, позаботьтесь о том, чтобы срок действия его учетной записи закончился одновременно с увольнением. Таким образом, не обязательно помнить об отключении учетной записи.
Шаг первый. Когда работник уволится, вручную отключите учетную запись (см. экран). Сделать это довольно просто. Когда-нибудь учетную запись придется удалить, но на короткое или среднее время можно безопасно оставить учетную запись отключенной.
Шаг второй. Настройте часы регистрации таким образом, чтобы пользователю было отказано в регистрации в домене в любое время. Этот прием особенно эффективен, если групповая политика принудительно отключает пользователей в тот или иной час. Если пользователь зарегистрировался с учетной записью, которая отключена после его регистрации, он остается зарегистрированным до тех пор, пока вручную не выполнит процедуру завершения сеанса. Если изменить часы регистрации, чтобы запретить пользователю регистрироваться в любое время, то они принудительно исключаются в следующем цикле проверки времени. Следует также изменить свойства учетной записи, чтобы компьютерам, с которых можно зарегистрироваться с учетной записью, была назначена учетная запись компьютера null. Вероятно, при увольнении администратора можно ограничиться только вторым шагом, чтобы блокировать записи, когда они все еще могут быть зарегистрированы в домене с какой-либо системы.
Орин Томас (orin@windowsitpro.com) — редактор Windows IT Pro, имеет сертификат Windows Security MVP