Если уволен системный администраторВзгляните на заголовки новостей о системных администраторах, которые превратились в злоумышленников и атаковали компании, в которых прежде работали. Почти во всех случаях ключевое слово — «работали». Почти всегда администратор получал сообщение об увольнении, прежде чем начать атаку. И вредительство оказывалась успешным в основном потому, что учетная запись администратора не была отключена после прекращения трудового договора.

Как правило, в крупных компаниях существуют очень надежные политики для отключения учетных записей увольняемых пользователей, тогда как малые и средние компании подходят к этому вопросу гораздо менее внимательно. Почти каждый знакомый мне администратор может вспомнить, как, просматривая базу данных Active Directory, он увидел полностью готовую к работе учетную запись администратора, давно покинувшего компанию.

Одна из причин, по которой эти учетные записи не отключены, — опасения, что внутри какого-нибудь сервера в сети есть задание, для успешного выполнения которого в домене должна присутствовать эта учетная запись. Вдруг после отключения этой учетной записи что-то сломается? На самом деле это лучше выяснить немедленно; ведь когда-нибудь учетную запись все же придется удалить — нельзя оставлять ее навсегда просто на всякий случай!

Еще один вывод из таких историй: не только уволенные сотрудники атакуют свои бывшие компании. Люди, добровольно сменившие место работы, также иногда опустошают серверы, к которым сохранили доступ. Одно лишь отсутствие явного конфликта не означает, что нет затаенной вражды и желания отомстить.

Так что же делать, когда администратор уходит из компании?

Прежде всего, если работник заранее предупредил об уходе, позаботьтесь о том, чтобы срок действия его учетной записи закончился одновременно с увольнением. Таким образом, не обязательно помнить об отключении учетной записи.

Шаг первый. Когда работник уволится, вручную отключите учетную запись (см. экран). Сделать это довольно просто. Когда-нибудь учетную запись придется удалить, но на короткое или среднее время можно безопасно оставить учетную запись отключенной.

Экран. Отключение учетной записи администратора

Шаг второй. Настройте часы регистрации таким образом, чтобы пользователю было отказано в регистрации в домене в любое время. Этот прием особенно эффективен, если групповая политика принудительно отключает пользователей в тот или иной час. Если пользователь зарегистрировался с учетной записью, которая отключена после его регистрации, он остается зарегистрированным до тех пор, пока вручную не выполнит процедуру завершения сеанса. Если изменить часы регистрации, чтобы запретить пользователю регистрироваться в любое время, то они принудительно исключаются в следующем цикле проверки времени. Следует также изменить свойства учетной записи, чтобы компьютерам, с которых можно зарегистрироваться с учетной записью, была назначена учетная запись компьютера null. Вероятно, при увольнении администратора можно ограничиться только вторым шагом, чтобы блокировать записи, когда они все еще могут быть зарегистрированы в домене с какой-либо системы.

Орин Томас (orin@windowsitpro.com) — редактор Windows IT Pro, имеет сертификат Windows Security MVP