一家小型专业公司的两个合伙人联系了我。他们担心他们的另一个合作伙伴,并希望采取一些措施来绝对确保公司的数据和系统不受“任何可能发生的情况”的影响。
他们有一台服务器 (Windows 2003),用作文件和打印服务器(所有重要文件都在服务器上),Exchange 2003 Server,它运行一些构成其财务系统的应用程序。我对他们的设置了解不多,因为我还没有机会进入。我正在处理的两个人不想让另一个合作伙伴知道他们有人在查看他们的系统,所以我需要尽量减少我在做任何事情时留下的足迹。
我意识到我需要加快速度的一件事是从物理到虚拟工具。我想将服务器转换为可以在其他地方启动的 VM。如果合法的东西变得丑陋,他们可能会失去对建筑物的访问权,或者如果它变得非常糟糕,其他人可能会离开服务器。
到目前为止,我计划的事情是:
进入并记录服务器硬件和软件配置,以便在必要时能够从头开始重新创建服务器。
作为上述的一部分,请确保他们拥有所有原始安装磁盘或文件并制作它们的副本
做一堆备份:
- 制作他们所有共享文件的副本
- 弄清楚如何从他们的财务应用程序中备份数据
- 备份邮箱,将它们转换为 PST
- 备份和重影整个机器。
前三个备份的原因是我希望他们能够访问服务器映像之外的文件及其应用程序数据,以防他们需要快速找到某些东西。我无法为此设置重复性工作,但我可能会每周左右进行一次新的完整备份,并且可能每月进行一次文件/数据库/邮箱的另一次备份。
在查看他们的帐户之前,我不确定我会做什么,但我要么创建另一个管理员帐户,要么将合作伙伴的帐户设为管理员或类似的东西 - 想法是拥有一些帐户(s ) 其他合作伙伴不知道成为管理员。
验证他们的 PC 是否都已设置为在服务器上存储文件。
寻找其他合作伙伴可能安装的任何可能危及系统的东西。根据我被告知的情况,这不太可能,这很好,因为我不确定从哪里开始寻找恶意软件......
我的问题是:我错过了什么重要的东西吗?其他人会建议做什么?
就我个人而言,我不会参与其中。如果与您联系的 2 人是导致问题的人怎么办?此外,如果事情变得糟糕并且您丢失了他们的数据,因为您在某个地方错过了一个洞,那么希望前两个合作伙伴也会为那个追捕您+第三个被淘汰。
无论如何,尽管我的观点:
虚拟机整个服务器,如果盒子不见了,你可以把它带回一个新的。您必须弄清楚您希望完成此操作的频率。
保护并重新执行所有远程访问。尽可能减少只有您可以控制的东西的占用空间,将路由器密码设置为只有您知道 PW 的东西,这样其他人就无法打开它。
您能否将另一个域外框放在本地某个地方,最好是在只有您可以访问的位置。然后将所有内容备份到此框中,以写入只写共享。如果盒子在物理上是安全的,那么除了您之外没有人可以访问其中的数据以将其删除。这可以是您的实时备份。
以下是我脑海中的一些要点:
最重要的是:记录您和其他两个合作伙伴之间的一切 - 一切。让所有东西都签名。保留非常详细的日志,记录您所做的一切、访问时间、电话交谈(包括时间)、地点。我听说过咨询公司在这种情况下被带到清洁工那里。被排除在外的合作伙伴了解正在发生的事情,然后对其他合作伙伴提起法律诉讼。猜猜谁最终在火线上? 你. 你能证明你被授权访问他们的系统吗?2 或 3 个合作伙伴的许可是否足以授权此类参与?如果您在这种情况下最终没有成为受害者,您可以打赌,您将被拖入法庭,以确认或否认一方或另一方提出的主张。像这样的案件可能会持续数年。
删除域管理员权限。许多像这样的小公司传统上像糖果一样分发域管理员权限。尽可能减少这个。
查看在线备份解决方案。这将节省您每周访问该站点的时间,并且您知道数据位于异地、安全的某个地方,没有很多潜在的问题,例如“每周这个人是谁?” 来自健忘的伙伴。当然,这取决于通往世界的良好互联网管道。
正如您所提到的,将人们工作站上的潜在 IP 移至服务器。最好的方法是通过 GPO 进行文件夹重定向。这更像是一个普遍的良好实践问题,而不是本案的关键问题
确保您可以远程访问办公室/建筑物的路由器(取决于硬件,这可能只是为 Internet IP 启用 HTTP 接口的情况)。如果您接到类似“ALL HELL HAS BROKEN LOOSE!”的电话。您可能需要关闭其连接的选项。这将阻止通过终端服务、Citrix 等进行的任何恶意行为。
保护客户数据库。设置一个计划任务将这些数据(它是任何组织的命脉)复制到一个不起眼的位置。在这种情况下并不少见,当它击中粉丝时,客户数据库突然消失,让业务陷入瘫痪。
不要忘记任何许可证密钥。当您遇到许可提示时,安装媒体毫无意义。持有/注册的钥匙(或发票上的姓名)以谁的名义?公司的?合作伙伴之一?