Уволенный сисадмин дистанционно заходит в сеть

[rogozinskiy]

Чем выше квалификация админа, тем сложнее вам его отловить. Можно вообще VPN по ICMP (обычный ping ) настроить - и вы даже не будете понимать "чего енто вас постоянно пингуют".

PS: Если вы обнаружили, что админ входит в сеть - от этого и плешите: протоголирование входов в сеть на серверах и смотрите откуда ходит - там у вас дырка.

[maslo]

В чем проблема, через панель управления в разделе службы выключите службу удаленного доступа + через установку и удаление программки удаленного доступа удалите типа radmin и больше не напрягайтесь.

[qazaq76]

Удалите "лишних" админов в политике безопасности сервера.

[LelikOFF]

Цитата: Сообщение от zass А как в Керио сделать, чтобы никто извне (из Инета) не мог в локалку заходить по RDP? На серваке с Керио запретил удаленный доступ к компутеру, но все равно могу подключится из дома: доступ к удаленному рабочему столу - ввожу айпишник сервака, происходит подключение, но не к серваку с Керио, а к другому - терминальному серваку. Где может быть такой редирект настроен - может в самом Керио?

начинать нужно с того как подключен интернет, может сразу в локалку (смотрите настройки модема), а через Керио идет раздача, если через комп где установлен Керио? то однозначно смотрите правила, что там можно, что нельзя и всё увидете.

[blaster7]

может проще разойтись "по доброму" с сисадмином а так все зависит от сетки, может и циску перенастраивать придется.

[layman]

Если речь идет про заход через инет в вашу сеть, самый простой вариант сменить IP у провайдера, вероятность от него избавится 90%.
А вообще при увольнение таких людей надо думать головой.
Сам недавно уволился за...бали, каждый день им надо говорить что ты будешь сегодян делать, а лучше распиши на весь месяц всю свою работы. После увольнения 2 месяца названивали спрашивали пароли.... достали.
Но есть и плюсы: остался доступ к сайту (зарабатываю на нем); логин и пароль к инету, лазию по вечерам.

И вот еще что, если админ был в единственном лице, то ждите еще каких нибудь неполадок, типа 1С пропала или сервак упал.
Сам при увольнение около месяца сидел с утра до вечера все шифровал и всякие планирощики дела, в этоги в час Х, у 1С все отчеты перестали работать.
PS Вызовите старого админа, дайте ему навароченный бубен, ящик пива и сардельки, и все наладится и обида пройдет!

[utalex]

посмотреть сервисы rdp, vnc, Radmin и т.п. по каким портам работают,
закрыть на рутерах проброс этих портов
или замапить на другие

[desivers]

Гораздо безопаснее когда закрыто все и открываем только необходимое.
У нас на предприятии так настроены и Cisco PIX и ISA Server.

[s7400]

Есть программы удаленного управления, которые не отображаются в процессах и вообще скрыты достаточно надежно от обнаружения. Поэтому действительно необходимо либо отслеживать и перекрывать порты, либо брать 2-3 дня плюс выходные и заново с нуля поднимать сервер.

[Юля1980]

А что у бедолаги в трудовом договоре было написано? Если про коммерческую тайну было - можно в гости отдел "Р" пригласить, составить протокол, - тогда парень вас года через 3 побеспокоит. А затем - нужно сменить пароли, перепрограммировать маршрутизаторы, отменить RDC и RC.

[Avrely]

Не обижайте админов - себе дороже!

Когда слышу такие просьбы - первым делом вспоминаю своих бывших работодателей-экономистов. Нельзя экономить на безопасности! И специалистов по ней (безопасности) надо беречь.

Так что от души желаю вашемы бывшему админу успехов в удаленном администрировании, может вас это чему-то научит.

[Nester_]

Если Вы заметили что удаленно кто-то заходит, то это уже пол дела сделано! От этого и надо плясать (куда зашел, когда, под какой учетной записью, что сделал?) Обычно компания прибывает в счастливом неведении до определенного времени, а после уже поздно искать как он это сделал!

[Alexeifox]

Цитата: Сообщение от qazaq76 Удалите "лишних" админов в политике безопасности сервера.

Так делать не надо ...
Достаточно сменить пароли.

А лучше нанять админа. Если экономите то приходящего.

[Александр_А]

Если точно известно, что кто-то заходит, то вероятность того, что это бывший админ очень высока, но это может быть и не он. Если у него квалификация была не на высоте, то при настройке вполне мог оставить дырки для "очумелых" ручек со стороны...

[Jesterson]

Автор спросил и убежал

На самом деле, как уже сказали, нельзя советовать не зная, какое оборудование стоит. Может там CISCO стоит на периметре - вы тоже рекомендовать политики или учетку будете? Вот-вот.

По существу - нужен специалист-аудитор. Без него никак.