Политики для сторонних удаленных сессий на серверах?
Иногда нам нужно разрешить стороннюю техническую поддержку программного обеспечения на наших серверах. У нас были некоторые проблемы с нашим локальным ИТ-персоналом, который не следил за сессиями и сторонними серверами перезагрузки.
Имеются ли у кого-либо официальные политики в их организации для соответствующих обязанностей и / или поведения ИТ-персонала при разрешении технической поддержки удаленно подключаться к компьютеру? Что разрешено / запрещено? Какие протоколы следует соблюдать?
4 ответа
У нас есть политика доступа к сторонним серверам. Мы запрещаем это, если они не владеют оборудованием, и мы не изолировали его от своего сегмента сети. Политика фактически гласит:
"Ни одна третья сторона не имеет доступа к серверным ресурсам, принадлежащим [компании], если ИТ-специалист не обеспечивает соединение"
Процедура немного сложнее. Обычно мы настраиваем удаленный (Webex) сеанс и управление передачей, чтобы они могли получить доступ к системе, а ИТ-персонал мог контролировать по мере необходимости. Слишком сложно даже следить за тем, что сделали ИТ-специалисты, когда возникают проблемы, чтобы позволить внешнему поставщику вмешиваться в системы без контроля 1:1. Это также дает нашей команде возможность подвергать сомнению любые странные компромиссы, которые делают сторонние поставщики, чтобы установить дополнительные приложения, отключить AV или мониторинг, или что-то еще хуже.
Завершите это с помощью инструмента Tripwire или управления конфигурацией, такого как Ecora Auditor (который мы используем для систем уровня 1), и вы должны быть в очень хорошей форме. Это дает нам периодический дельта-файл того, что изменилось в огромном сечении конфигураций на серверах.
Мы не позволяем сторонним поставщикам контролировать сеансы. При необходимости они могут просматривать сеанс, пока МЫ нажимаем на кнопки.
На самом деле, это является оскорбительным преступлением, позволяющим сторонним поставщикам взять на себя контроль.
Я бы порекомендовал следующее:
Вы отключили учетную запись пользователя, которую использует третья сторона, и потребовали, чтобы они позвонили вам, чтобы уведомить вас, что им нужен доступ. Затем вы можете включить учетную запись для их использования.
Когда они вошли в систему, они должны предоставить вам возможность скрывать их сеанс. Вы можете сделать это легко, если они используют RDP для подключения. Если нет, вы можете посмотреть на что-то вроде LogMeIn, GoToMeeting и т. Д., Чтобы упростить их возможность подключения и возможность отслеживать \ отслеживать их действия.
Вы должны взять под свой контроль и быть авторитетом, когда дело доходит до установки, изменения, перезагрузки и т. Д. Вы последнее слово, когда речь заходит о "владении" сервером.
Ваша политика должна предусматривать, что один из ваших сотрудников должен следить за сессией и документировать все, что необходимо задокументировать.
В конце концов, вы несете ответственность за работоспособность, безопасность, стабильность, надежность и т. Д. Сервера. Продавцы заинтересованы только в том, чтобы заставить их работать, любыми возможными способами.
В зависимости от того, кто является третьей стороной и что им нужно делать, в прошлом мы имели полный доступ. Предоставление некоторых сведений третьей стороне относительно производственного состояния сервера также помогает. У нас никогда не было проблем. Если вы сталкиваетесь с проблемами, хотя вы всегда можете удалить права из учетной записи, которую использует третья сторона, чтобы запретить им перезагрузку и т. Д. Или если вы не можете скрыть их сеанс на сервере.