Najlepsza praktyka: czy zawsze powinienem instalować nowy system operacyjny dla nowych pracowników?

Kłóciłem się o to z przełożonym. Chociaż na pierwszy rzut oka poprzedni użytkownik laptopa pracował tylko w jego własnych folderach dokumentów, czy powinienem zawsze instalować nowy system operacyjny dla następnego użytkownika, czy też wystarczy usunąć stary profil? Zainstalowane oprogramowanie jest w większości potrzebne także następnemu użytkownikowi.

Myślę, że instalacja jest potrzebna, ale z wyjątkiem mojego własnego argumentu dotyczącego wirusów i prywatnych danych, jakie są tego powody?

W naszej firmie dozwolone jest używanie komputera do np. Prywatnej poczty, na niektórych komputerach są nawet zainstalowane gry. Mamy trochę mobilnych użytkowników, którzy często są na miejscu u klienta, więc tak naprawdę ich nie winię.

Również z tego powodu mamy wielu lokalnych administratorów.

Wiem, że zarówno prywatny użytek, jak i dostępność lokalnych kont administracyjnych nie są dobrymi pomysłami, ale tak to sobie radzono, zanim tu pracowałem, i mogę to zmienić tylko wtedy, gdy nie będę praktykować;)

Edycja : Myślę, że wszystkie zamieszczone odpowiedzi są istotne, a także wiem, że niektóre praktyki, które stosujemy w mojej firmie, nie są najlepsze na początek (na przykład lokalny administrator dla zbyt wielu osób;).

Na razie myślę, że najbardziej użyteczną odpowiedzią na dyskusję byłaby odpowiedź Rydera. Chociaż przykład dał mu odpowiedź może być przesadzone, to nie zdarzyło, że były pracownik zapomniał prywatnych danych. Niedawno znalazłem detaliczną kopię gry Runaway na starym laptopie i mieliśmy też kilka przypadków pozostania prywatnych zdjęć.

Absolutnie powinieneś. Z punktu widzenia bezpieczeństwa POV to nie tylko zdrowy rozsądek, ale także etyka biznesowa.

Wyobraźmy sobie następujący scenariusz: Alice wychodzi, a jej komputer zostaje przeniesiony do Boba. Bob nie wiedział o tym, ale Alice była w nielegalnym kręceniu pornografii i zostawiła kilka plików ukrytych poza jej profilem. IT czyści jej profil i nic więcej, w tym tylko historię przeglądania i pliki lokalne.

Pewnego dnia Bob sprawdza dzwony i gwizdy na swojej lśniącej nowej maszynie roboczej, siedząc przy Starbucks ™ i popijając latte. Potyka się po skrytce Alice i niewinnie klika plik, który wygląda dziwnie. Nagle każda głowa w sklepie kręci się dookoła, by z przerażeniem obserwować, jak komputer Boba narusza kilka przepisów stanowych i federalnych przy pełnej głośności. Jedna mała dziewczynka w kącie zaczyna płakać.

Bob jest zawstydzony. Po sześciu miesiącach depresji i wyrzuceniu go z pracy za niezamierzony akt publicznej nieprzyzwoitości (i ewentualne zarzuty karne), znajduje się w naprawdę załamującym się zespole prawnym i marnuje swojego byłego pracodawcę w oburzająco szkodliwym procesie. Alice jest w Tajlandii i ucieka przed ekstradycją.

Być może wszystko to jest nieco poza jasnością, ale absolutnie może się to zdarzyć, jeśli nie poświęcisz czasu na przeszukanie każdego działania byłego pracownika. Możesz też zaoszczędzić czas i zainstalować od nowa.

Zdecydowanie powinieneś zresetować / ponownie zainstalować komputery. Mogą być na nim złośliwe programy, które mogłyby zagrozić firmie. Mogą to być wirusy lub trojany lub coś, co były pracownik pozostawił tam celowo (nie wszyscy odchodzą na dobrych warunkach). Wszystkie powody w odpowiedzi @ axl są również ważne.

Aby ułatwić Ci życie, utwórz migawkę / obraz / kopię zapasową świeżo zainstalowanego komputera z zainstalowanym już zwykłym oprogramowaniem i po prostu prześlij go na każdym nowym lub poddanym recyklingowi komputerowi. Nie jest wymagana ręczna ponowna instalacja.

Nie jestem administratorem IT, ale uważam, że powinieneś zainstalować ponownie z kilku powodów:

• Lokalni administratorzy mogą przejąć na własność pliki poprzedniego użytkownika.

• Mniej prawdopodobne jest, że będziesz mieć do czynienia z problemami wynikającymi ze zmian systemowych wprowadzonych przez starego użytkownika.

• Aplikacje osobiste starego użytkownika byłyby nadal dostępne w plikach programu.

Jeśli nie masz lokalnych administratorów, którzy naprawdę nie mogą zmieniać ani uzyskiwać dostępu do niczego poza swoim folderem domowym, to mniej się martwię, ale zawsze jest miejsce na dysku do rozważenia.

Czy zastanawiałeś się nad użyciem Ghosta lub innego systemu obrazowania zamiast ręcznej instalacji całego oprogramowania?

Jeśli wszystkie obsługiwane maszyny są identyczne (lub istnieją grupy identycznych komputerów), wykonaj czystą instalację raz, zaktualizuj system operacyjny i zainstaluj podstawowe oprogramowanie, którego będą potrzebować użytkownicy. Następnie utwórz obraz dysku twardego, z którego można przywrócić system w przypadku ponownego przypisania urządzenia do innego użytkownika, awarii dysku twardego, infekcji wirusowej itp.

Wystarczy przywrócić zawartość dysku twardego „czysta instalacja” z obrazu dysku i w razie potrzeby zmienić klucz produktu Windows.

Jeśli chcesz chronić dyski twarde przed użytkownikami korzystającymi z narzędzi kryminalistycznych - użyj narzędzia do niszczenia danych (np. Niszczenie, dostępne w większości dystrybucji Linuksa) na dysku twardym przed przywróceniem danych z obrazu. Przy około godzinie pracy możesz nawet przygotować na żywo USB, który zniszczy dysk twardy, a następnie ponownie napełni go danymi z obrazu.

W ten sposób możesz zaoszczędzić sporo pracy, jednocześnie chroniąc dane użytkowników i firmy.

Brakuje najlepszej odpowiedzi ... zanotuj swój sprzęt jako koszt biznesowy, a kiedy ktoś wyjdzie, daj mu laptopa i kup nowy, czysty; oszczędza to najwięcej czasu i jest pozytywnym sposobem na osiągnięcie równowagi między życiem zawodowym a prywatnym. Oczywiście, jeśli byli tam tylko kilka tygodni, reset jest prawdopodobnie najlepszy.

Mam osobiste doświadczenie z komputerami bez reimaging, które przenoszą wirusy na nowych użytkowników. (A przy niechcianych plikach przewyższających zatrudnienie użytkownika, ale to zupełnie inna historia).

Jak zauważył Ushuru, najlepszą praktyką jest reimage, a nie ponowna instalacja. (I tak, potrzebujesz sysprep, ale nie ze względu na SID, jak powiedział TesselatingHector.) Nie muszą to być identyczne urządzenia; na swoim obrazie możesz uwzględnić wiele różnych sterowników, a nawet dodać nowe sterowniki offline (jeśli obraz jest wimem).

Istnieje cały rynek sektor z pulpitu wdrażania oprogramowania , a ja też widziałem ludzie toczą własną proces tworzenia kopii zapasowych i przywracania specjalistycznego „zapasowego” obraz.

Możesz też odbudować system, jeśli lubisz instalować system operacyjny. ;) Łatwo się nudzę i wolę automatyzować.

Odpowiedź na to pytanie naprawdę zależy od tego, czy pozwalasz pracownikom być lokalnymi administratorami własnego komputera.

Zasadniczo konto grupy użytkowników ma tylko uprawnienia do zapisu we własnym katalogu profilu, a nigdzie indziej na dysku twardym.

W takim przypadku użytkownik nie może wprowadzać żadnych zmian w systemie, w tym instalowania lub usuwania aplikacji, ani tworzenia ukrytych plików lub katalogów poza katalogiem profili.

Złośliwe oprogramowanie może potencjalnie zostać zainstalowane, ale ponownie tylko w profilu tego użytkownika, zazwyczaj w AppData lub Temp.

W przypadku tych użytkowników z ograniczonym dostępem nowe konto jest całkowicie odłączone od tego, co było w starym profilu użytkownika.

Nigdy nawet nie marzyłem o oddaniu używanego komputera PC nowemu pracownikowi bez przynajmniej czyszczenia dysku twardego. Jeśli chcesz być dość bezpieczny, wymień dysk twardy całkowicie.

Zestawy root są niezwykle potężne. Zestaw root jest nieznany przez system operacyjny i skanery antywirusowe, ponieważ są instalowane na niższym poziomie (w rzeczywistości ładują system operacyjny i przekazują systemowi podstawowe informacje, takie jak to, co jest na dysku twardym, dzięki czemu mogą bardzo skutecznie ukryć się przed OS). Niektóre nawet instalują się w systemie BIOS dysku twardego, co sprawia, że ​​bardzo trudno się ich pozbyć.

Niektóre z nich mogą zainstalować się w systemie BIOS komputera i ponownie zainfekować nowe dyski twarde podczas ich instalacji.

Jeśli niezadowolony pracownik z nawet łagodnymi umiejętnościami hakerskimi naprawdę tego chciał, mógłby zwrócić komputer w stanie, który wielokrotnie dewastowałby sieć, nawet po sformatowaniu dysku twardego. Dobry można to zrobić, aby nawet wymiana dysku twardego nie pomogła.

Naprawdę utalentowany pracownik hakera może skorzystać z jednej z tych technik, aby uzyskać nieograniczony dostęp do wewnętrznych systemów sieciowych i danych. W dowolnym momencie w przyszłości mógłby ponownie połączyć się z zewnątrz - w sposób, który byłby prawie niemożliwy do zatrzymania (ponieważ zainfekowany komputer może czasami wywoływać i omijać wszystkie zabezpieczenia zapory).

Na szczęście naprawdę utalentowani mają prawdopodobnie lepsze rzeczy do roboty niż praca dla Twojej firmy.

Odpowiedź Jamesa, w której mówi: „Oddaj komputer pracownikowi, gdy odchodzi”, powinna brzmieć całkiem dobrze w tej chwili - ale tak naprawdę, po prostu szarpnij i zniszcz HD.