Najlepsza praktyka: czy zawsze powinienem instalować nowy system operacyjny dla nowych pracowników?

112

Kłóciłem się o to z przełożonym. Chociaż na pierwszy rzut oka poprzedni użytkownik laptopa pracował tylko w jego własnych folderach dokumentów, czy powinienem zawsze instalować nowy system operacyjny dla następnego użytkownika, czy też wystarczy usunąć stary profil? Zainstalowane oprogramowanie jest w większości potrzebne także następnemu użytkownikowi.

Myślę, że instalacja jest potrzebna, ale z wyjątkiem mojego własnego argumentu dotyczącego wirusów i prywatnych danych, jakie są tego powody?

W naszej firmie dozwolone jest używanie komputera do np. Prywatnej poczty, na niektórych komputerach są nawet zainstalowane gry. Mamy trochę mobilnych użytkowników, którzy często są na miejscu u klienta, więc tak naprawdę ich nie winię.

Również z tego powodu mamy wielu lokalnych administratorów.

Wiem, że zarówno prywatny użytek, jak i dostępność lokalnych kont administracyjnych nie są dobrymi pomysłami, ale tak to sobie radzono, zanim tu pracowałem, i mogę to zmienić tylko wtedy, gdy nie będę praktykować;)

Edycja : Myślę, że wszystkie zamieszczone odpowiedzi są istotne, a także wiem, że niektóre praktyki, które stosujemy w mojej firmie, nie są najlepsze na początek (na przykład lokalny administrator dla zbyt wielu osób;).

Na razie myślę, że najbardziej użyteczną odpowiedzią na dyskusję byłaby odpowiedź Rydera. Chociaż przykład dał mu odpowiedź może być przesadzone, to nie zdarzyło, że były pracownik zapomniał prywatnych danych. Niedawno znalazłem detaliczną kopię gry Runaway na starym laptopie i mieliśmy też kilka przypadków pozostania prywatnych zdjęć.

ExNought
źródło
31
Nie chcesz ryzykować, że tego nie zrobisz. Zbyt wiele rzeczy może pójść źle, jeśli tego nie zrobisz (i ostatecznie to zrobią).
Maszt
4
Nie obwiniasz swoich pracowników za granie w gry na terenie firmy ... ponieważ robią to, gdy masz do czynienia z klientami? WTF?
Wyścigi lekkości na orbicie
24
@LightnessRacesinOrbit Cóż, jeśli jesteś w hotelu od tygodni (czasem nawet w weekendy) i nie ma poza pracą absolutnie nic do roboty, tak, myślę, że jest to do przyjęcia. Często pojawiają się obawy, ale przynajmniej utrzymuje morale. Również ja, a także moi koledzy, jestem całkiem pewien, że zmuszanie ludzi do kupienia laptopa lub tabletu na czas podróży wyrządzi nam krzywdę. Istnieje wiele powodów, dla których wchodzenie w nie wszystkie zajęłoby nie tylko zbyt długo, ale również sprawiłoby, że mój pracodawca wyglądałby źle;)
ExNought
3
@ExoWork: Och, poza pracą, jasne. Ja sam jestem zazwyczaj w interesach przez kilka dni i nocy każdego tygodnia i na pewno dobrze wykorzystuję mojego laptopa do pracy w tych hotelach! Ale powiedziałeś „u klienta”, co jest zupełnie inne.
Wyścigi lekkości na orbicie
8
Powiedziałbym zdecydowanie z powodu wszystkich wymienionych tutaj powodów, ale jest jeszcze jeden: jeśli komputer może być używany do prywatnego użytku, może być nielegalne udzielanie komuś dostępu do tych danych z powodu przepisów o ochronie danych (może to być zdecydowanie problematyczne w Niemczech, o ile mi wiadomo). Formatowanie dysku gwarantuje, że żadna osoba trzecia nie otrzyma prywatnych danych.
DetlevCM,

Odpowiedzi:

217

Absolutnie powinieneś. Z punktu widzenia bezpieczeństwa POV to nie tylko zdrowy rozsądek, ale także etyka biznesowa.

Wyobraźmy sobie następujący scenariusz: Alice wychodzi, a jej komputer zostaje przeniesiony do Boba. Bob nie wiedział o tym, ale Alice była w nielegalnym kręceniu pornografii i zostawiła kilka plików ukrytych poza jej profilem. IT czyści jej profil i nic więcej, w tym tylko historię przeglądania i pliki lokalne.

Pewnego dnia Bob sprawdza dzwony i gwizdy na swojej lśniącej nowej maszynie roboczej, siedząc przy Starbucks ™ i popijając latte. Potyka się po skrytce Alice i niewinnie klika plik, który wygląda dziwnie. Nagle każda głowa w sklepie kręci się dookoła, by z przerażeniem obserwować, jak komputer Boba narusza kilka przepisów stanowych i federalnych przy pełnej głośności. Jedna mała dziewczynka w kącie zaczyna płakać.

Bob jest zawstydzony. Po sześciu miesiącach depresji i wyrzuceniu go z pracy za niezamierzony akt publicznej nieprzyzwoitości (i ewentualne zarzuty karne), znajduje się w naprawdę załamującym się zespole prawnym i marnuje swojego byłego pracodawcę w oburzająco szkodliwym procesie. Alice jest w Tajlandii i ucieka przed ekstradycją.


Być może wszystko to jest nieco poza jasnością, ale absolutnie może się to zdarzyć, jeśli nie poświęcisz czasu na przeszukanie każdego działania byłego pracownika. Możesz też zaoszczędzić czas i zainstalować od nowa.

Ryder
źródło
30
@gerrit Ponowna instalacja systemu Windows od podstaw zwykle oznacza również pełny format dysku. Jedynym sposobem, by Bob odzyskał pliki po tym, jest uruchomienie narzędzi kryminalistycznych i zwykle nie robi się tego bez bardzo dobrego powodu.
Nzall,
10
Alice w Tajlandii nie pomaga. Istnieje prawo o ekstradycji TH-US . Spróbuj wybrać inny kraj. Notch Korea jest moim kandydatem;)
vasin1987
37
@ vasin1987 Prawnik Alice właśnie dzwonił. Powiedziała, że ​​tak naprawdę wolałaby spędzić resztę życia w federalnym więzieniu niż zostać w Pjongjangu. Czy możesz coś zorganizować?
David Richerby,
40
Co się potem dzieje? Muszę wiedzieć!
FuriousFolder
13
Na tę odpowiedź skorzystałby mały dodatek omawiający tani koszt wykonania pełnego czyszczenia jako standardowej procedury operacyjnej, w przeciwieństwie do 1. spędzania czasu na określaniu, czy konieczna jest zmiana rąk na każdej maszynie, a następnie 2. określania, czy istnieje ryzyko czegoś takiego to jest warte zaoszczędzonego czasu. W praktyce prawdopodobnie jest to szybsze (czas = pieniądze) po prostu wyczyszczenie go niż próba wyśledzenia i usunięcia danych poprzedniego użytkownika, nawet ignorując ryzyko.
jpmc26
43

Zdecydowanie powinieneś zresetować / ponownie zainstalować komputery. Mogą być na nim złośliwe programy, które mogłyby zagrozić firmie. Mogą to być wirusy lub trojany lub coś, co były pracownik pozostawił tam celowo (nie wszyscy odchodzą na dobrych warunkach). Wszystkie powody w odpowiedzi @ axl są również ważne.

Aby ułatwić Ci życie, utwórz migawkę / obraz / kopię zapasową świeżo zainstalowanego komputera z zainstalowanym już zwykłym oprogramowaniem i po prostu prześlij go na każdym nowym lub poddanym recyklingowi komputerowi. Nie jest wymagana ręczna ponowna instalacja.

Silent-Bob
źródło
„Mogą w nim znajdować się złośliwe programy, które mogłyby zagrozić firmie”. Jeśli jest to laptop firmowy, pracownikowi ufano, że wcześniej go użyje. Jeśli masz pracownika złośliwie atakującego twoją sieć, miał on już wiele okazji, by wyczyścić tylko swoją maszynę nieefektywną taktyką.
jpmc26
4
W moim ostatnim miejscu pracy dostałem laptopa byłego współpracownika. Nie instalowali ponownie ani nie mieli „standardowej wersji”. Miałem podobne doświadczenia, ale nie tego rodzaju z pornografii. Skończyłem z formatowaniem i ponowną instalacją, ponieważ NIC nie działało poprawnie. Były pracownik całkowicie ukrył system, próbując wprowadzić poprawki w najbardziej niezrozumiały sposób.
Mike McMahon
@ jpmc26 Nie do końca. Mamy zakończone przypadki, w których podejrzewaliśmy, że mogą zrobić coś mściwego po przekazaniu im wiadomości. Dlatego proaktywnie cofnęlibyśmy ich uprawnienia z naszych aplikacji i sieci. Tak więc, chociaż mogli nie mieć aktywnego dostępu, mogli nadal włączać złośliwe oprogramowanie lub keyloggery, z których można było korzystać po uruchomieniu komputera lub urządzenia przez innego pracownika. Nasze obawy nie dotyczyły też złośliwego atakowania naszej sieci w takim stopniu, w jakim mogliby znaleźć pracę u konkurencji i nadal mieć dostęp do poufnych informacji firmy.
Bacon Brad
27

Nie jestem administratorem IT, ale uważam, że powinieneś zainstalować ponownie z kilku powodów:

  • Lokalni administratorzy mogą przejąć na własność pliki poprzedniego użytkownika.

  • Mniej prawdopodobne jest, że będziesz mieć do czynienia z problemami wynikającymi ze zmian systemowych wprowadzonych przez starego użytkownika.

  • Aplikacje osobiste starego użytkownika byłyby nadal dostępne w plikach programu.

Jeśli nie masz lokalnych administratorów, którzy naprawdę nie mogą zmieniać ani uzyskiwać dostępu do niczego poza swoim folderem domowym, to mniej się martwię, ale zawsze jest miejsce na dysku do rozważenia.

Czy zastanawiałeś się nad użyciem Ghosta lub innego systemu obrazowania zamiast ręcznej instalacji całego oprogramowania?

axl
źródło
1
Właściwie to zrobiłem, ale jest to również jedna z rzeczy, które zrobiono wcześniej ręcznie i NIKT chyba nie chce tego zmienić. Jest na liście ToDo, kiedy
skończę
1
Przekonanie ludzi, że istnieją lepsze sposoby, może zająć trochę czasu, zwłaszcza jeśli odczuwa się niewielki ból lub nie odczuwa się go wcale. :)
axl
9

Jeśli wszystkie obsługiwane maszyny są identyczne (lub istnieją grupy identycznych komputerów), wykonaj czystą instalację raz, zaktualizuj system operacyjny i zainstaluj podstawowe oprogramowanie, którego będą potrzebować użytkownicy. Następnie utwórz obraz dysku twardego, z którego można przywrócić system w przypadku ponownego przypisania urządzenia do innego użytkownika, awarii dysku twardego, infekcji wirusowej itp.

Wystarczy przywrócić zawartość dysku twardego „czysta instalacja” z obrazu dysku i w razie potrzeby zmienić klucz produktu Windows.

Jeśli chcesz chronić dyski twarde przed użytkownikami korzystającymi z narzędzi kryminalistycznych - użyj narzędzia do niszczenia danych (np. Niszczenie, dostępne w większości dystrybucji Linuksa) na dysku twardym przed przywróceniem danych z obrazu. Przy około godzinie pracy możesz nawet przygotować na żywo USB, który zniszczy dysk twardy, a następnie ponownie napełni go danymi z obrazu.

W ten sposób możesz zaoszczędzić sporo pracy, jednocześnie chroniąc dane użytkowników i firmy.

Kuba
źródło
1
Utworzenie bezpośredniego obrazu dysku instalacji systemu Windows i zastosowanie go do wielu różnych komputerów może powodować problemy z powodu czegoś zwanego SID komputera. Aby to zrobić poprawnie, przed utworzeniem obrazu dysku należy uruchomić narzędzie systemu Windows o nazwie sysprep i „ uogólnić ”zainstalowany system operacyjny. Pamiętaj również, że musisz śledzić liczbę aktywacji systemu Windows, ponieważ niektóre wersje pozwalają tylko na tyle aktywacji, czasem nawet na pięć, a kiedy skończysz, nie możesz sysprepować ani obrazować go dalej. slmgr / dlv pokazuje pozostałe aktywacje.
Dale Mahalko,
3
@DaleMahalko Chociaż SysPrep jest wymagany i obsługiwany sposób duplikowania instalacji, nie dzieje się tak z powodu duplikacji SID .
TessellatingHeckler
Nawet jeśli nie są one identyczne, w dzisiejszych czasach łatwo jest napisać skrypt instalacji komputera. W takim razie nie odczuwasz bólu przestarzałych obrazów.
James Snell
5

Brakuje najlepszej odpowiedzi ... zanotuj swój sprzęt jako koszt biznesowy, a kiedy ktoś wyjdzie, daj mu laptopa i kup nowy, czysty; oszczędza to najwięcej czasu i jest pozytywnym sposobem na osiągnięcie równowagi między życiem zawodowym a prywatnym. Oczywiście, jeśli byli tam tylko kilka tygodni, reset jest prawdopodobnie najlepszy.

James „Fluffy” Burton
źródło
5
„Zapisz swój sprzęt jako koszt biznesowy” nie powoduje, że koszty znikają. Ten sposób myślenia jest jak kupowanie nowego telefonu za każdym razem, gdy wyczerpie się bateria.
Strażnik
7
Nie jest to „najlepszy” pomysł; zły pomysł dookoła. Musisz zapisać nie tylko koszt sprzętu, ale także wszystkie licencje na zainstalowane tam inne oprogramowanie (niektóre licencje mogą być technicznie nieprzenoszalne). Nie wiem o twoim miejscu pracy, ale w moim prawie wszystko ma na sobie oznaczenie „Poufne dla firmy”. Czy chcesz, aby te cenne informacje wychodziły za drzwi, czy też je odpisujesz? Zakłada, że ​​rozstajesz się na przyjaznych warunkach. Jeśli jest to stary sprzęt i na dobrych warunkach, „może” przeróbkę, a następnie rozdaj; może na cele charytatywne kontra pracownik (ulga podatkowa! $$).
Ian W
@ Ian W niektóre oprogramowanie można dezaktywować, zwalniając licencję dla innego pracownika w firmie (większość oprogramowania, które widziałem, ma tę opcję dla użytkowników korporacyjnych). Z drugiej strony poufność danych przechowywanych na dysku twardym urządzenia jest problemem. Powinieneś wyczyścić / zniszczyć / zawartość dysku. To oczywiście sprawia, że ​​zapisywanie sprzętu jest złym sposobem na pozbycie się problemu (ponieważ i tak musisz najpierw rozwiązać problem).
Jakub
Firmy już wykorzystują każdy możliwy wydatek jako wydatek biznesowy, „spisanie go” nie robi tego, co prawdopodobnie myślisz, że to robi - to nie jest jak darmowe pieniądze, firma wciąż musi kupować nowy sprzęt (laptop), a zaoszczędzony grosz to zarobiony grosz. Może Kramer może to lepiej wyjaśnić (prawdopodobnie nie)
Xen2050,
5

Mam osobiste doświadczenie z komputerami bez reimaging, które przenoszą wirusy na nowych użytkowników. (A przy niechcianych plikach przewyższających zatrudnienie użytkownika, ale to zupełnie inna historia).

Jak zauważył Ushuru, najlepszą praktyką jest reimage, a nie ponowna instalacja. (I tak, potrzebujesz sysprep, ale nie ze względu na SID, jak powiedział TesselatingHector.) Nie muszą to być identyczne urządzenia; na swoim obrazie możesz uwzględnić wiele różnych sterowników, a nawet dodać nowe sterowniki offline (jeśli obraz jest wimem).

Istnieje cały rynek sektor z pulpitu wdrażania oprogramowania , a ja też widziałem ludzie toczą własną proces tworzenia kopii zapasowych i przywracania specjalistycznego „zapasowego” obraz.

Możesz też odbudować system, jeśli lubisz instalować system operacyjny. ;) Łatwo się nudzę i wolę automatyzować.

Katherine Villyard
źródło
3

Odpowiedź na to pytanie naprawdę zależy od tego, czy pozwalasz pracownikom być lokalnymi administratorami własnego komputera.

Zasadniczo konto grupy użytkowników ma tylko uprawnienia do zapisu we własnym katalogu profilu, a nigdzie indziej na dysku twardym.

W takim przypadku użytkownik nie może wprowadzać żadnych zmian w systemie, w tym instalowania lub usuwania aplikacji, ani tworzenia ukrytych plików lub katalogów poza katalogiem profili.

Złośliwe oprogramowanie może potencjalnie zostać zainstalowane, ale ponownie tylko w profilu tego użytkownika, zazwyczaj w AppData lub Temp.

W przypadku tych użytkowników z ograniczonym dostępem nowe konto jest całkowicie odłączone od tego, co było w starym profilu użytkownika.

Dale Mahalko
źródło
7
„Złośliwe oprogramowanie może potencjalnie zostać zainstalowane, ale ponownie tylko w profilu tego użytkownika” - chyba że wykorzystuje lukę w zabezpieczeniach związaną z eskalacją uprawnień. Nawet bez lokalnych uprawnień administratora pozostaje jednak pewne ryzyko.
user149408
Jest to nieistotne, ponieważ tego rodzaju problem może dotknąć każdego w dowolnym momencie. Jako administrator około 500 komputerów stacjonarnych nie usuwam okresowo pulpitu każdej osoby co 6 miesięcy z powodu drobnych obaw związanych z możliwym złośliwym oprogramowaniem, które może uciekać z grupy zabezpieczeń użytkowników. Jeśli odkryjesz, że tak się stało, poradzisz sobie z tym, ale w przeciwnym razie nie przejmuj się tym i pozwól, aby program antywirusowy go zajął.
Dale Mahalko
1
Pracownicy mają fizyczną kontrolę nad laptopem - do tego stopnia, że ​​zabierają go ze sobą w podróż. Jeśli chcą dostępu administratora, uzyskają go.
Andrew Henle,
1
Załóżmy, że każdy, kto ma fizyczny dostęp do komputera, może zrobić wszystko, co może zrobić administrator.
Bill K
3

Nigdy nawet nie marzyłem o oddaniu używanego komputera PC nowemu pracownikowi bez przynajmniej czyszczenia dysku twardego. Jeśli chcesz być dość bezpieczny, wymień dysk twardy całkowicie.

Zestawy root są niezwykle potężne. Zestaw root jest nieznany przez system operacyjny i skanery antywirusowe, ponieważ są instalowane na niższym poziomie (w rzeczywistości ładują system operacyjny i przekazują systemowi podstawowe informacje, takie jak to, co jest na dysku twardym, dzięki czemu mogą bardzo skutecznie ukryć się przed OS). Niektóre nawet instalują się w systemie BIOS dysku twardego, co sprawia, że ​​bardzo trudno się ich pozbyć.

Niektóre z nich mogą zainstalować się w systemie BIOS komputera i ponownie zainfekować nowe dyski twarde podczas ich instalacji.

Jeśli niezadowolony pracownik z nawet łagodnymi umiejętnościami hakerskimi naprawdę tego chciał, mógłby zwrócić komputer w stanie, który wielokrotnie dewastowałby sieć, nawet po sformatowaniu dysku twardego. Dobry można to zrobić, aby nawet wymiana dysku twardego nie pomogła.

Naprawdę utalentowany pracownik hakera może skorzystać z jednej z tych technik, aby uzyskać nieograniczony dostęp do wewnętrznych systemów sieciowych i danych. W dowolnym momencie w przyszłości mógłby ponownie połączyć się z zewnątrz - w sposób, który byłby prawie niemożliwy do zatrzymania (ponieważ zainfekowany komputer może czasami wywoływać i omijać wszystkie zabezpieczenia zapory).

Na szczęście naprawdę utalentowani mają prawdopodobnie lepsze rzeczy do roboty niż praca dla Twojej firmy.

Odpowiedź Jamesa, w której mówi: „Oddaj komputer pracownikowi, gdy odchodzi”, powinna brzmieć całkiem dobrze w tej chwili - ale tak naprawdę, po prostu szarpnij i zniszcz HD.

Bill K.
źródło
Myślę, że masz rację, twoje i Jamesa podejmują najmniejsze ryzyko naruszenia bezpieczeństwa, ale niektórym ludziom trudno to sobie wyobrazić, zwłaszcza że nie są skłonni zrobić czystej instalacji dla nowych pracowników po pierwsze;) To wciąż DŁUGA droga ...
ExNought
4
Być może można zachęcić ludzi do wzięcia udziału w seminarium poświęconym bezpieczeństwu. Istnieją poważne konsekwencje, aby nie traktować bezpieczeństwa poważnie. Ilu menedżerów w Twojej firmie doceniłoby zawartość komputera roboczego przesyłanego do Internetu.? Wspominam o tym, ponieważ ostatnio zdarzyło się to firmie przyjaciela. Moja sieć robocza jest całkowicie odłączona od Internetu, a wynajęci hakerzy nadal mogli dostać się przez laptopy, które zostały zainfekowane po podłączeniu do Internetu, a następnie przeniesione do naszej rozłączonej sieci. Zdarza się!
Bill K,
@BillK +1! W pełni się zgadzam. Najlepszą drogą dla bezpieczeństwa jest wyrzucenie dysków, ponowne flashowanie systemu BIOS i zainstalowanie nowego. Oprócz bezpieczeństwa nadal istnieje kwestia prywatności twoich współpracowników - co jest zupełnie inną kwestią i nie powinno być poddawane analizie kosztów i korzyści. Dlatego utrzymywałbym, że ponowne zdjęcie lub wyczyszczenie i ponowna instalacja powinny być najlepszą praktyką , a zniszczenie części dysku solidnej polityki bezpieczeństwa (i to można ocenić pod kątem kosztów).
Ryder
1
@Ryder zgodził się. Ponadto, jeśli ludzie w Twojej firmie martwią się kosztem zniszczenia dysku w porównaniu do ponownego obrazowania, wyjdź SZYBKO. Albo jest niesamowicie wysoki obrót, albo zaczynają się psuć, tak czy inaczej, nie będzie to idealne miejsce na długi pobyt. (start-upy bez kości mogą być wyjątkiem, ale może nie).
Bill K