Найкраща практика: Чи слід завжди встановлювати нову ОС для нових співробітників?

Я мав аргумент з начальником щодо цього. Хоча на перший погляд попередній користувач ноутбука працював лише у власних папках документів, чи слід завжди встановлювати нову ОС для наступного користувача чи достатньо видаляти старий профіль? Програмне забезпечення, яке встановлюється, здебільшого також потрібне наступному користувачеві.

Я думаю, що потрібна установка, але крім мого власного аргументу вірусів та приватних даних, які причини для цього є?

У нашій компанії дозволяється використовувати ПК для приватної пошти, на деяких ПК встановлені навіть ігри. У нас є якісь мобільні користувачі, які часто є на сайті у замовника, тому я не дуже їх звинувачую.

Також через це у нас багато місцевих адміністраторів.

Я знаю, що як приватне використання, так і наявність локальних облікових записів адміністраторів - це не дуже гарна ідея, але саме так було оброблено до того, як я працював тут, і я можу змінити це лише після того, як я пройду стажування;)

Редагувати : Я думаю, що всі опубліковані відповіді є актуальними, і я також знаю, що пара практик, які ми маємо в моїй компанії, не найкраще почати (наприклад, місцевий адміністратор для занадто багато людей;).

На сьогодні я думаю, що найбільш корисною відповіддю для обговорення буде відповідь Райдера. Хоча в даному прикладі він дав у своїй відповіді може бути перебільшений, це вже сталося до того, що колишній співробітник забув особисті дані. Нещодавно я знайшов роздрібну копію гри Runaway у старому ноутбуці, і у нас було ще кілька випадків, що залишилися приватними зображеннями.

Абсолютно слід. Це не просто здоровий глузд з безпеки POV, це також має бути практикою як ділової етики.

Уявімо такий сценарій: Аліса йде, а її комп’ютер передається Бобу. Боб цього не знав, але Аліса потрапила в нелегальне порно знімки і залишила кілька файлів, захованих поза її профілем. IT видаляє її профіль та більше нічого, що включає лише її історію перегляду та локальні файли.

Одного разу Боб перевіряє дзвіночки на своїй блискучій новій робочій машині, сидячи біля Starbucks ™ і потягуючи латте. Він натикається на кеш Аліси і невинно клацає на файл, який виглядає дивно. Раптом кожна голова в магазині хлипає навколо, щоб з жахом спостерігати за тим, як на ПК Боба проходить кілька державних і федеральних постанов на повну гучність. Одна дівчинка в кутку починає плакати.

Боб замурований. Після шести місяців депресії та звільнення з посади за ненавмисний вчинок публічної непристойності (та можливих кримінальних звинувачень) він виявляє себе справді розбитою юридичною командою і відкладає відходи до свого колишнього роботодавця, що викликає шалено позов. Аліса перебуває в Таїланді і уникає видачі.

Можливо, все це трохи поза межами блідості, але це абсолютно може статися, якщо ви не знайдете часу, щоб розглянути всі дії колишнього працівника. Або ви могли заощадити час та перевстановити з нуля.

Ви обов'язково повинні скинути / перевстановити комп'ютери. На ньому можуть бути шкідливі програми, які становлять небезпеку для бізнесу. Це можуть бути віруси чи трояни чи щось, що колишній працівник покинув там навмисно (не всі залишають доброзичливо). Усі причини у відповіді @ axl також є дійсними.

Щоб полегшити ваше життя, створіть знімок / зображення / резервну копію щойно встановленого комп'ютера зі всім звичним програмним забезпеченням, яке вже встановлено, і просто натисніть це на кожен новий або перероблений комп'ютер. Не потрібно вручну перевстановлювати.

Я не ІТ-адміністратор, але я відчуваю, що вам слід перевстановитись з кількох причин:

• Місцеві адміністратори можуть брати право власності на файли попереднього користувача.

• Вам рідше доведеться стикатися з проблемами, що виникають внаслідок змін системи, зроблених старим користувачем.

• Особисті програми старого користувача все ще будуть доступні у файлах програми.

Якщо у вас немає місцевих адміністраторів, і вони дійсно не можуть нічого змінити або отримати доступ до своєї домашньої папки.

Чи думали ви використовувати Ghost або іншу систему візуалізації замість того, щоб установити все програмне забезпечення вручну?

Якщо всі машини, якими ви керуєте, однакові (або є групи однакових машин), зробіть чисту інсталяцію один раз, оновіть ОС та встановіть базове програмне забезпечення, яке потребуватиме користувачів. Потім створіть зображення на жорсткому диску, до якого ви зможете відновити систему у випадку переназначення машини іншому користувачеві, відмови жорсткого диска, вірусної інфекції тощо.

Все, що вам потрібно зробити, це просто відновити вміст жорсткого диска "чистої установки" з зображення диска та змінити ключ продукту Windows, якщо це потрібно.

Якщо ви хочете захистити жорсткі диски від користувачів за допомогою криміналістичних інструментів - перед тим, як відновити дані з зображення на нього, використовуйте інструмент для подрібнення даних (наприклад, клаптики, доступні в більшості дистрибутивів Linux) на жорсткому диску. Приблизно за годину роботи ви можете навіть підготувати живий USB, який буде подрібнювати жорсткий диск, а потім знову заповнити його даними із зображення.

Таким чином, ви можете заощадити собі чимало роботи, захищаючи дані користувачів та компанії.

На це не вистачає найкращої відповіді ... запишіть ваше обладнання як вартість бізнесу, а коли хтось піде, тоді віддавайте їм ноутбук і купуйте новий чистий; це економить найбільше часу з усіх і є позитивним способом наблизитись до балансу між роботою та життям. Звичайно, якщо вони там були лише кілька тижнів, то, мабуть, найкращий скидання.

Я маю особистий досвід роботи з неоримованими ПК, які передають віруси новим користувачам. (І з небажаними файлами, що переживають зайнятість користувача, але це зовсім інша історія.)

Як зазначив Ушуру, найкращою практикою є реіміграція, а не перевстановлення. (І так, вам потрібен sysprep, але не через SID, як сказав TessealingHector.) Вони не повинні бути однаковими апаратними засобами; ви можете включити у свій образ найрізноманітніші драйвери та навіть додати нові драйвери в режимі офлайн (якщо ваше зображення є .wim).

Існує цілий сектор ринку програмного забезпечення для розгортання на робочому столі , і я також бачив, як люди розгортають власний процес із програмним забезпеченням для резервного копіювання та відновленням спеціалізованого «резервного» образу.

Або ви можете відновити систему, якщо вам подобається встановлювати ОС. ;) Мені легко нудно і вважаю за краще автоматизувати.

Відповідь на це дійсно залежить від того, чи дозволяєте ви працівникам бути місцевими адміністраторами власної машини.

Як правило, обліковий запис групи користувачів має лише дозвіл на запис у власному каталозі профілів, і ніде більше на жорсткому диску.

У цьому випадку користувач не може вносити жодних змін до системи, включаючи встановлення чи видалення програм, створення прихованих файлів чи каталогів поза каталогом своїх профілів.

Зловмисне програмне забезпечення потенційно може встановлюватися самою собою, але знову лише у профілі цього користувача, як правило, в AppData або Temp.

Для цих обмежених користувачів новий обліковий запис повністю від’єднано від того, що було у старому профілі користувача.

Я б навіть не мріяв дарувати використаний ПК новому працівникові без хоча б протирання жорсткого диска. Якщо ви хотіли бути досить безпечними, замініть жорсткий диск повністю.

Кореневі набори надзвичайно потужні. Кореневий комплект невідомий ОС і вірусних сканерів, оскільки вони встановлені на нижчому рівні (вони фактично завантажують ОС і дають ОС основну інформацію, таку як на жорсткому диску, тому вони можуть дуже ефективно сховатися від ОС). Деякі навіть встановлюють себе в BIOS жорсткого диска, що робить їх надзвичайно важко позбутися.

Кілька з них можуть встановити себе в BIOS вашого ПК та повторно заразити нові жорсткі диски по мірі їх встановлення.

Якщо будь-який незадоволений працівник з навіть легкими навичками злому дійсно захотів, він міг би повернути вам комп'ютер у стані, яка б неодноразово спустошувала вашу мережу навіть після жорсткого диска "Reformat". Хороший міг би зробити так, що навіть заміна жорсткого диска не допоможе.

Дійсно талановитий працівник хакера може скористатися однією з цих методик, щоб отримати необмежений доступ до ваших систем та даних внутрішньої мережі. У будь-який момент майбутнього він міг би знову підключитися ззовні - таким чином, що вам було б майже неможливо зупинити (Оскільки інфікований комп’ютер, ймовірно, час від часу дзвонить і обійде всю безпеку брандмауера).

На щастя, справді талановитим, мабуть, є кращі справи, ніж робота для вашої компанії.

Відповідь Джеймса, де він каже: «Дай комп’ютер працівникові, коли він виїжджає», зараз має звучати досить добре - але насправді, просто потріпай і подрібни HD.