Найкраща практика: Чи слід завжди встановлювати нову ОС для нових співробітників?


112

Я мав аргумент з начальником щодо цього. Хоча на перший погляд попередній користувач ноутбука працював лише у власних папках документів, чи слід завжди встановлювати нову ОС для наступного користувача чи достатньо видаляти старий профіль? Програмне забезпечення, яке встановлюється, здебільшого також потрібне наступному користувачеві.

Я думаю, що потрібна установка, але крім мого власного аргументу вірусів та приватних даних, які причини для цього є?

У нашій компанії дозволяється використовувати ПК для приватної пошти, на деяких ПК встановлені навіть ігри. У нас є якісь мобільні користувачі, які часто є на сайті у замовника, тому я не дуже їх звинувачую.

Також через це у нас багато місцевих адміністраторів.

Я знаю, що як приватне використання, так і наявність локальних облікових записів адміністраторів - це не дуже гарна ідея, але саме так було оброблено до того, як я працював тут, і я можу змінити це лише після того, як я пройду стажування;)

Редагувати : Я думаю, що всі опубліковані відповіді є актуальними, і я також знаю, що пара практик, які ми маємо в моїй компанії, не найкраще почати (наприклад, місцевий адміністратор для занадто багато людей;).

На сьогодні я думаю, що найбільш корисною відповіддю для обговорення буде відповідь Райдера. Хоча в даному прикладі він дав у своїй відповіді може бути перебільшений, це вже сталося до того, що колишній співробітник забув особисті дані. Нещодавно я знайшов роздрібну копію гри Runaway у старому ноутбуці, і у нас було ще кілька випадків, що залишилися приватними зображеннями.


31
Ви не хочете ризикувати, щоб цього не зробити. Забагато речей може піти не так, якщо ви цього не зробите (і зрештою, вони будуть).
Щогли

4
Ви не звинувачуєте своїх співробітників у тому, що вони грають у власність компанії ... адже вони роблять це, коли з вашими клієнтами? WTF?
Гонки легкості по орбіті

24
@LightnessRacesinOrbit Добре, якщо ти тиждень (у тому числі навіть у вихідні дні) ти в готелі, і там поза роботою абсолютно нічого робити, так, я вважаю, що це прийнятно. Звичайно є проблеми, але принаймні це підтримує мораль. Також я, а також мої дружини, впевнені, що примушення людей, можливо, купувати ноутбук чи планшет для своїх подорожей, зашкодить нам. Тут є низка причин, якщо вникнути в усі вони не тільки задовго, але й змусить мого роботодавця виглядати погано;)
ExNought

3
@ExoWork: О, поза роботою, звичайно. Я сам, як правило, відсутній у справах кілька днів і ночей щотижня, і, безумовно, добре використовую свій робочий ноутбук у тих готелях! Але ви сказали "на місці у замовника", що дуже відрізняється.
Гонки легкості на орбіті

8
Я б сказав, безумовно, з усіх перерахованих тут причин, але є й інше: Якщо комп’ютер можна використовувати для приватного використання, можливо, незаконно надавати комусь інший доступ до цих даних через закони про захист даних (це, безумовно, може бути наскільки я знаю в Німеччині проблематично). Форматування накопичувача гарантує, що сторонні особи не отримують приватних даних.
DetlevCM

Відповіді:


217

Абсолютно слід. Це не просто здоровий глузд з безпеки POV, це також має бути практикою як ділової етики.

Уявімо такий сценарій: Аліса йде, а її комп’ютер передається Бобу. Боб цього не знав, але Аліса потрапила в нелегальне порно знімки і залишила кілька файлів, захованих поза її профілем. IT видаляє її профіль та більше нічого, що включає лише її історію перегляду та локальні файли.

Одного разу Боб перевіряє дзвіночки на своїй блискучій новій робочій машині, сидячи біля Starbucks ™ і потягуючи латте. Він натикається на кеш Аліси і невинно клацає на файл, який виглядає дивно. Раптом кожна голова в магазині хлипає навколо, щоб з жахом спостерігати за тим, як на ПК Боба проходить кілька державних і федеральних постанов на повну гучність. Одна дівчинка в кутку починає плакати.

Боб замурований. Після шести місяців депресії та звільнення з посади за ненавмисний вчинок публічної непристойності (та можливих кримінальних звинувачень) він виявляє себе справді розбитою юридичною командою і відкладає відходи до свого колишнього роботодавця, що викликає шалено позов. Аліса перебуває в Таїланді і уникає видачі.


Можливо, все це трохи поза межами блідості, але це абсолютно може статися, якщо ви не знайдете часу, щоб розглянути всі дії колишнього працівника. Або ви могли заощадити час та перевстановити з нуля.


30
@gerrit Перевстановлення Windows з Scratch зазвичай передбачає також повний формат диска. Єдиний спосіб, коли Боб поверне файли після цього, це запуск криміналістичних інструментів, і ви зазвичай цього не робите без дуже вагомих причин.
Nzall

10
Аліса в Таїланді не допомагає. Існує закон про видачу TH-US . Спробуйте вибрати країну. Notch Korea - мій кандидат;)
vasin1987

37
@ vasin1987 Адвокат Аліси щойно зателефонував. Вона сказала, що, власне, вона вважає за краще провести решту життя у федеральній в'язниці, ніж залишатися в Пхеньяні. Можете щось домовитись?
Девід Річербі

40
Що буде далі? Мені потрібно знати!
FuriousFolder

13
Ця відповідь отримала б користь від невеликого доповнення, в якому обговорюються дешеві витрати на повне протирання як стандартна операційна процедура, а не 1. витрачати час на визначення, чи потрібно на кожній машині міняти руки, а потім 2. визначати, чи є ризик чогось подібного це вартує заощадженого часу. На практиці, мабуть, швидше (час = гроші) просто стерти його, ніж спробувати виправити та стерти дані попереднього користувача, навіть не зважаючи на ризик.
jpmc26

43

Ви обов'язково повинні скинути / перевстановити комп'ютери. На ньому можуть бути шкідливі програми, які становлять небезпеку для бізнесу. Це можуть бути віруси чи трояни чи щось, що колишній працівник покинув там навмисно (не всі залишають доброзичливо). Усі причини у відповіді @ axl також є дійсними.

Щоб полегшити ваше життя, створіть знімок / зображення / резервну копію щойно встановленого комп'ютера зі всім звичним програмним забезпеченням, яке вже встановлено, і просто натисніть це на кожен новий або перероблений комп'ютер. Не потрібно вручну перевстановлювати.


"Можуть існувати шкідливі програми, які піддають ризику бізнес". Якщо це фірмовий ноутбук, то до цього працівникові вже довіряли користуватися. Якщо у вас є співробітник, який зловмисно атакує вашу мережу, у них вже є широка можливість зробити протирання лише своєї машини неефективною тактикою.
jpmc26

4
Я отримав колишній ноутбук колег за останнім місцем роботи. Вони не проводили перевстановлення і не мали «стандартної збірки». Я мав подібний досвід, але не такого типу порнографії. Мені в кінцевому підсумку довелося зробити формат і перевстановити себе так, як НІЧОГО не працювало належним чином. Колишній працівник повністю зачепив систему, намагаючись виправити речі найбільш незрозумілими способами.
Майк Макмахон

@ jpmc26 Не повністю. У нас були припинення, де ми підозрювали, що вони можуть зробити щось мстиве після того, як повідомити їм новини. Тож ми б проактивно відкликали їхні дозволи від наших програм та мережі. Тому, хоча вони не мали активного доступу, вони все ще могли містити зловмисне програмне забезпечення або кейлоггери, які могли бути використані, коли комп'ютер або пристрій увійшов у користування іншим співробітником. Крім того, наше занепокоєння було не тим, що вони зловмисно атакують нашу мережу настільки, наскільки вони могли влаштуватися на роботу з конкурентом і все ще мають доступ до конфіденційної інформації компанії.
Бекон Бред

27

Я не ІТ-адміністратор, але я відчуваю, що вам слід перевстановитись з кількох причин:

  • Місцеві адміністратори можуть брати право власності на файли попереднього користувача.

  • Вам рідше доведеться стикатися з проблемами, що виникають внаслідок змін системи, зроблених старим користувачем.

  • Особисті програми старого користувача все ще будуть доступні у файлах програми.

Якщо у вас немає місцевих адміністраторів, і вони дійсно не можуть нічого змінити або отримати доступ до своєї домашньої папки.

Чи думали ви використовувати Ghost або іншу систему візуалізації замість того, щоб установити все програмне забезпечення вручну?


1
Я насправді це зробив, але це також одна з речей, що робилося вручну раніше, і НІКОЛИЙ, схоже, не хоче це змінити. Це в списку ToDo, коли я закінчую стажування;)
ExNought

1
Може зайняти деякий час, щоб переконати людей у ​​тому, що існують кращі способи, особливо якщо болю мало або взагалі не відчувається. :)
axl

9

Якщо всі машини, якими ви керуєте, однакові (або є групи однакових машин), зробіть чисту інсталяцію один раз, оновіть ОС та встановіть базове програмне забезпечення, яке потребуватиме користувачів. Потім створіть зображення на жорсткому диску, до якого ви зможете відновити систему у випадку переназначення машини іншому користувачеві, відмови жорсткого диска, вірусної інфекції тощо.

Все, що вам потрібно зробити, це просто відновити вміст жорсткого диска "чистої установки" з зображення диска та змінити ключ продукту Windows, якщо це потрібно.

Якщо ви хочете захистити жорсткі диски від користувачів за допомогою криміналістичних інструментів - перед тим, як відновити дані з зображення на нього, використовуйте інструмент для подрібнення даних (наприклад, клаптики, доступні в більшості дистрибутивів Linux) на жорсткому диску. Приблизно за годину роботи ви можете навіть підготувати живий USB, який буде подрібнювати жорсткий диск, а потім знову заповнити його даними із зображення.

Таким чином, ви можете заощадити собі чимало роботи, захищаючи дані користувачів та компанії.


1
Створення прямого образу диска інсталяції Windows та застосування його до багатьох різних машин може спричинити проблеми через щось, що називається машиною SID. Щоб зробити це правильно, перед створенням образу диска потрібно запустити утиліту Windows під назвою sysprep і " узагальнити "встановлену ОС. Також зауважте, що вам слід відстежувати кількість активацій Windows, оскільки деякі версії дозволяють лише стільки активацій, іноді лише п’ять, а коли ви закінчитеся, ви більше не можете відстежувати або зображувати його. slmgr / dlv показує активацію, що залишилася.
Дейл Махалко

3
@DaleMahalko Хоча SysPrep потрібен та підтримуваний спосіб дублювання встановлень, це не через дублювання SID .
TessellatingHeckler

Навіть якщо вони не є однаковими, сьогодні легко скріптувати встановлення ПК. Тоді ви не болієте застарілих зображень.
Джеймс Снелл

5

На це не вистачає найкращої відповіді ... запишіть ваше обладнання як вартість бізнесу, а коли хтось піде, тоді віддавайте їм ноутбук і купуйте новий чистий; це економить найбільше часу з усіх і є позитивним способом наблизитись до балансу між роботою та життям. Звичайно, якщо вони там були лише кілька тижнів, то, мабуть, найкращий скидання.


5
"Запишіть апаратне забезпечення як бізнес-вартість" не зникає вартість. Таке мислення схоже на покупку нового телефону щоразу, коли у вашого закінчується батарея.
Рейнджер

7
Не найкраща ідея; погана ідея навколо. Ви повинні записати не лише вартість обладнання, але й усі ліцензії іншого програмного забезпечення, встановленого там (Деякі ліцензії технічно не підлягають передачі). Я не знаю про ваше робоче місце, але на моєму, більшість із них має назви "Конфіденційність компанії". Ви хочете, щоб ця цінна інформація виходила за двері, чи це теж списуєте? Передбачає, що ви розлучаєтеся з дружніми стосунками. Якщо це старий HW і за умови, що "можливо" повторне зображення потім віддайте; можливо, на благодійність проти працівника (податковий кредит! $$).
Ян W

@Ian W деяке програмне забезпечення можна деактивувати, звільняючи ліцензію для іншого працівника в компанії (більшість програм, які я бачив, мають такий варіант для корпоративних користувачів). Конфіденційність даних, що зберігаються на жорсткому диску машини, з іншого боку, є проблемою. Вам слід витерти / подрібнити вміст диска. Це, звичайно, робить записування апаратних засобів поганим способом позбавлення від проблеми (адже вам доведеться вирішити проблему спочатку все-таки).
Якуб

Підприємства вже використовують усі можливі витрати як бізнес-витрати, "їх списання" не робить те, що, напевно, ви думаєте, що це робить - це не так, як безкоштовні гроші, бізнесу все одно доводиться купувати нове обладнання (ноутбук), і копійки збережені - це зароблені копійки. Можливо, Крамер може пояснити це краще (напевно, ні)
Xen2050

5

Я маю особистий досвід роботи з неоримованими ПК, які передають віруси новим користувачам. (І з небажаними файлами, що переживають зайнятість користувача, але це зовсім інша історія.)

Як зазначив Ушуру, найкращою практикою є реіміграція, а не перевстановлення. (І так, вам потрібен sysprep, але не через SID, як сказав TessealingHector.) Вони не повинні бути однаковими апаратними засобами; ви можете включити у свій образ найрізноманітніші драйвери та навіть додати нові драйвери в режимі офлайн (якщо ваше зображення є .wim).

Існує цілий сектор ринку програмного забезпечення для розгортання на робочому столі , і я також бачив, як люди розгортають власний процес із програмним забезпеченням для резервного копіювання та відновленням спеціалізованого «резервного» образу.

Або ви можете відновити систему, якщо вам подобається встановлювати ОС. ;) Мені легко нудно і вважаю за краще автоматизувати.


3

Відповідь на це дійсно залежить від того, чи дозволяєте ви працівникам бути місцевими адміністраторами власної машини.

Як правило, обліковий запис групи користувачів має лише дозвіл на запис у власному каталозі профілів, і ніде більше на жорсткому диску.

У цьому випадку користувач не може вносити жодних змін до системи, включаючи встановлення чи видалення програм, створення прихованих файлів чи каталогів поза каталогом своїх профілів.

Зловмисне програмне забезпечення потенційно може встановлюватися самою собою, але знову лише у профілі цього користувача, як правило, в AppData або Temp.

Для цих обмежених користувачів новий обліковий запис повністю від’єднано від того, що було у старому профілі користувача.


7
"Зловмисне програмне забезпечення може потенційно встановлювати себе, але знову лише у профілі цього користувача", якщо тільки воно не використовує вразливість ескалації привілеїв. Тож навіть без місцевих прав адміністратора певний ризик залишається.
користувач149408

Це не має значення, оскільки така проблема може торкнутися будь-кого у будь-який час. Як адміністратор близько 500 настільних комп’ютерів, я періодично не стираю робочий стіл кожної людини кожні 6 місяців через незначну занепокоєння щодо можливого зловмисного програмного забезпечення, яке, можливо, уникне групи захисту користувачів. Якщо ви виявите, що це сталося, ви з цим стикаєтесь, але в іншому випадку не хвилюйтеся з цього приводу і дозвольте антивірусу впоратися з цим.
Дейл Махалко

1
Співробітники мають фізичний контроль над ноутбуком - до того, як мати його з собою під час подорожі. Якщо вони хочуть отримати адміністратор, вони отримають його.
Ендрю Генле

1
Припустимо, кожен, хто має фізичний доступ до ПК, може зробити все, що може зробити адміністратор.
Білл К

3

Я б навіть не мріяв дарувати використаний ПК новому працівникові без хоча б протирання жорсткого диска. Якщо ви хотіли бути досить безпечними, замініть жорсткий диск повністю.

Кореневі набори надзвичайно потужні. Кореневий комплект невідомий ОС і вірусних сканерів, оскільки вони встановлені на нижчому рівні (вони фактично завантажують ОС і дають ОС основну інформацію, таку як на жорсткому диску, тому вони можуть дуже ефективно сховатися від ОС). Деякі навіть встановлюють себе в BIOS жорсткого диска, що робить їх надзвичайно важко позбутися.

Кілька з них можуть встановити себе в BIOS вашого ПК та повторно заразити нові жорсткі диски по мірі їх встановлення.

Якщо будь-який незадоволений працівник з навіть легкими навичками злому дійсно захотів, він міг би повернути вам комп'ютер у стані, яка б неодноразово спустошувала вашу мережу навіть після жорсткого диска "Reformat". Хороший міг би зробити так, що навіть заміна жорсткого диска не допоможе.

Дійсно талановитий працівник хакера може скористатися однією з цих методик, щоб отримати необмежений доступ до ваших систем та даних внутрішньої мережі. У будь-який момент майбутнього він міг би знову підключитися ззовні - таким чином, що вам було б майже неможливо зупинити (Оскільки інфікований комп’ютер, ймовірно, час від часу дзвонить і обійде всю безпеку брандмауера).

На щастя, справді талановитим, мабуть, є кращі справи, ніж робота для вашої компанії.

Відповідь Джеймса, де він каже: «Дай комп’ютер працівникові, коли він виїжджає», зараз має звучати досить добре - але насправді, просто потріпай і подрібни HD.


Я думаю, що ви правильні, кроки вашого та Джеймса - це найменший ризик для порушення безпеки, але це важко в головах людей, тим більше, що вони не бажають робити чисту установку для нових співробітників. в першу чергу;) Це все-таки довгий шлях ...
ExNought

4
Можливо, людей можна буде заманити на семінар з питань безпеки. Є серйозні наслідки, коли безпеку не сприймати серйозно. Скільки керівників вашої компанії оцінять вміст робочого комп'ютера, який завантажується в Інтернет.? Я лише згадую це, бо це трапилося з компанією друга нещодавно. Моя робоча мережа повністю відірвана від Інтернету, і наймані хакери все-таки змогли проникнути через ноутбуки, які були заражені під час підключення до Інтернету, а потім занесені в нашу відключену мережу. Буває!
Білл К

@BillK +1! Я цілком погоджуюся. Найкращий шлях безпеки - це викинути накопичувачі, перезавантажити BIOS та встановити новий. Крім безпеки, досі існує проблема конфіденційності ваших колег - це зовсім інше питання, яке не повинно піддаватися аналізу витрат і вигод. Ось чому я хотів би стверджувати, що повторне зображення, або витирання та перевстановлення повинно бути найкращою практикою , і подрібнення дискової частини надійної політики безпеки (і це можна оцінити проти витрат).
Райдер

1
@Ryder погодився. Крім того, якщо людей у ​​вашій компанії турбує вартість знищення накопичувача та повторної обробки зображень, вийдіть швидше. Або є дивовижно високий оборот, або вони йдуть зламаними, так чи інакше це не буде прекрасним місцем, щоб залишитися в довгостроковій перспективі. (Стартапи з голими кістками можуть бути винятком, але, можливо, ні).
Білл К
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.