Рекомендация: всегда ли устанавливать свежую ОС для новых сотрудников?

112

У меня был спор с начальником по этому поводу. Хотя на первый взгляд предыдущий пользователь ноутбука работал только в своих собственных папках с документами, я должен всегда устанавливать новую ОС для следующего пользователя или достаточно удалить старый профиль? Установленное программное обеспечение в основном также необходимо следующему пользователю.

Я думаю, что установка необходима, но кроме моего собственного аргумента вирусов и личных данных, какие есть причины для этого?

В нашей компании разрешено использовать ПК, например, для частной почты, на некоторых компьютерах даже установлены игры. У нас есть своего рода мобильные пользователи, которые часто находятся на месте у клиента, поэтому я не виню их.

Также из-за этого у нас много местных администраторов.

Я знаю, что и личное использование, и наличие локальных учетных записей администраторов не являются хорошими идеями, но именно так они были обработаны до того, как я начал работать здесь, и я могу изменить это только после того, как я закончу стажировку;)

Редактировать : я думаю, что все опубликованные ответы актуальны, и я также знаю, что пара методов, которые мы применяем в моей компании, не являются лучшими для начала (например, локальный администратор для слишком большого количества людей;).

На данный момент, я думаю, самый полезный ответ для обсуждения - это ответ Райдера. Хотя в данном примере он дал в своем ответе может быть преувеличен, это уже произошло до того, что бывший сотрудник забыл личные данные. Недавно я нашел розничную копию игры Runaway на старом ноутбуке, и у нас также было несколько случаев оставшихся личных изображений.

ExNought
источник
31
Вы не хотите рисковать, не делая этого. Слишком много вещей может пойти не так, если вы этого не сделаете (и в конце концов, они будут).
Мачта
4
Вы не обвиняете своих сотрудников в том, что они играют в игры на собственности компании ... потому что они делают это с вашими клиентами? WTF?
Гонки легкости на орбите
24
@LightnessRacesinOrbit Что ж, если вы находитесь в отеле неделями (иногда даже в выходные дни) и вне работы абсолютно нечего делать, да, я думаю, что это приемлемо. Конечно, есть проблемы, но, по крайней мере, это поддерживает моральный дух. Также я и мои помощники почти уверены, что принуждение людей покупать ноутбук или планшет для своих поездок нанесет нам вред. Здесь есть ряд причин, чтобы все это не только заняло бы много времени, но и заставило бы моего работодателя выглядеть плохо;)
ExNought
3
@ExoWork: О, вне работы, конечно. Я сам обычно нахожусь в командировке в течение нескольких дней и ночей каждую неделю и, конечно, хорошо использую свой рабочий ноутбук в этих отелях! Но вы сказали «на месте у клиента», что совсем другое.
Гонки легкости на орбите
8
Я бы сказал однозначно из-за всех перечисленных здесь причин, но есть и другое: если компьютер может быть использован для личного пользования, то может быть незаконным предоставлять кому-либо доступ к этим данным в соответствии с законами о защите данных (это, безусловно, может быть проблематично в германии насколько я знаю). Форматирование диска гарантирует, что третьим лицам не будут предоставлены личные данные.
DetlevCM

Ответы:

217

Абсолютно, вы должны. Это не просто здравый смысл от POV безопасности, это также должно быть практикой как вопросом деловой этики.

Давайте представим следующий сценарий: Алиса уходит, а ее компьютер передается Бобу. Боб не знал об этом, но Алисе была в незаконный Шоте порно и оставила несколько файлов спрятаны за пределами ее профиля. ИТ стирает ее профиль и ничего больше, в том числе только историю просмотров и локальные файлы.

Однажды Боб проверяет навороты на своей новой блестящей рабочей машине, сидя у Starbucks ™ и потягивая латте. Он натыкается на кеш Алисы и невинно нажимает на файл, который выглядит странно. Внезапно каждая голова в магазине поворачивается, чтобы с ужасом наблюдать, как компьютер Боба пренебрегает несколькими государственными и федеральными правилами в полном объеме. Одна маленькая девочка в углу начинает плакать.

Боб огорчен. После шести месяцев депрессии и после того, как его уволили за непреднамеренный акт общественной непристойности (и, возможно, обвинения в совершении уголовного преступления), он обнаружил, что он действительно сумасшедший адвокат, и разорился со своим бывшим работодателем, нанеся ему чрезвычайно опасный иск. Алиса находится в Таиланде и избегает экстрадиции.


Может быть, все это немного за гранью, но это может произойти, если вы не потратите время, чтобы просмотреть все действия бывшего сотрудника. Или вы можете сэкономить время и переустановить с нуля.

Ryder
источник
30
@gerrit Переустановка Windows с нуля обычно подразумевает также полный формат диска. Единственный способ вернуть файлы после этого - запустить инструменты судебной экспертизы, и вы обычно не делаете это без веской причины.
Nzall
10
Алиса в Таиланде не помогает. Существует закон США о выдаче . Попробуйте выбрать другую страну. Notch Korea - мой кандидат;)
vasin1987
37
@ vasin1987 Адвокат Алисы только что позвонил. Она сказала, что на самом деле она предпочла бы провести остаток своей жизни в федеральной тюрьме, чем оставаться в Пхеньяне. Вы можете что-то организовать?
Дэвид Ричерби
40
Что происходит дальше? Мне нужно знать!
FuriousFolder
13
Этот ответ выиграл бы от небольшого добавления, в котором обсуждалась бы дешевая стоимость полного стирания в качестве стандартной операционной процедуры, а не 1. тратить время на определение необходимости смены рук на каждой машине и затем 2. определять, есть ли риск, что-то вроде это стоит сэкономленного времени. На практике, вероятно, быстрее (время = деньги) просто стереть его, чем пытаться выследить и стереть данные предыдущего пользователя, даже не обращая внимания на риск.
jpmc26
43

Вы должны обязательно сбросить / переустановить компьютеры. Там могут быть вредоносные программы, которые могут поставить бизнес под угрозу. Это могут быть вирусы или трояны или что-то, что бывший сотрудник намеренно оставил там (не все уходят в хорошие отношения). Все причины в ответе @ axl тоже верны.

Чтобы сделать вашу жизнь проще, создайте снимок / образ / резервную копию только что установленного компьютера со всем уже установленным обычным программным обеспечением и просто вставьте его на каждый новый или переработанный компьютер. Ручная переустановка не требуется.

Silent-Боб
источник
«Там могут быть вредоносные программы, которые могут поставить бизнес под угрозу». Если это ноутбук компании, то сотруднику уже доверяли использовать его до этого. Если у вас есть сотрудник, злонамеренно атакующий вашу сеть, у него уже была достаточная возможность превратить стирание только своей машины в неэффективную тактику.
jpmc26
4
Я получил ноутбук бывшего сотрудника на моем последнем месте работы. Они не делали переустановок и не имели «стандартной сборки». У меня был подобный опыт , но не в порнографии рода. В итоге мне пришлось сделать формат и переустановить себя, поскольку НИЧЕГО не работало должным образом. Бывший сотрудник полностью скрыл систему, пытаясь настроить вещи самыми непонятными способами.
Майк МакМэхон
@ jpmc26 Не полностью. У нас были прекращения, когда мы подозревали, что они могли сделать что-то мстительное после того, как сообщили им новости. Таким образом, мы активно отзывали бы их разрешения у наших приложений и сети. Таким образом, хотя у них и не было активного доступа, они могли включать вредоносные программы или кейлоггеры, которые могли использоваться, когда компьютер или устройство использовалось другим сотрудником. Также наша забота заключалась не в том, чтобы они злонамеренно атаковали нашу сеть, а могли бы получить работу у конкурента и при этом иметь доступ к конфиденциальной информации компании.
Бекон Брэд
27

Я не ИТ-администратор, но я чувствую, что вам следует переустановить по нескольким причинам:

  • Локальные администраторы могут стать владельцами файлов предыдущего пользователя.

  • Скорее всего, вам не придется сталкиваться с проблемами, возникающими из-за системных изменений, сделанных старым пользователем.

  • Личные приложения старого пользователя по-прежнему будут доступны в Program Files.

Если у вас нет локальных администраторов, и они действительно не могут изменить или получить доступ к чему-либо за пределами своей домашней папки, тогда я был бы менее обеспокоен, но тогда всегда есть место на диске для рассмотрения.

Рассматривали ли вы использование Ghost или другой системы обработки изображений вместо ручной установки всего программного обеспечения?

Axl
источник
1
На самом деле я это сделал, но это также одна из тех вещей, которые раньше делались вручную, и никто, похоже, не хочет это менять. Это в списке задач, когда я
закончу
1
Может потребоваться некоторое время, чтобы убедить людей в том, что есть лучшие способы, особенно если ощущается мало или нет ощущаемой боли. :)
axl
9

Если все машины, с которыми вы работаете, идентичны (или есть группы идентичных машин), выполните чистую установку один раз, обновите ОС и установите базовое программное обеспечение, которое потребуется пользователям. Затем создайте образ жесткого диска, с которого вы сможете восстановить систему в случае переназначения компьютера другому пользователю, сбоя жесткого диска, заражения вирусом и т. Д.

Все, что вам нужно сделать, это просто восстановить содержимое жесткого диска «чистой установки» из образа диска и изменить ключ продукта Windows, если это необходимо.

Если вы хотите защитить жесткие диски от пользователей с помощью инструментов судебной экспертизы - используйте инструмент для удаления данных (например, уничтожение, доступное в большинстве дистрибутивов Linux) на жестком диске, прежде чем восстанавливать данные с изображения на него. Примерно через час работы вы можете даже подготовить живой USB-накопитель, который уничтожит жесткий диск, а затем снова заполнит его данными с изображения.

Таким образом, вы можете сэкономить немало работы, сохраняя при этом данные пользователей и компании.

Якуб
источник
1
Создание прямого образа диска для установки Windows и его применение на разных компьютерах может вызвать проблемы из-за того, что называется SID компьютера. Чтобы сделать это правильно, перед созданием образа диска необходимо запустить утилиту windows с именем sysprep и " обобщить "установленную ОС. Также обратите внимание, что вам нужно отслеживать количество активаций Windows, потому что некоторые версии допускают только столько активаций, иногда всего пять, и когда вы закончите, вы не сможете sysprep или создать образ для него дальше. slmgr / dlv показывает оставшиеся активации.
Дейл Махалко
3
@DaleMahalko Хотя требуется SysPrep и поддерживаемый способ дублирования установок, это не связано с дублированием SID .
TessellatingHeckler
Даже если они не идентичны, в наши дни легко установить сценарий установки ПК. Тогда у вас не будет боли устаревших изображений.
Джеймс Снелл
5

Здесь не хватает лучшего ответа ... запишите ваше оборудование как деловую стоимость, а когда кто-то уйдет, дайте ему ноутбук и купите новый чистый; это экономит больше всего времени и является позитивным способом достижения баланса между работой и личной жизнью. Конечно, если они пробыли там всего несколько недель, то перезагрузка, вероятно, лучше.

Джеймс "Пушистый" Бертон
источник
5
«Запишите ваше оборудование как стоимость бизнеса» не означает, что стоимость исчезнет. Такое мышление похоже на покупку нового телефона каждый раз, когда у вас заканчивается заряд батареи.
Рейнджер
7
Не «лучшая» идея; плохая идея вокруг. Вы должны записать не только стоимость аппаратного обеспечения, но и все лицензии другого программного обеспечения, установленного там (некоторые лицензии технически могут не передаваться). Я не знаю о вашем рабочем месте, но на моем, у большинства всего есть обозначение «Конфиденциально». Вы хотите, чтобы эта ценная информация вышла за дверь, или вы ее тоже списали? Предполагается, что вы расстаетесь в дружеских отношениях. Если это старый HW и в хороших отношениях, «возможно» переиздание, тогда отдайте; может быть, на благотворительность против сотрудника (налоговый кредит! $$).
Ян Вт
@Ian W некоторые программы могут быть деактивированы, освобождая лицензию для другого сотрудника компании (большинство программ, которые я видел, имеют эту опцию для корпоративных пользователей). С другой стороны, проблема конфиденциальности данных, хранящихся на жестком диске компьютера. Вы должны стереть / уничтожить / содержимое диска. Это, конечно, делает списание аппаратного обеспечения плохим способом избавления от проблемы (потому что сначала вы должны решить проблему в любом случае).
Якуб
Компании уже используют все возможные расходы как бизнес-расходы, «списание» не делает то, о чем вы, вероятно, думаете, это не то же самое, что свободные деньги, бизнес все равно должен покупать новое оборудование (ноутбук), а сэкономленные копейки Пенни заработал. Может быть, Крамер может объяснить это лучше (вероятно, нет)
Xen2050
5

У меня есть личный опыт работы с ПК без пересылки вирусов новым пользователям. (И с нежелательными файлами, превышающими занятость пользователя, но это совсем другая история.)

Как указал Ушуру, лучшая практика - переиздавать, а не переустанавливать. (И да, вам нужен sysprep, но не из-за SID, как сказал TesselatingHector.) Они не должны быть идентичными аппаратными средствами; Вы можете включать в себя широкий спектр драйверов в ваш образ и даже добавлять новые драйверы в автономном режиме (если изображение является .wim).

Там в целом рынок сектор на рабочем столе развертывания программного обеспечения , и я также видел , как люди катить свой собственный процесс с программным обеспечением резервного копирования и восстановления специализированного «резервного копирования» образ.

Или вы можете перестроить систему, если вам нравится устанавливать ОС. ;) Мне легко скучно и я предпочитаю автоматизировать.

Кэтрин Вилляр
источник
3

Ответ на этот вопрос действительно зависит от того, позволите ли вы сотрудникам быть локальными администраторами своего компьютера.

Как правило, учетная запись группы пользователей имеет разрешение на запись только в свой каталог профиля, и нигде больше на жестком диске.

В этом случае пользователь не может вносить изменения в систему, включая установку или удаление приложений или создание скрытых файлов или каталогов за пределами своего каталога профиля.

Вредоносное ПО может потенциально установить себя, но опять же только внутри профиля этого пользователя, обычно в AppData или Temp.

Для этих пользователей с ограниченными правами новая учетная запись полностью отключена от того, что было в старом профиле пользователя.

Дейл Махалко
источник
7
«Вредоносное ПО может потенциально устанавливаться само по себе, но опять-таки только внутри профиля этого пользователя» - если только оно не использует уязвимость повышения привилегий. Таким образом, даже без прав локального администратора, определенный риск остается.
user149408
Это не имеет значения, потому что такого рода проблемы могут затронуть любого в любое время. Как администратор около 500 рабочих столов, я не периодически стираю рабочий стол каждого отдельного человека каждые 6 месяцев из-за небольшого беспокойства по поводу возможного вредоносного ПО, которое может покинуть группу безопасности пользователя. Если вы обнаружите, что это произошло, вы справитесь с этим, но в противном случае не беспокойтесь об этом и дайте антивирусу справиться с этим.
Дейл Махалко
1
Сотрудники имеют физический контроль над ноутбуком, чтобы взять его с собой в путешествие. Если они хотят получить доступ администратора, они получат его.
Эндрю Хенле
1
Предположим, что любой, кто имеет физический доступ к ПК, может делать все, что может делать администратор.
Билл К
3

Я бы даже не мечтал дать подержанный ПК новому сотруднику без хотя бы очистки жесткого диска. Если вы хотите быть в безопасности, замените жесткий диск полностью.

Корневые комплекты очень мощные. Корневой комплект неизвестен ОС и вирусным сканерам, потому что они установлены на более низком уровне (они фактически загружают ОС и предоставляют ОС основную информацию, такую ​​как то, что находится на жестком диске, поэтому они могут очень эффективно скрывать себя от ОПЕРАЦИОННЫЕ СИСТЕМЫ). Некоторые даже устанавливаются в BIOS жесткого диска, что делает их чрезвычайно трудными для избавления.

Некоторые могут установить себя в BIOS вашего ПК и повторно инфицировать новые жесткие диски по мере их установки.

Если кто-то из недовольных сотрудников, обладающих даже умеренными хакерскими способностями, действительно хотел, он мог бы вернуть вам компьютер в состоянии, которое неоднократно разрушало бы вашу сеть даже после «переформатирования» жесткого диска. Хороший можно сделать так, чтобы даже замена жесткого диска не помогла.

Действительно талантливый хакер-сотрудник может использовать один из этих методов для получения неограниченного доступа к вашим внутренним сетевым системам и данным. В любой момент в будущем он мог восстановить соединение извне - таким образом, что было бы практически невозможно остановить его (поскольку зараженный компьютер может вызывать время от времени и обходить всю защиту брандмауэра).

К счастью, у действительно талантливых людей, вероятно, есть дела поважнее, чем работа в вашей компании.

Ответ Джеймса, где он говорит «Дайте компьютер сотруднику, когда он уходит», должен звучать довольно неплохо прямо сейчас - но на самом деле, просто дерните и порежьте HD.

Билл К
источник
Я думаю, что вы правы, ваши шаги и шаги Джеймса с наименьшим риском для нарушения безопасности, но это трудно понять в голове некоторых людей, тем более что они не хотят делать чистую установку для новых сотрудников во-первых;) Это еще долгий путь ...
ExNought
4
Возможно, люди могут быть соблазнены принять семинар по безопасности. Есть серьезные последствия, чтобы не относиться к безопасности серьезно. Сколько руководителей в вашей компании будут благодарны за загрузку содержимого их рабочего компьютера в Интернет? Я просто упоминаю об этом, потому что это недавно произошло с компанией друга. Моя рабочая сеть полностью отключена от Интернета, и наемные хакеры все еще могли проникнуть через ноутбуки, которые были заражены, когда были подключены к Интернету, а затем проникли в нашу отключенную сеть. Такое случается!
Билл К
@BillK +1! Я абсолютно согласен. Наилучший способ обеспечения безопасности - очистить диски, перепрограммировать BIOS и установить новый. Помимо безопасности, по-прежнему существует проблема конфиденциальности ваших коллег, которая является совершенно другим соображением, и которое не должно подвергаться анализу затрат и выгод. Вот почему я бы утверждал, что перезапись или стирание и переустановка должны быть наилучшей практикой и измельчать дисковые части надежной политики безопасности (и это можно оценить по стоимости).
Райдер
1
@ Райдер согласился. Кроме того, если люди в вашей компании беспокоятся о стоимости уничтожения диска по сравнению с его перезаписью, выходите БЫСТРО. Либо там удивительно высокий товарооборот, либо они разоряются, так или иначе, это не будет отличным местом, чтобы остаться в долгосрочной перспективе. (стартапы могут быть исключением, но, возможно, нет).
Билл К