Best practice: devo sempre installare un nuovo sistema operativo per i nuovi dipendenti?


112

Ho avuto una discussione con un superiore su questo. Sebbene a prima vista l'utente precedente di un laptop abbia funzionato solo nelle proprie cartelle di documenti, devo sempre installare un nuovo sistema operativo per l'utente successivo o eliminare abbastanza il vecchio profilo? Il software installato è per lo più necessario anche all'utente successivo.

Penso che sia necessaria un'installazione, ma a parte il mio argomento su virus e dati privati, quali sono le ragioni per farlo?

Nella nostra azienda è consentito utilizzare il PC per es. Posta privata, su alcuni PC sono installati anche giochi. Abbiamo un po 'utenti mobili, che sono spesso sul posto presso un cliente, quindi non li biasimo davvero.

Anche per questo abbiamo un sacco di amministratori locali là fuori.

So che sia l'uso privato sia la disponibilità degli account admin locali non sono buone idee, ma è così che è stato gestito prima di lavorare qui e posso cambiarlo solo dopo aver finito il tirocinio;)

Modifica : penso che tutte le risposte pubblicate siano pertinenti e so anche che un paio di pratiche che abbiamo nella mia azienda non sono le migliori per cominciare (ad esempio l'amministratore locale di troppe persone;).

A partire da ora, penso che la risposta più utilizzabile per una discussione sarebbe quella di Ryder. Sebbene l'esempio che ha fornito nella sua risposta possa essere esagerato, è già successo che un ex dipendente ha dimenticato i dati privati. Recentemente ho trovato una copia al dettaglio del gioco Runaway su un vecchio laptop e abbiamo avuto anche un paio di casi di immagini private rimanenti.


31
Non vuoi rischiare di non farlo. Troppe cose possono andare storte se non lo fai (e alla fine lo faranno).
Albero

4
Non incolpi i tuoi dipendenti per i giochi sulla proprietà dell'azienda ... perché lo fanno quando con i tuoi clienti? WTF?
Razze di leggerezza in orbita,

24
@LightnessRacesinOrbit Bene, se sei in un hotel per settimane (a volte anche nei fine settimana) e non c'è assolutamente niente da fare, al di fuori del lavoro, sì, penso che sia accettabile. Spesso ci sono preoccupazioni, ma almeno mantiene alto il morale. Anche io e anche i miei sostenitori siamo abbastanza sicuri che forzare le persone ad acquistare un laptop o un tablet per i loro viaggi ci danneggerà. Ci sono una serie di motivi qui, andare in tutti loro non solo richiederebbe troppo tempo, ma farebbe anche sembrare il mio datore di lavoro brutto;)
ExNought

3
@ExoWork: Oh, fuori dal lavoro, certo. Io stesso sono in genere fuori per lavoro per diversi giorni e notti ogni settimana e certamente uso bene il mio laptop da lavoro in quegli hotel! Ma hai detto "sul posto presso un cliente" che è molto diverso.
Razze di leggerezza in orbita,

8
Direi sicuramente a causa di tutti i motivi elencati qui, ma ce n'è un altro: se il computer può essere utilizzato per uso privato, potrebbe essere illegale dare a qualcun altro l'accesso a tali dati a causa delle leggi sulla protezione dei dati (questo potrebbe sicuramente essere problematico in Germania per quanto ne so). La formattazione dell'unità garantisce che a terzi non vengano dati dati privati.
DetlevCM,

Risposte:


217

Assolutamente si dovrebbe. Non è solo buon senso da un punto di vista della sicurezza, dovrebbe anche essere una pratica come etica aziendale.

Immaginiamo il seguente scenario: Alice parte e il suo computer viene trasferito su Bob. Bob non lo sapeva, ma Alice era nel porno shota illegale e ha lasciato diversi file nascosti fuori dal suo profilo. L'IT cancella il suo profilo e nient'altro, incluso solo la cronologia di navigazione e i file locali.

Un giorno, Bob sta controllando le campane e fischietta sulla sua nuova macchina da lavoro splendente, mentre è seduto a uno Starbucks ™ e sorseggia un caffè. Si imbatte nella cache di Alice e fa clic innocentemente su un file che sembra strano. All'improvviso, tutti i capi del negozio si muovono per guardarli con orrore mentre il PC di Bob infrange diverse normative statali e federali a tutto volume. Una bambina nell'angolo inizia a piangere.

Bob è mortificato. Dopo sei mesi di depressione e dopo essere stato licenziato per il suo atto involontario di indecenza pubblica (e possibili accuse penali), si ritrova un team legale davvero pazzesco e rovina il suo ex datore di lavoro con una causa oltraggiosamente dannosa. Alice è in Tailandia e sfugge all'estradizione.


Forse tutto questo è un po 'oltre il limite, ma potrebbe assolutamente succedere se non ti prendi il tempo di frugare in ogni azione di un ex dipendente. Oppure potresti risparmiare tempo e reinstallarlo da zero.


30
@gerrit Reinstallare Windows da Scratch di solito implica anche un formato completo del disco. L'unico modo in cui Bob recupera i file dopo è eseguendo strumenti forensi, e di solito non lo fai senza un motivo molto valido.
Nzall,

10
Alice in Tailandia non aiuta. Esiste la legge di estradizione TH-US . Prova a scegliere un altro paese. Notch Korea è il mio candidato;)
vasin1987,

37
@ vasin1987 L'avvocato di Alice ha appena chiamato. Ha detto che, in realtà, preferirebbe passare il resto della sua vita in una prigione federale piuttosto che rimanere a Pyongyang. Puoi organizzare qualcosa?
David Richerby,

40
Cosa succede dopo? Ho bisogno di sapere!
FuriousFolder,

13
Questa risposta trarrebbe beneficio da un piccolo addendum che discute il costo economico di fare una pulizia completa come procedura operativa standard invece di 1. passare il tempo a determinare se è necessario su ogni macchina per cambiare le mani, e quindi 2. determinare se il rischio di qualcosa di simile questo vale il tempo risparmiato. In pratica, probabilmente è più veloce (tempo = denaro) semplicemente cancellarlo che cercare di dare la caccia e cancellare i dati dell'utente precedente, ignorando anche il rischio.
jpmc26,

43

È necessario ripristinare / reinstallare definitivamente i computer. Potrebbero esserci programmi dannosi che metterebbero a rischio l'attività. Potrebbero essere virus o trojan o qualcosa che l'ex dipendente ha lasciato lì intenzionalmente (non tutti se ne vanno in buoni rapporti). Sono validi anche tutti i motivi della risposta di @ axl.

Per semplificarti la vita, crea un'istantanea / immagine / backup di un computer appena installato con tutto il tuo solito software già installato e invialo semplicemente su ogni computer nuovo o riciclato. Non è necessaria la reinstallazione manuale.


"Potrebbero esserci programmi dannosi su di esso che metterebbero a rischio il business". Se si tratta di un laptop aziendale, un dipendente era già fidato di usarlo prima di quello. Se hai un dipendente che attacca maliziosamente la tua rete, ha già avuto ampie opportunità di trasformare la propria macchina in una tattica inefficace.
jpmc26,

4
Ho ricevuto un ex laptop di colleghi nel mio ultimo posto di lavoro. Non eseguivano reinstallazione né avevano una "build standard". Ho avuto un'esperienza simile ma non del genere pornografico. Ho finito per dover fare un formato e reinstallarmi come NULLA ha funzionato correttamente. L'ex dipendente aveva completamente nascosto il sistema cercando di modificare le cose nel modo più incomprensibile.
Mike McMahon,

@ jpmc26 Non completamente. Abbiamo avuto terminazioni in cui sospettavamo che potessero fare qualcosa di vendicativo dopo aver dato loro la notizia. Quindi revochiamo in modo proattivo le loro autorizzazioni dalle nostre applicazioni e dalla nostra rete. Quindi, anche se potrebbero non avere accesso attivo, potrebbero comunque incorporare malware o keylogger che potrebbero essere utilizzati una volta che il computer o il dispositivo sono stati utilizzati da un altro dipendente. Inoltre, la nostra preoccupazione non era che attaccassero maliziosamente la nostra rete quanto potevano ottenere un lavoro con un concorrente e avere comunque accesso alle informazioni sensibili dell'azienda.
Bacon Brad,

27

Non sono un amministratore IT, ma ho la sensazione che dovresti reinstallare per un paio di motivi:

  • Gli amministratori locali possono diventare proprietari dei file dell'utente precedente.

  • È meno probabile che tu abbia a che fare con problemi derivanti dalle modifiche di sistema fatte dal vecchio utente.

  • Le applicazioni personali del vecchio utente sarebbero ancora disponibili in Programmi.

Se non hai amministratori locali e non possono davvero cambiare o accedere a qualcosa al di fuori della loro cartella home, allora sarei meno preoccupato, ma poi c'è sempre spazio su disco da considerare.

Hai mai pensato di utilizzare Ghost o un altro sistema di imaging invece di installare manualmente tutto il software?


1
In realtà l'ho fatto, ma questa è anche una delle cose, che è stato fatto manualmente prima e NESSUNO sembra voler cambiarlo. È nella lista delle cose da fare una volta che ho finito con il mio tirocinio;)
ExNought

1
Può volerci un po 'di tempo per convincere le persone che ci sono modi migliori, specialmente se c'è poco o nessun dolore percepito. :)
axl

9

Se tutte le macchine che gestisci sono identiche (o ci sono gruppi di macchine identiche), esegui un'installazione pulita una volta, aggiorna il sistema operativo e installa il software di base di cui gli utenti avranno bisogno. Quindi creare un'immagine HDD, da cui è possibile ripristinare il sistema in caso di riassegnazione della macchina a un altro utente, guasto dell'HDD, infezione da virus, ecc.

Tutto quello che devi fare è semplicemente ripristinare il contenuto dell'HDD "installazione pulita" dall'immagine del disco e, se necessario, modificare il codice Product Key di Windows.

Se si desidera proteggere gli HDD dagli utenti utilizzando strumenti forensi, utilizzare uno strumento di distruzione dei dati (ad esempio shred, disponibile nella maggior parte delle distribuzioni Linux) sull'HDD prima di ripristinare i dati dall'immagine su di esso. Con circa un'ora di lavoro puoi persino preparare un USB live che distruggerà l'HDD e poi lo riempirà di nuovo con i dati dell'immagine.

In questo modo puoi risparmiare un bel po 'di lavoro pur proteggendo i dati degli utenti e dell'azienda.


1
Creare un'immagine di unità diretta di un'installazione di Windows e applicarla a molte macchine diverse può causare problemi, a causa di qualcosa chiamato SID della macchina. Per farlo correttamente, prima di creare l'immagine di unità è necessario eseguire un'utilità di Windows chiamata sysprep e " generalizzare "il sistema operativo installato. Inoltre, tieni presente che devi tenere traccia del numero di attivazioni di Windows, perché alcune versioni consentono solo così tante attivazioni, a volte anche solo cinque, e quando finisci non puoi sysprep o immaginarlo ulteriormente. slmgr / dlv mostra le attivazioni rimanenti.
Dale Mahalko,

3
@DaleMahalko Mentre è richiesto SysPrep e il modo supportato per duplicare le installazioni, non è a causa della duplicazione SID .
Tessellating Heckler,

Anche se non sono identici, al giorno d'oggi è facile eseguire lo script dell'installazione del PC. Quindi non hai il dolore delle immagini obsolete.
James Snell,

5

A questo manca la risposta migliore ... annota il tuo hardware come costo aziendale e quando qualcuno se ne va, dai loro il laptop e comprane uno nuovo; ciò consente di risparmiare la maggior parte del tempo ed è un modo positivo per avvicinarsi all'equilibrio tra lavoro e vita privata. Naturalmente, se sono stati lì solo poche settimane, probabilmente è meglio un reset.


5
"Annota il tuo hardware come costo aziendale" non fa sparire il costo. Questa mentalità è come comprare un nuovo telefono ogni volta che il tuo si esaurisce.
Ranger,

7
Non l'idea "migliore"; cattiva idea dappertutto. È necessario annotare non solo il costo dell'hardware ma anche tutte le licenze dell'altro software installato lì (alcune licenze potrebbero tecnicamente non essere trasferibili). Non conosco il tuo posto di lavoro, ma al mio, quasi tutto ha una denominazione "Riservato all'azienda". Vuoi quelle informazioni preziose che camminano fuori dalla porta o le scrivi anche tu? Suppone che ti stia separando in termini amichevoli. Se è vecchio HW e in buone condizioni, "forse" ri-immagine quindi dare via; forse in beneficenza vs dipendente (credito d'imposta! $$).
Ian W,

@Ian W alcuni software possono essere disattivati, liberando la licenza per un altro lavoratore dell'azienda (la maggior parte dei software che ho visto hanno questa opzione per gli utenti aziendali). La riservatezza dei dati memorizzati sul disco rigido della macchina, d'altra parte, è un problema. Dovresti cancellare / distruggere / il contenuto del disco. Ciò ovviamente rende la scrittura dell'hardware un cattivo modo per sbarazzarsi del problema (perché in ogni caso è necessario risolverlo prima).
Jakub,

Le aziende usano già ogni possibile spesa come spesa aziendale, "cancellarla" non fa ciò che probabilmente pensi che faccia - non è come denaro gratis, l'azienda deve ancora comprare nuove attrezzature (laptop) e un penny risparmiato è un penny guadagnato. Forse Kramer può spiegarlo meglio (probabilmente no)
Xen2050

5

Ho esperienza personale con PC non reinventati che trasmettono virus a nuovi utenti. (E con file indesiderati che sopravvivono all'impiego di un utente, ma questa è tutta un'altra storia.)

Come sottolineato da Ushuru, la migliore pratica è reimmaginare piuttosto che reinstallare. (E sì, è necessario sysprep, ma non a causa dei SID, come ha detto TesselatingHector.) Non devono essere hardware identici; puoi includere una vasta gamma di driver nella tua immagine e persino aggiungere nuovi driver offline (se la tua immagine è un .wim).

Esiste un intero settore di mercato del software di distribuzione desktop e ho anche visto persone rotolare i propri processi con software di backup e ripristinare un'immagine di "backup" specializzata.

Oppure, puoi ricostruire il sistema se ti piace installare il sistema operativo. ;) Mi annoio facilmente e preferisco automatizzare.


3

La risposta a ciò dipende dal fatto se si consente ai dipendenti di essere amministratori locali della propria macchina.

In generale, un account di un gruppo di utenti ha solo l'autorizzazione di scrittura nella propria directory del profilo e in nessun altro luogo sul disco rigido.

In questo caso l'utente non può apportare modifiche al sistema, inclusa l'installazione o la rimozione di applicazioni o la creazione di file o directory nascosti all'esterno della directory del proprio profilo.

Il malware può potenzialmente installarsi da solo, ma di nuovo solo all'interno del profilo dell'utente, in genere in AppData o Temp.

Per questi utenti con restrizioni, un nuovo account viene completamente disconnesso da qualsiasi cosa fosse nel vecchio profilo utente.


7
"Il malware può potenzialmente installarsi da solo, ma di nuovo solo all'interno del profilo dell'utente", a meno che non sfrutti una vulnerabilità di escalation di privilegi. Quindi, anche senza i diritti di amministratore locale, rimane un certo rischio.
user149408,

Ciò è irrilevante perché questo tipo di problema può interessare chiunque in qualsiasi momento. Come amministratore di circa 500 desktop, non sto periodicamente cancellando il desktop di ogni singola persona ogni 6 mesi per qualche piccola preoccupazione di un possibile malware che potrebbe sfuggire al gruppo di sicurezza dell'utente. Se scopri che è successo, lo gestisci, ma altrimenti non preoccuparti di questo e lascia che l'antivirus lo gestisca.
Dale Mahalko,

1
I dipendenti hanno il controllo fisico del laptop, al punto di portarlo con sé durante il viaggio. Se vogliono l'accesso come amministratore, lo riceveranno.
Andrew Henle,

1
Supponiamo che chiunque abbia accesso fisico a un PC possa fare qualsiasi cosa un amministratore possa fare.
Bill K,

3

Non avrei nemmeno mai sognato di dare un PC usato a un nuovo dipendente senza almeno una pulizia del disco rigido. Se si desidera essere abbastanza sicuri, sostituire completamente il disco rigido.

I kit di root sono estremamente potenti. Un root kit non è noto al sistema operativo e ai virus scanner perché sono installati a un livello inferiore (in realtà caricano il sistema operativo e forniscono al sistema operativo le informazioni di base come ciò che si trova sul disco rigido, in modo che possano nascondersi in modo molto efficace dal OS). Alcuni addirittura si installano nel BIOS del disco rigido, il che li rende estremamente difficili da eliminare.

Alcuni possono installarsi nel BIOS del PC e infettare nuovamente i nuovi dischi rigidi man mano che vengono installati.

Se un dipendente scontento con capacità di hacking anche lievi lo desiderasse davvero, potrebbe restituirti un computer in uno stato che devasterebbe ripetutamente la tua rete anche dopo un disco rigido "Reformat". Uno buono potrebbe farlo in modo che anche la sostituzione del disco rigido non sia di aiuto.

Un dipendente hacker di grande talento potrebbe utilizzare una di queste tecniche per ottenere un accesso illimitato ai sistemi e ai dati della rete interna. In qualsiasi momento in futuro potrebbe riconnettersi dall'esterno - in un modo che sarebbe quasi impossibile per te fermare (dal momento che il computer infetto potrebbe chiamare occasionalmente e bypassare tutta la sicurezza del firewall).

Fortunatamente quelli di grande talento probabilmente hanno cose migliori da fare che lavorare per la tua azienda.

La risposta di James in cui dice "Dai il computer all'impiegato quando se ne va" dovrebbe suonare abbastanza bene in questo momento - ma davvero, strappa e distrugge l'HD.


Penso che tu sia corretto, i tuoi passi e quelli di James sono quelli con il minor rischio di violazione della sicurezza, ma è difficile entrare in testa ad alcune persone, soprattutto perché non sono disposti a fare un'installazione pulita per i nuovi dipendenti in primo luogo;) Questa è ancora
molta

4
Forse le persone potrebbero essere invitate a partecipare a un seminario sulla sicurezza. Ci sono serie implicazioni nel non prendere sul serio la sicurezza. Quanti dirigenti della tua azienda apprezzerebbero che i contenuti dei loro computer di lavoro vengano caricati su Internet? Ne ho appena parlato perché è successo di recente alla compagnia di un amico. La mia rete di lavoro è completamente staccata da Internet e gli hacker assunti erano ancora in grado di entrare attraverso i computer portatili che erano stati infettati quando collegati a Internet e poi portati nella nostra rete disconnessa. Succede!
Bill K,

@BillK +1! Sono totalmente d'accordo. La migliore strada per la sicurezza è quella di distruggere le unità, ripetere il flashing del BIOS e installarne una nuova. A parte la sicurezza, c'è ancora il problema della privacy dei tuoi colleghi, che è una considerazione molto diversa e che non dovrebbe essere soggetta a un'analisi costi-benefici. Questo è il motivo per cui ritengo che un reimage, o cancellare e reinstallare dovrebbe essere una buona pratica , e distruggere la parte del disco di una solida politica di sicurezza (e che può essere valutata a fronte del costo).
Ryder,

1
@Ryder ha concordato. Inoltre, se le persone della tua azienda sono preoccupate per il costo della distruzione di un'unità rispetto a una nuova immagine, esci VELOCEMENTE. O c'è un turnover incredibilmente alto o stanno andando in rovina, in entrambi i casi non sarà un ottimo posto dove stare a lungo termine. (le startup bare-bones possono essere un'eccezione, ma forse no).
Bill K,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.