Best practice: devo sempre installare un nuovo sistema operativo per i nuovi dipendenti?

Ho avuto una discussione con un superiore su questo. Sebbene a prima vista l'utente precedente di un laptop abbia funzionato solo nelle proprie cartelle di documenti, devo sempre installare un nuovo sistema operativo per l'utente successivo o eliminare abbastanza il vecchio profilo? Il software installato è per lo più necessario anche all'utente successivo.

Penso che sia necessaria un'installazione, ma a parte il mio argomento su virus e dati privati, quali sono le ragioni per farlo?

Nella nostra azienda è consentito utilizzare il PC per es. Posta privata, su alcuni PC sono installati anche giochi. Abbiamo un po 'utenti mobili, che sono spesso sul posto presso un cliente, quindi non li biasimo davvero.

Anche per questo abbiamo un sacco di amministratori locali là fuori.

So che sia l'uso privato sia la disponibilità degli account admin locali non sono buone idee, ma è così che è stato gestito prima di lavorare qui e posso cambiarlo solo dopo aver finito il tirocinio;)

Modifica : penso che tutte le risposte pubblicate siano pertinenti e so anche che un paio di pratiche che abbiamo nella mia azienda non sono le migliori per cominciare (ad esempio l'amministratore locale di troppe persone;).

A partire da ora, penso che la risposta più utilizzabile per una discussione sarebbe quella di Ryder. Sebbene l'esempio che ha fornito nella sua risposta possa essere esagerato, è già successo che un ex dipendente ha dimenticato i dati privati. Recentemente ho trovato una copia al dettaglio del gioco Runaway su un vecchio laptop e abbiamo avuto anche un paio di casi di immagini private rimanenti.

Assolutamente si dovrebbe. Non è solo buon senso da un punto di vista della sicurezza, dovrebbe anche essere una pratica come etica aziendale.

Immaginiamo il seguente scenario: Alice parte e il suo computer viene trasferito su Bob. Bob non lo sapeva, ma Alice era nel porno shota illegale e ha lasciato diversi file nascosti fuori dal suo profilo. L'IT cancella il suo profilo e nient'altro, incluso solo la cronologia di navigazione e i file locali.

Un giorno, Bob sta controllando le campane e fischietta sulla sua nuova macchina da lavoro splendente, mentre è seduto a uno Starbucks ™ e sorseggia un caffè. Si imbatte nella cache di Alice e fa clic innocentemente su un file che sembra strano. All'improvviso, tutti i capi del negozio si muovono per guardarli con orrore mentre il PC di Bob infrange diverse normative statali e federali a tutto volume. Una bambina nell'angolo inizia a piangere.

Bob è mortificato. Dopo sei mesi di depressione e dopo essere stato licenziato per il suo atto involontario di indecenza pubblica (e possibili accuse penali), si ritrova un team legale davvero pazzesco e rovina il suo ex datore di lavoro con una causa oltraggiosamente dannosa. Alice è in Tailandia e sfugge all'estradizione.

Forse tutto questo è un po 'oltre il limite, ma potrebbe assolutamente succedere se non ti prendi il tempo di frugare in ogni azione di un ex dipendente. Oppure potresti risparmiare tempo e reinstallarlo da zero.

È necessario ripristinare / reinstallare definitivamente i computer. Potrebbero esserci programmi dannosi che metterebbero a rischio l'attività. Potrebbero essere virus o trojan o qualcosa che l'ex dipendente ha lasciato lì intenzionalmente (non tutti se ne vanno in buoni rapporti). Sono validi anche tutti i motivi della risposta di @ axl.

Per semplificarti la vita, crea un'istantanea / immagine / backup di un computer appena installato con tutto il tuo solito software già installato e invialo semplicemente su ogni computer nuovo o riciclato. Non è necessaria la reinstallazione manuale.

Non sono un amministratore IT, ma ho la sensazione che dovresti reinstallare per un paio di motivi:

• Gli amministratori locali possono diventare proprietari dei file dell'utente precedente.

• È meno probabile che tu abbia a che fare con problemi derivanti dalle modifiche di sistema fatte dal vecchio utente.

• Le applicazioni personali del vecchio utente sarebbero ancora disponibili in Programmi.

Se non hai amministratori locali e non possono davvero cambiare o accedere a qualcosa al di fuori della loro cartella home, allora sarei meno preoccupato, ma poi c'è sempre spazio su disco da considerare.

Hai mai pensato di utilizzare Ghost o un altro sistema di imaging invece di installare manualmente tutto il software?

Se tutte le macchine che gestisci sono identiche (o ci sono gruppi di macchine identiche), esegui un'installazione pulita una volta, aggiorna il sistema operativo e installa il software di base di cui gli utenti avranno bisogno. Quindi creare un'immagine HDD, da cui è possibile ripristinare il sistema in caso di riassegnazione della macchina a un altro utente, guasto dell'HDD, infezione da virus, ecc.

Tutto quello che devi fare è semplicemente ripristinare il contenuto dell'HDD "installazione pulita" dall'immagine del disco e, se necessario, modificare il codice Product Key di Windows.

Se si desidera proteggere gli HDD dagli utenti utilizzando strumenti forensi, utilizzare uno strumento di distruzione dei dati (ad esempio shred, disponibile nella maggior parte delle distribuzioni Linux) sull'HDD prima di ripristinare i dati dall'immagine su di esso. Con circa un'ora di lavoro puoi persino preparare un USB live che distruggerà l'HDD e poi lo riempirà di nuovo con i dati dell'immagine.

In questo modo puoi risparmiare un bel po 'di lavoro pur proteggendo i dati degli utenti e dell'azienda.

A questo manca la risposta migliore ... annota il tuo hardware come costo aziendale e quando qualcuno se ne va, dai loro il laptop e comprane uno nuovo; ciò consente di risparmiare la maggior parte del tempo ed è un modo positivo per avvicinarsi all'equilibrio tra lavoro e vita privata. Naturalmente, se sono stati lì solo poche settimane, probabilmente è meglio un reset.

Ho esperienza personale con PC non reinventati che trasmettono virus a nuovi utenti. (E con file indesiderati che sopravvivono all'impiego di un utente, ma questa è tutta un'altra storia.)

Come sottolineato da Ushuru, la migliore pratica è reimmaginare piuttosto che reinstallare. (E sì, è necessario sysprep, ma non a causa dei SID, come ha detto TesselatingHector.) Non devono essere hardware identici; puoi includere una vasta gamma di driver nella tua immagine e persino aggiungere nuovi driver offline (se la tua immagine è un .wim).

Esiste un intero settore di mercato del software di distribuzione desktop e ho anche visto persone rotolare i propri processi con software di backup e ripristinare un'immagine di "backup" specializzata.

Oppure, puoi ricostruire il sistema se ti piace installare il sistema operativo. ;) Mi annoio facilmente e preferisco automatizzare.

La risposta a ciò dipende dal fatto se si consente ai dipendenti di essere amministratori locali della propria macchina.

In generale, un account di un gruppo di utenti ha solo l'autorizzazione di scrittura nella propria directory del profilo e in nessun altro luogo sul disco rigido.

In questo caso l'utente non può apportare modifiche al sistema, inclusa l'installazione o la rimozione di applicazioni o la creazione di file o directory nascosti all'esterno della directory del proprio profilo.

Il malware può potenzialmente installarsi da solo, ma di nuovo solo all'interno del profilo dell'utente, in genere in AppData o Temp.

Per questi utenti con restrizioni, un nuovo account viene completamente disconnesso da qualsiasi cosa fosse nel vecchio profilo utente.

Non avrei nemmeno mai sognato di dare un PC usato a un nuovo dipendente senza almeno una pulizia del disco rigido. Se si desidera essere abbastanza sicuri, sostituire completamente il disco rigido.

I kit di root sono estremamente potenti. Un root kit non è noto al sistema operativo e ai virus scanner perché sono installati a un livello inferiore (in realtà caricano il sistema operativo e forniscono al sistema operativo le informazioni di base come ciò che si trova sul disco rigido, in modo che possano nascondersi in modo molto efficace dal OS). Alcuni addirittura si installano nel BIOS del disco rigido, il che li rende estremamente difficili da eliminare.

Alcuni possono installarsi nel BIOS del PC e infettare nuovamente i nuovi dischi rigidi man mano che vengono installati.

Se un dipendente scontento con capacità di hacking anche lievi lo desiderasse davvero, potrebbe restituirti un computer in uno stato che devasterebbe ripetutamente la tua rete anche dopo un disco rigido "Reformat". Uno buono potrebbe farlo in modo che anche la sostituzione del disco rigido non sia di aiuto.

Un dipendente hacker di grande talento potrebbe utilizzare una di queste tecniche per ottenere un accesso illimitato ai sistemi e ai dati della rete interna. In qualsiasi momento in futuro potrebbe riconnettersi dall'esterno - in un modo che sarebbe quasi impossibile per te fermare (dal momento che il computer infetto potrebbe chiamare occasionalmente e bypassare tutta la sicurezza del firewall).

Fortunatamente quelli di grande talento probabilmente hanno cose migliori da fare che lavorare per la tua azienda.

La risposta di James in cui dice "Dai il computer all'impiegato quando se ne va" dovrebbe suonare abbastanza bene in questo momento - ma davvero, strappa e distrugge l'HD.