Вопрос: Передовая практика. Должен ли я всегда устанавливать новую ОС для новых сотрудников?


У меня был спор с начальником об этом. Хотя на первый взгляд прежний пользователь ноутбука работал только в своих папках с документами, должен ли я всегда устанавливать новую ОС для следующего пользователя или достаточно удалить старый профиль? Установленное программное обеспечение в основном также требуется следующему пользователю.

Я думаю, что установка необходима, но кроме моего собственного аргумента вирусов и частных данных, какие причины существуют для этого?

В нашей компании разрешено использовать ПК, например. частная почта, на некоторых ПК даже установлены игры. У нас есть мобильные пользователи, которые часто находятся на сайте у клиента, поэтому я действительно не виню их.

Также из-за этого у нас много местных администраторов.

Я знаю, что как частное использование, так и доступность локальных учетных записей администратора не являются хорошими идеями, но так оно и было обработано до того, как я работал здесь, и я могу изменить это только после того, как закончил стажировку;)

редактировать: Я думаю, что все опубликованные ответы релевантны, и я также знаю, что несколько методов, которые у нас есть в моей компании, не самые лучшие для начала (например, для местного администратора для слишком большого числа людей;).

На данный момент я считаю, что наиболее полезным ответом для обсуждения будет вопрос Райдера. Хотя пример, который он дал в его ответе, может быть преувеличен, это имеет произошло раньше, чем бывший сотрудник забыл личные данные. Недавно я нашел розничную копию игры Runaway на старом ноутбуке, и у нас было несколько случаев остающихся частных изображений.


111
2018-06-13 05:45


Источник


Вы не хотите рисковать не делать этого. Слишком много вещей может пойти не так, если вы этого не сделаете (и в конце концов, они будут). - Mast
Вы не обвиняете своих сотрудников в том, что они играют в игры в собственности компании ... потому что они делают это, когда с вашими клиентами? WTF? - Lightness Races in Orbit
@LightnessRacesinOrbit Хорошо, если вы находитесь в отеле на несколько недель (иногда даже в выходные дни), и есть, вне работы, абсолютно ничего не делать, да, я думаю, что это приемлемо. Ofc есть опасения, но по крайней мере он поддерживает моральный дух. Кроме того, я, а также мои прихожие вполне уверены, что заставить людей купить ноутбук или планшет для их поездок навредит нам. Здесь есть целый ряд причин, и во все они не только затянутся слишком долго, но и заставят моего работодателя выглядеть плохо;) - ExNought
@ExoWork: О, вне работы, конечно. Я сам обычно уезжаю по делам в течение нескольких дней и ночей каждую неделю и, конечно же, хорошо использую свой рабочий ноутбук в этих отелях! Но ты сказал «на месте у клиента» что сильно отличается. - Lightness Races in Orbit
Я бы сказал, определенно, из-за всех причин, перечисленных здесь, но есть и другое: если компьютер можно использовать для частного использования, то может быть незаконным предоставлять кому-то доступ к этим данным из-за законов защиты данных (это определенно может быть насколько мне известно, проблематично в Германии). Форматирование диска гарантирует, что третьим лицам не предоставляются личные данные. - DetlevCM


Ответы:


Абсолютно вам нужно. Это не просто здравый смысл от безопасности POV, это также должно быть практикой как дело деловой этики.

Представим себе следующий сценарий: Алиса уходит, а ее компьютер передается Бобу. Боб не знал об этом, но Алисе была в незаконный Шоте порно и оставила несколько файлов спрятаны за пределами ее профиля. IT вытирает ее профиль и ничего больше, включая только историю ее просмотра и локальные файлы.

Однажды Боб просматривает колокола и свистки на своей блестящей новой машине, сидя в Starbucks и потягивая латте. Он натыкается на кеш Алисы и невинно нажимает на файл, который выглядит странно. Внезапно каждая голова в магазине плывет вокруг, чтобы смотреть в ужасе, когда ПК Боба полностью нарушает несколько государственных и федеральных правил. Одна маленькая девочка в углу начинает плакать.

Боб умер. После шести месяцев депрессии и после того, как он был уволен за непреднамеренный акт публичной непристойности (и возможных уголовных обвинений), он оказался действительно суровой юридической группой и отнял у своего бывшего работодателя отвратительный судебный процесс. Алиса находится в Таиланде и избегает экстрадиции.


Может быть, все это немного выше бледного, но это абсолютно может произойти, если вы не тратите время на то, чтобы пробираться сквозь все действия бывшего сотрудника. Или вы могли бы сэкономить время, и переустановить с нуля.


216
2018-06-13 06:37



@gerrit Переустановка Windows из Scratch обычно подразумевает полный формат диска. Единственный способ, с помощью которого Боб мог вернуть файлы после этого, запустив инструменты судебной экспертизы, и вы обычно не делаете этого без уважительной причины. - Nzall
Алиса в Таиланде не помогает. Существует закон об экстрадиции TH-US, Попробуйте выбрать страну. Нотч Корея - мой кандидат;) - vasin1987
@ vasin1987 Адвокат Алисы только что позвонил. Она сказала, что на самом деле она предпочла бы провести остаток своей жизни в федеральной тюрьме, чем оставаться в Пхеньяне. Вы можете что-то организовать? - David Richerby
Что будет дальше? Мне нужно знать! - FuriousFolder
Этот ответ принесет пользу из небольшого добавления, в котором обсуждается дешевая стоимость полного удаления в стандартной процедуре, а не 1. время, определяющее, необходимо ли на каждой машине сменить руки, а затем 2. определить, существует ли риск чего-то вроде это стоит того, чтобы сохранить время. На практике, вероятно, быстрее (время = деньги) просто стереть его, чем пытаться выследить и стереть данные предыдущего пользователя, даже не обращая внимания на риск. - jpmc26


Вы должны обязательно сбросить / переустановить компьютеры. На нем могут быть вредоносные программы, которые могут поставить под угрозу бизнес. Это могут быть вирусы или трояны или что-то, что бывший сотрудник ушел туда преднамеренно (не все уходят на хороших условиях). Все причины в ответе @ axl также действительны.

Чтобы сделать вашу жизнь проще, создайте снимок / изображение / резервную копию недавно установленного компьютера со всем вашим обычным программным обеспечением, которое уже установлено, и просто нажимайте это на каждый новый или повторно используемый компьютер. Не требуется переустановка вручную.


43
2018-06-13 06:34



«На нем могут быть вредоносные программы, которые могут поставить под угрозу бизнес». Если это ноутбук компании, то работнику уже доверяют использовать его до этого. Если у вас есть сотрудник, злонамеренно атакующий вашу сеть, у них уже есть широкая возможность сделать так, чтобы их машина была неэффективной тактикой. - jpmc26
На моем последнем месте работы я получил бывшего коллеги-компютера. Они не делали переустановки и не имели «стандартной сборки». У меня был подобный опыт, но не в порнографии рода. Мне пришлось сделать формат и переустановить себя, так как НИЧЕГО работала правильно. Бывший сотрудник полностью завладел системой, пытаясь настроить вещи самыми непостижимыми способами. - Mike McMahon
@ jpmc26 Не совсем. У нас были прекращения, когда мы подозревали, что они могут сделать что-то мстительное после давая им новости. Таким образом, мы будем активно отзывать их разрешения от наших приложений и сети. Таким образом, хотя у них не было активного доступа, они могли все еще включать вредоносное ПО или кейлогеры, которые могли бы использоваться, когда компьютер или устройство использовалось другим сотрудником. Также наша забота заключалась не в том, что они злонамеренно атаковали нашу сеть, так как они могли получить работу у конкурента и все еще иметь доступ к конфиденциальной информации о компании. - Bacon Brad


Я не ИТ-администратор, но я чувствую, что вы должны переустановить по нескольким причинам:

  • Локальные администраторы могут владеть файлами предыдущего пользователя.

  • У вас меньше шансов иметь дело с проблемами, связанными с системными изменениями, сделанными старым пользователем.

  • Персональные приложения старого пользователя все равно будут доступны в Program Files.

Если у вас нет локальных администраторов, и они действительно не могут изменить или получить доступ к чему-либо за пределами своей домашней папки, тогда я был бы менее обеспокоен, но тогда всегда есть дисковое пространство для рассмотрения.

Рассматривали ли вы использование Ghost или другой системы обработки изображений вместо ручной установки всего программного обеспечения?


27
2018-06-13 06:19



Я действительно это сделал, но это тоже одна из вещей, которые были сделаны вручную раньше, и NOONE, похоже, хочет изменить это. Он входит в список ToDo, когда я закончил свою стажировку;) - ExNought
Может потребоваться некоторое время, чтобы убедить людей в том, что есть лучшие способы, особенно если есть небольшая или вообще не ощущаемая боль. :) - axl


Если все обрабатываемые вами машины идентичны (или есть группы одинаковых машин), выполните чистую установку один раз, обновите ОС и установите базовое программное обеспечение, которое потребуется пользователям. Затем создайте образ жесткого диска, из которого вы можете восстановить систему, в случае переназначения машины другому пользователю, сбоя жесткого диска, вирусной инфекции и т. Д.

Все, что вам нужно сделать, это просто восстановить содержимое жесткой жесткой установки с образа диска и изменить ключ продукта Windows, если это необходимо.

Если вы хотите защитить жесткие диски от пользователей, используя средства судебной экспертизы, используйте инструмент измельчения данных (например, измельчение, доступное в большинстве дистрибутивов Linux) на жестком диске перед восстановлением данных с изображения на него. Приблизительно в час работы вы даже можете подготовить живой USB, который уничтожит жесткий диск, а затем заново заполнит его данными из изображения.

Таким образом, вы можете сэкономить немало времени, сохраняя при этом защиту данных пользователей и компаний.


9
2018-06-13 12:49



Создание образа прямого образа установки Windows и применение его на разных компьютерах может вызвать проблемы из-за чего-то, называемого машинным SID. Чтобы сделать это правильно, перед созданием образа диска вам нужно запустить утилиту Windows sysprep и " обобщить "установленную ОС. Также обратите внимание, что вам нужно отслеживать количество активизации окон, потому что в некоторых версиях допускается так много активировок, иногда всего пять, а когда вы заканчиваете работу, вы не можете sysprep или изображение его дальше. slmgr / dlv показывает оставшиеся активации. - Dale Mahalko
@DaleMahalko Хотя требуется SysPrep и поддерживается способ дублирования установок, это не из-за дублирования SID, - TessellatingHeckler
Даже если они не идентичны, в наши дни легко создать скрипт для установки на ПК. Тогда у вас нет боли устаревших изображений. - James Snell


Это не лучший ответ ... запишите свое оборудование как стоимость бизнеса, а когда кто-то уйдет, дайте им ноутбук и купите новый чистый; это экономит больше всего времени и является положительным способом приблизиться к балансу работы и жизни. Конечно, если они были там только несколько недель, то, вероятно, лучше всего сбросить.


5
2018-06-15 16:03



«Записывать свое оборудование как стоимость бизнеса» не приводит к исчезновению стоимости. Это мышление похоже на покупку нового телефона каждый раз, когда у вас заканчивается заряд батареи. - Nex Terren
Не «лучшая» идея; плохая идея вокруг. Вы должны записать не только стоимость оборудования, но и все лицензии другого установленного там программного обеспечения (некоторые лицензии могут быть технически недоступны для передачи). Я не знаю о вашем рабочем месте, но на моем, у большинства из них есть понятие «Конфиденциальное» компании. Вы хотите, чтобы эта ценная информация выходила за дверь или вы тоже писали это? Предполагается, что вы расстаетесь с дружескими отношениями. Если это старый HW и на хороших условиях, «возможно» повторное изображение затем отдает; возможно, для благотворительности и сотрудника (налоговый кредит! $$). - Ian W
@Ian W некоторое программное обеспечение может быть деактивировано, освободив лицензию для другого работника в компании (большинство программного обеспечения, которое я видел, имеет этот вариант для корпоративных пользователей). С другой стороны, конфиденциальность данных, хранящихся на жестком диске компьютера, является проблемой. Вы должны вытереть / уничтожить / содержимое диска. Это, конечно, заставляет аппаратные средства плохо работать, чтобы избавиться от проблемы (потому что вы должны сначала решить проблему). - Jakub
Бизнес уже использует все возможные расходы как бизнес-расходы, «записывая это», не делает то, что вы, вероятно, думаете, это делает - это не значит, что бесплатные деньги, бизнес все еще должен покупать новое оборудование (ноутбук), а накопленная копейка - это заработал пенни. Может быть Крамер может объяснить это лучше (возможно, нет) - Xen2050


У меня есть личный опыт работы с нереализованными компьютерами, передающими вирусы новым пользователям. (И с нежелательными файлами, работающими с пользователем, но это совсем другая история.)

Как отметил Ушуру, наилучшей практикой является переосмысление, а не переустановка. (И да, вам нужен sysprep, но не из-за SID, как сказал TesselatingHector.) Они не обязательно должны быть идентичными аппаратными средствами; вы можете включить в свой образ большое количество драйверов и даже добавить новых драйверов в автономном режиме (если ваш образ является .wim).

Есть все  рынок  сектор из рабочий стол  развертывание  программного обеспечения, и я также видел, как люди запускают собственный процесс с помощью программного обеспечения для резервного копирования и восстанавливают специализированное «резервное» изображение.

Или вы можете перестроить систему, если вам нравится устанавливать ОС. ;) Мне легко надоедает и предпочитаю автоматизировать.


5
2018-06-16 20:58





Ответ на это действительно зависит от того, разрешаете ли вы сотрудникам быть локальными администраторами собственной машины.

В общем случае учетная запись группы пользователей имеет только разрешение на запись в своем собственном каталоге профиля, а нигде больше на жестком диске.

В этом случае пользователь не может вносить никаких изменений в систему, включая установку или удаление приложений или создание скрытых файлов или каталогов за пределами их каталога профиля.

Вредоносная программа может потенциально установить себя, но снова только внутри этого профиля пользователя, обычно в AppData или Temp.

Для этих ограниченных пользователей новая учетная запись полностью отключена от того, что было в старом профиле пользователя.


3
2018-06-13 10:17



«Вредоносная программа может потенциально установить себя, но снова только внутри этого профиля пользователя» - если только она не использует уязвимость эскалации привилегий. Таким образом, даже без местных прав администратора остается определенный риск. - user149408
Это не имеет значения, потому что эта проблема может затронуть любого в любое время. Как администратор для около 500 настольных компьютеров, я не периодически стираю рабочий стол каждого отдельного человека каждые 6 месяцев над некоторыми незначительными проблемами возможного вредоносного ПО, которые могут выйти из группы безопасности пользователя. Если вы обнаружите, что это случилось, вы справляетесь с этим, но в противном случае не беспокойтесь об этом и не позволяйте антивирусу обращаться с ним. - Dale Mahalko
Сотрудники имеют физический контроль над ноутбуком - до такой степени, что приносят его с собой во время путешествия. Если им нужен доступ администратора, они это получат. - Andrew Henle
Предположите, что любой пользователь с физическим доступом к ПК может делать все, что может сделать администратор. - Bill K


Я даже никогда не мечтал бы предоставить подержанный компьютер новому сотруднику без по крайней мере жесткого диска. Если вы хотите быть достаточно безопасным, полностью замените жесткий диск.

Корневые наборы очень мощные. Корневой набор неизвестен ОС и антивирусными сканерами, потому что они установлены на более низком уровне (они фактически загружают ОС и предоставляют ОС основную информацию, такую ​​как то, что находится на жестком диске, поэтому они могут очень эффективно скрываться от ОПЕРАЦИОННЫЕ СИСТЕМЫ). Некоторые даже устанавливают себя в BIOS жесткого диска, из-за чего их чрезвычайно сложно избавиться.

Некоторые могут установить себя в BIOS вашего ПК и повторно заразить новые жесткие диски по мере их установки.

Если какой-либо недовольный сотрудник с даже мягкими навыками хакерства действительно хотел, чтобы он мог вернуть вам компьютер в состоянии, которое может повредить вашу сеть повторно даже после жесткого диска «Реформат». Хороший мог бы сделать так, что даже замена жесткого диска не помогла бы.

Действительно талантливый хакер-сотрудник может использовать один из этих методов, чтобы получить неограниченный доступ к вашим внутренним сетевым системам и данным. В любой момент в будущем он мог бы снова подключаться извне - таким образом, что было бы почти невозможно остановить вас (так как зараженный компьютер, вероятно, время от времени вызывается и обходит всю защиту брандмауэра).

К счастью, действительно талантливые, возможно, имеют лучшие дела, чем работа для вашей компании.

Ответ Джеймса, в котором он говорит: «Дайте компьютер сотруднику, когда он уходит», должен звучать довольно хорошо прямо сейчас - но на самом деле просто выдернуть и уничтожить HD.


3
2018-06-16 21:42



Я думаю, что вы правы, ваши шаги и Джеймса - с наименьшим риском для нарушения безопасности, но это трудно понять в головах некоторых людей, тем более, что они не хотят делать чистую установку для новых сотрудников в первую очередь;) Это все еще ДОЛГОЙ путь ... - ExNought
Возможно, люди могут быть привлечены к участию в семинаре по безопасности. Существуют серьезные последствия для несерьезного обеспечения безопасности. Сколько руководителей вашей компании оценят содержимое загружаемого компьютера в Интернет. Я просто упоминаю об этом, потому что это случилось недавно с компанией друга. Моя рабочая сеть полностью отключена от Интернета, и наемные хакеры все еще могут проникнуть через ноутбуки, которые были заражены при подключении к Интернету, а затем привезли в нашу отключенную сеть. Бывает! - Bill K
@BillK +1! Я абсолютно согласен. Лучший способ обеспечения безопасности - мусор диски, перезапустите BIOS и установите новый. Помимо безопасности, по-прежнему сохраняется проблема конфиденциальности ваших коллег, что является совсем другим соображением и не должно подвергаться анализу затрат и выгод. Вот почему я бы сказал, что переименование, или удаление и переустановка должны быть Лучшая практика, и измельчение дисковой части надежной политики безопасности (и что может быть оценена по стоимости). - Ryder
@Ryder согласился. Кроме того, если люди о вашей компании беспокоятся о стоимости уничтожения диска и повторной визуализации, выйдите из FAST. Либо есть удивительно высокий оборот, либо они ломаются, и в любом случае это не будет прекрасным местом для пребывания в долгосрочной перспективе. (стартапы с голыми костями могут быть исключением, но, возможно, нет). - Bill K