Вопрос: Передовая практика. Должен ли я всегда устанавливать новую ОС для новых сотрудников?
У меня был спор с начальником об этом. Хотя на первый взгляд прежний пользователь ноутбука работал только в своих папках с документами, должен ли я всегда устанавливать новую ОС для следующего пользователя или достаточно удалить старый профиль? Установленное программное обеспечение в основном также требуется следующему пользователю.
Я думаю, что установка необходима, но кроме моего собственного аргумента вирусов и частных данных, какие причины существуют для этого?
В нашей компании разрешено использовать ПК, например. частная почта, на некоторых ПК даже установлены игры. У нас есть мобильные пользователи, которые часто находятся на сайте у клиента, поэтому я действительно не виню их.
Также из-за этого у нас много местных администраторов.
Я знаю, что как частное использование, так и доступность локальных учетных записей администратора не являются хорошими идеями, но так оно и было обработано до того, как я работал здесь, и я могу изменить это только после того, как закончил стажировку;)
редактировать: Я думаю, что все опубликованные ответы релевантны, и я также знаю, что несколько методов, которые у нас есть в моей компании, не самые лучшие для начала (например, для местного администратора для слишком большого числа людей;).
На данный момент я считаю, что наиболее полезным ответом для обсуждения будет вопрос Райдера. Хотя пример, который он дал в его ответе, может быть преувеличен, это имеет произошло раньше, чем бывший сотрудник забыл личные данные. Недавно я нашел розничную копию игры Runaway на старом ноутбуке, и у нас было несколько случаев остающихся частных изображений.
111
2018-06-13 05:45
Источник
Ответы:
Абсолютно вам нужно. Это не просто здравый смысл от безопасности POV, это также должно быть практикой как дело деловой этики.
Представим себе следующий сценарий: Алиса уходит, а ее компьютер передается Бобу. Боб не знал об этом, но Алисе была в незаконный Шоте порно и оставила несколько файлов спрятаны за пределами ее профиля. IT вытирает ее профиль и ничего больше, включая только историю ее просмотра и локальные файлы.
Однажды Боб просматривает колокола и свистки на своей блестящей новой машине, сидя в Starbucks и потягивая латте. Он натыкается на кеш Алисы и невинно нажимает на файл, который выглядит странно. Внезапно каждая голова в магазине плывет вокруг, чтобы смотреть в ужасе, когда ПК Боба полностью нарушает несколько государственных и федеральных правил. Одна маленькая девочка в углу начинает плакать.
Боб умер. После шести месяцев депрессии и после того, как он был уволен за непреднамеренный акт публичной непристойности (и возможных уголовных обвинений), он оказался действительно суровой юридической группой и отнял у своего бывшего работодателя отвратительный судебный процесс. Алиса находится в Таиланде и избегает экстрадиции.
Может быть, все это немного выше бледного, но это абсолютно может произойти, если вы не тратите время на то, чтобы пробираться сквозь все действия бывшего сотрудника. Или вы могли бы сэкономить время, и переустановить с нуля.
216
2018-06-13 06:37
Вы должны обязательно сбросить / переустановить компьютеры. На нем могут быть вредоносные программы, которые могут поставить под угрозу бизнес. Это могут быть вирусы или трояны или что-то, что бывший сотрудник ушел туда преднамеренно (не все уходят на хороших условиях). Все причины в ответе @ axl также действительны.
Чтобы сделать вашу жизнь проще, создайте снимок / изображение / резервную копию недавно установленного компьютера со всем вашим обычным программным обеспечением, которое уже установлено, и просто нажимайте это на каждый новый или повторно используемый компьютер. Не требуется переустановка вручную.
43
2018-06-13 06:34
Я не ИТ-администратор, но я чувствую, что вы должны переустановить по нескольким причинам:
Локальные администраторы могут владеть файлами предыдущего пользователя.
У вас меньше шансов иметь дело с проблемами, связанными с системными изменениями, сделанными старым пользователем.
Персональные приложения старого пользователя все равно будут доступны в Program Files.
Если у вас нет локальных администраторов, и они действительно не могут изменить или получить доступ к чему-либо за пределами своей домашней папки, тогда я был бы менее обеспокоен, но тогда всегда есть дисковое пространство для рассмотрения.
Рассматривали ли вы использование Ghost или другой системы обработки изображений вместо ручной установки всего программного обеспечения?
27
2018-06-13 06:19
Если все обрабатываемые вами машины идентичны (или есть группы одинаковых машин), выполните чистую установку один раз, обновите ОС и установите базовое программное обеспечение, которое потребуется пользователям. Затем создайте образ жесткого диска, из которого вы можете восстановить систему, в случае переназначения машины другому пользователю, сбоя жесткого диска, вирусной инфекции и т. Д.
Все, что вам нужно сделать, это просто восстановить содержимое жесткой жесткой установки с образа диска и изменить ключ продукта Windows, если это необходимо.
Если вы хотите защитить жесткие диски от пользователей, используя средства судебной экспертизы, используйте инструмент измельчения данных (например, измельчение, доступное в большинстве дистрибутивов Linux) на жестком диске перед восстановлением данных с изображения на него. Приблизительно в час работы вы даже можете подготовить живой USB, который уничтожит жесткий диск, а затем заново заполнит его данными из изображения.
Таким образом, вы можете сэкономить немало времени, сохраняя при этом защиту данных пользователей и компаний.
9
2018-06-13 12:49
Это не лучший ответ ... запишите свое оборудование как стоимость бизнеса, а когда кто-то уйдет, дайте им ноутбук и купите новый чистый; это экономит больше всего времени и является положительным способом приблизиться к балансу работы и жизни. Конечно, если они были там только несколько недель, то, вероятно, лучше всего сбросить.
5
2018-06-15 16:03
У меня есть личный опыт работы с нереализованными компьютерами, передающими вирусы новым пользователям. (И с нежелательными файлами, работающими с пользователем, но это совсем другая история.)
Как отметил Ушуру, наилучшей практикой является переосмысление, а не переустановка. (И да, вам нужен sysprep, но не из-за SID, как сказал TesselatingHector.) Они не обязательно должны быть идентичными аппаратными средствами; вы можете включить в свой образ большое количество драйверов и даже добавить новых драйверов в автономном режиме (если ваш образ является .wim).
Есть все рынок сектор из рабочий стол развертывание программного обеспечения, и я также видел, как люди запускают собственный процесс с помощью программного обеспечения для резервного копирования и восстанавливают специализированное «резервное» изображение.
Или вы можете перестроить систему, если вам нравится устанавливать ОС. ;) Мне легко надоедает и предпочитаю автоматизировать.
5
2018-06-16 20:58
Ответ на это действительно зависит от того, разрешаете ли вы сотрудникам быть локальными администраторами собственной машины.
В общем случае учетная запись группы пользователей имеет только разрешение на запись в своем собственном каталоге профиля, а нигде больше на жестком диске.
В этом случае пользователь не может вносить никаких изменений в систему, включая установку или удаление приложений или создание скрытых файлов или каталогов за пределами их каталога профиля.
Вредоносная программа может потенциально установить себя, но снова только внутри этого профиля пользователя, обычно в AppData или Temp.
Для этих ограниченных пользователей новая учетная запись полностью отключена от того, что было в старом профиле пользователя.
3
2018-06-13 10:17
Я даже никогда не мечтал бы предоставить подержанный компьютер новому сотруднику без по крайней мере жесткого диска. Если вы хотите быть достаточно безопасным, полностью замените жесткий диск.
Корневые наборы очень мощные. Корневой набор неизвестен ОС и антивирусными сканерами, потому что они установлены на более низком уровне (они фактически загружают ОС и предоставляют ОС основную информацию, такую как то, что находится на жестком диске, поэтому они могут очень эффективно скрываться от ОПЕРАЦИОННЫЕ СИСТЕМЫ). Некоторые даже устанавливают себя в BIOS жесткого диска, из-за чего их чрезвычайно сложно избавиться.
Некоторые могут установить себя в BIOS вашего ПК и повторно заразить новые жесткие диски по мере их установки.
Если какой-либо недовольный сотрудник с даже мягкими навыками хакерства действительно хотел, чтобы он мог вернуть вам компьютер в состоянии, которое может повредить вашу сеть повторно даже после жесткого диска «Реформат». Хороший мог бы сделать так, что даже замена жесткого диска не помогла бы.
Действительно талантливый хакер-сотрудник может использовать один из этих методов, чтобы получить неограниченный доступ к вашим внутренним сетевым системам и данным. В любой момент в будущем он мог бы снова подключаться извне - таким образом, что было бы почти невозможно остановить вас (так как зараженный компьютер, вероятно, время от времени вызывается и обходит всю защиту брандмауэра).
К счастью, действительно талантливые, возможно, имеют лучшие дела, чем работа для вашей компании.
Ответ Джеймса, в котором он говорит: «Дайте компьютер сотруднику, когда он уходит», должен звучать довольно хорошо прямо сейчас - но на самом деле просто выдернуть и уничтожить HD.
3
2018-06-16 21:42