Рекомендация: всегда ли устанавливать свежую ОС для новых сотрудников?

У меня был спор с начальником по этому поводу. Хотя на первый взгляд предыдущий пользователь ноутбука работал только в своих собственных папках с документами, я должен всегда устанавливать новую ОС для следующего пользователя или достаточно удалить старый профиль? Установленное программное обеспечение в основном также необходимо следующему пользователю.

Я думаю, что установка необходима, но кроме моего собственного аргумента вирусов и личных данных, какие есть причины для этого?

В нашей компании разрешено использовать ПК, например, для частной почты, на некоторых компьютерах даже установлены игры. У нас есть своего рода мобильные пользователи, которые часто находятся на месте у клиента, поэтому я не виню их.

Также из-за этого у нас много местных администраторов.

Я знаю, что и личное использование, и наличие локальных учетных записей администраторов не являются хорошими идеями, но именно так они были обработаны до того, как я начал работать здесь, и я могу изменить это только после того, как я закончу стажировку;)

Редактировать : я думаю, что все опубликованные ответы актуальны, и я также знаю, что пара методов, которые мы применяем в моей компании, не являются лучшими для начала (например, локальный администратор для слишком большого количества людей;).

На данный момент, я думаю, самый полезный ответ для обсуждения - это ответ Райдера. Хотя в данном примере он дал в своем ответе может быть преувеличен, это уже произошло до того, что бывший сотрудник забыл личные данные. Недавно я нашел розничную копию игры Runaway на старом ноутбуке, и у нас также было несколько случаев оставшихся личных изображений.

Абсолютно, вы должны. Это не просто здравый смысл от POV безопасности, это также должно быть практикой как вопросом деловой этики.

Давайте представим следующий сценарий: Алиса уходит, а ее компьютер передается Бобу. Боб не знал об этом, но Алисе была в незаконный Шоте порно и оставила несколько файлов спрятаны за пределами ее профиля. ИТ стирает ее профиль и ничего больше, в том числе только историю просмотров и локальные файлы.

Однажды Боб проверяет навороты на своей новой блестящей рабочей машине, сидя у Starbucks ™ и потягивая латте. Он натыкается на кеш Алисы и невинно нажимает на файл, который выглядит странно. Внезапно каждая голова в магазине поворачивается, чтобы с ужасом наблюдать, как компьютер Боба пренебрегает несколькими государственными и федеральными правилами в полном объеме. Одна маленькая девочка в углу начинает плакать.

Боб огорчен. После шести месяцев депрессии и после того, как его уволили за непреднамеренный акт общественной непристойности (и, возможно, обвинения в совершении уголовного преступления), он обнаружил, что он действительно сумасшедший адвокат, и разорился со своим бывшим работодателем, нанеся ему чрезвычайно опасный иск. Алиса находится в Таиланде и избегает экстрадиции.

Может быть, все это немного за гранью, но это может произойти, если вы не потратите время, чтобы просмотреть все действия бывшего сотрудника. Или вы можете сэкономить время и переустановить с нуля.

Вы должны обязательно сбросить / переустановить компьютеры. Там могут быть вредоносные программы, которые могут поставить бизнес под угрозу. Это могут быть вирусы или трояны или что-то, что бывший сотрудник намеренно оставил там (не все уходят в хорошие отношения). Все причины в ответе @ axl тоже верны.

Чтобы сделать вашу жизнь проще, создайте снимок / образ / резервную копию только что установленного компьютера со всем уже установленным обычным программным обеспечением и просто вставьте его на каждый новый или переработанный компьютер. Ручная переустановка не требуется.

Я не ИТ-администратор, но я чувствую, что вам следует переустановить по нескольким причинам:

• Локальные администраторы могут стать владельцами файлов предыдущего пользователя.

• Скорее всего, вам не придется сталкиваться с проблемами, возникающими из-за системных изменений, сделанных старым пользователем.

• Личные приложения старого пользователя по-прежнему будут доступны в Program Files.

Если у вас нет локальных администраторов, и они действительно не могут изменить или получить доступ к чему-либо за пределами своей домашней папки, тогда я был бы менее обеспокоен, но тогда всегда есть место на диске для рассмотрения.

Рассматривали ли вы использование Ghost или другой системы обработки изображений вместо ручной установки всего программного обеспечения?

Если все машины, с которыми вы работаете, идентичны (или есть группы идентичных машин), выполните чистую установку один раз, обновите ОС и установите базовое программное обеспечение, которое потребуется пользователям. Затем создайте образ жесткого диска, с которого вы сможете восстановить систему в случае переназначения компьютера другому пользователю, сбоя жесткого диска, заражения вирусом и т. Д.

Все, что вам нужно сделать, это просто восстановить содержимое жесткого диска «чистой установки» из образа диска и изменить ключ продукта Windows, если это необходимо.

Если вы хотите защитить жесткие диски от пользователей с помощью инструментов судебной экспертизы - используйте инструмент для удаления данных (например, уничтожение, доступное в большинстве дистрибутивов Linux) на жестком диске, прежде чем восстанавливать данные с изображения на него. Примерно через час работы вы можете даже подготовить живой USB-накопитель, который уничтожит жесткий диск, а затем снова заполнит его данными с изображения.

Таким образом, вы можете сэкономить немало работы, сохраняя при этом данные пользователей и компании.

Здесь не хватает лучшего ответа ... запишите ваше оборудование как деловую стоимость, а когда кто-то уйдет, дайте ему ноутбук и купите новый чистый; это экономит больше всего времени и является позитивным способом достижения баланса между работой и личной жизнью. Конечно, если они пробыли там всего несколько недель, то перезагрузка, вероятно, лучше.

У меня есть личный опыт работы с ПК без пересылки вирусов новым пользователям. (И с нежелательными файлами, превышающими занятость пользователя, но это совсем другая история.)

Как указал Ушуру, лучшая практика - переиздавать, а не переустанавливать. (И да, вам нужен sysprep, но не из-за SID, как сказал TesselatingHector.) Они не должны быть идентичными аппаратными средствами; Вы можете включать в себя широкий спектр драйверов в ваш образ и даже добавлять новые драйверы в автономном режиме (если изображение является .wim).

Там в целом рынок сектор на рабочем столе развертывания программного обеспечения , и я также видел , как люди катить свой собственный процесс с программным обеспечением резервного копирования и восстановления специализированного «резервного копирования» образ.

Или вы можете перестроить систему, если вам нравится устанавливать ОС. ;) Мне легко скучно и я предпочитаю автоматизировать.

Ответ на этот вопрос действительно зависит от того, позволите ли вы сотрудникам быть локальными администраторами своего компьютера.

Как правило, учетная запись группы пользователей имеет разрешение на запись только в свой каталог профиля, и нигде больше на жестком диске.

В этом случае пользователь не может вносить изменения в систему, включая установку или удаление приложений или создание скрытых файлов или каталогов за пределами своего каталога профиля.

Вредоносное ПО может потенциально установить себя, но опять же только внутри профиля этого пользователя, обычно в AppData или Temp.

Для этих пользователей с ограниченными правами новая учетная запись полностью отключена от того, что было в старом профиле пользователя.

Я бы даже не мечтал дать подержанный ПК новому сотруднику без хотя бы очистки жесткого диска. Если вы хотите быть в безопасности, замените жесткий диск полностью.

Корневые комплекты очень мощные. Корневой комплект неизвестен ОС и вирусным сканерам, потому что они установлены на более низком уровне (они фактически загружают ОС и предоставляют ОС основную информацию, такую ​​как то, что находится на жестком диске, поэтому они могут очень эффективно скрывать себя от ОПЕРАЦИОННЫЕ СИСТЕМЫ). Некоторые даже устанавливаются в BIOS жесткого диска, что делает их чрезвычайно трудными для избавления.

Некоторые могут установить себя в BIOS вашего ПК и повторно инфицировать новые жесткие диски по мере их установки.

Если кто-то из недовольных сотрудников, обладающих даже умеренными хакерскими способностями, действительно хотел, он мог бы вернуть вам компьютер в состоянии, которое неоднократно разрушало бы вашу сеть даже после «переформатирования» жесткого диска. Хороший можно сделать так, чтобы даже замена жесткого диска не помогла.

Действительно талантливый хакер-сотрудник может использовать один из этих методов для получения неограниченного доступа к вашим внутренним сетевым системам и данным. В любой момент в будущем он мог восстановить соединение извне - таким образом, что было бы практически невозможно остановить его (поскольку зараженный компьютер может вызывать время от времени и обходить всю защиту брандмауэра).

К счастью, у действительно талантливых людей, вероятно, есть дела поважнее, чем работа в вашей компании.

Ответ Джеймса, где он говорит «Дайте компьютер сотруднику, когда он уходит», должен звучать довольно неплохо прямо сейчас - но на самом деле, просто дерните и порежьте HD.