Vraag Beste praktijk: moet ik altijd een nieuw besturingssysteem installeren voor nieuwe werknemers?


Ik had hierover ruzie met een overste. Hoewel op het eerste gezicht de vorige gebruiker van een laptop alleen in zijn eigen documenten-mappen werkte, zou ik altijd een nieuw besturingssysteem voor de volgende gebruiker moeten installeren of is het oude profiel voldoende verwijderd? De software die is geïnstalleerd, is meestal ook nodig voor de volgende gebruiker.

Ik denk dat een installatie nodig is, maar behalve mijn eigen argument van virussen en privégegevens, welke redenen zijn er om dit te doen?

Bij ons is het toegestaan ​​om de pc te gebruiken voor bijvoorbeeld privémail, op sommige pc's zijn zelfs games geïnstalleerd. We hebben een paar mobiele gebruikers, die vaak op locatie bij een klant zijn, dus ik geef hen niet echt de schuld.

Mede daardoor hebben we veel lokale beheerders.

Ik weet dat zowel het privégebruik als de beschikbaarheid van lokale beheerdersaccounts geen goede ideeën zijn, maar zo werd het afgehandeld voordat ik hier werkte en kan ik dit alleen wijzigen als ik geen traineeship meer heb;)

Bewerk: Ik denk dat alle geposte antwoorden relevant zijn, en ik weet ook dat een paar van de praktijken die we bij mijn bedrijf hebben, niet de beste zijn om mee te beginnen (lokale admin voor te veel mensen bijvoorbeeld).

Vanaf nu denk ik dat het meest bruikbare antwoord voor een discussie die van Ryder is. Hoewel het voorbeeld dat hij in zijn antwoord gaf, overdreven kan zijn, het heeft is gebeurd voordat een voormalige medewerker persoonlijke gegevens is vergeten. Ik vond onlangs een kleinhandelsexemplaar van het spel Runaway in een oude laptop en wij hadden een paar gevallen van resterende privé-afbeeldingen, ook.


111
2018-06-13 05:45


oorsprong


Je wilt niet het risico lopen om het niet te doen. Er kunnen te veel dingen fout gaan als je dat niet doet (en uiteindelijk zullen ze dat ook doen). - Mast
U geeft uw werknemers niet de schuld voor het spelen van games op bedrijfseigendom ... omdat ze dit doen wanneer ze bij uw klanten zijn? WTF? - Lightness Races in Orbit
@LightnessRacesinOrbit Nou, als je wekenlang in een hotel zit (soms zelfs in het weekend) en er is buiten het werk absoluut niets te doen, ja, ik denk dat dat acceptabel is. Ofc er zijn zorgen, maar in ieder geval houdt het moreel. Ook ik en ook mijn avondmaaltijden zijn vrij zeker dat het dwingen van mensen om misschien een laptop of tablet te kopen voor hun reizen ons zal schaden. Hier zijn een aantal redenen voor, het zou niet alleen lang duren om ze in te nemen, maar ook omdat mijn werkgever er slecht uit zou zien;) - ExNought
@ExoWork: Oh, buiten het werk, natuurlijk. Ik ben zelf meestal meerdere dagen per week op zakenreis en maak zeker gebruik van mijn werklaptop in die hotels! Maar je zei "op locatie bij een klant" dat is heel anders. - Lightness Races in Orbit
Ik zou zeker willen zeggen vanwege alle redenen die hier worden genoemd, maar er is nog een andere: als de computer kan worden gebruikt voor privégebruik, kan het illegaal zijn om iemand anders toegang te geven tot die gegevens als gevolg van gegevensbeschermingswetten (dit zou zeker kunnen zijn) problematisch in Duitsland, voor zover ik weet). Het formatteren van de schijf zorgt ervoor dat derden geen privégegevens krijgen. - DetlevCM


antwoorden:


Absoluut, dat zou je wel moeten doen. Het is niet alleen gezond verstand van een beveiligings-POV, het moet ook de praktijk zijn als een kwestie van bedrijfsethiek.

Laten we ons het volgende scenario voorstellen: Alice vertrekt en haar computer wordt overgedragen aan Bob. Bob wist het niet, maar Alice was bezig met illegale shota-porno en liet verschillende bestanden wegstoppen buiten haar profiel. IT wist haar profiel en niets anders, waaronder alleen haar browsegeschiedenis en lokale bestanden.

Op een dag bekijkt Bob de toeters en bellen op zijn glanzende nieuwe werkmachine, terwijl hij bij een Starbucks zit en nipt aan een latte. Hij strompelt over Alice's cache en klikt onschuldig op een bestand dat er vreemd uitziet. Plots zwiept elk hoofd in de winkel rond om met afgrijzen naar te kijken, terwijl de pc van Bob op een vol volume aan verschillende staats- en federale voorschriften voorbij gaat. Een klein meisje in de hoek begint te huilen.

Bob is gekrenkt. Na zes maanden van depressie en na te zijn ontslagen wegens zijn onbedoelde daad van openbare onzedelijkheid (en mogelijke strafrechtelijke aanklachten), ziet hij zichzelf als een echt krakend juridisch team en legt zijn voormalige werkgever afval neer met een waanzinnig schadelijke rechtszaak. Alice is in Thailand en ontsnapt aan uitlevering.


Misschien is dit allemaal iets meer dan het bleke, maar het kan absoluut gebeuren als je niet de tijd neemt om de actie van een voormalig werknemer te doorzoeken. Of u kunt tijd besparen, en opnieuw installeren vanuit het niets.


216
2018-06-13 06:37



@gerrit Het opnieuw installeren van Windows from Scratch betekent meestal ook een volledig formaat van de schijf. De enige manier waarop Bob de bestanden daarna terugkrijgt, is door forensische tools te gebruiken, en dat doe je meestal niet zonder een hele goede reden. - Nzall
Alice in Thailand helpt niet. Er is een TH-US-verbodswet. Probeer een ander land te kiezen. Notch Korea is mijn kandidaat;) - vasin1987
@ vasin1987 Alice's advocaat heeft net gebeld. Ze zei dat ze eigenlijk liever de rest van haar leven in een federale gevangenis zou doorbrengen dan in Pyongyang te blijven. Kan je iets regelen? - David Richerby
Wat gebeurt er nu? Ik moet weten! - FuriousFolder
Dit antwoord zou baat hebben bij een klein addendum waarin de goedkope kosten van een volledig wissen worden besproken als standaardprocedure, in tegenstelling tot 1. tijd om te bepalen of het nodig is om op elk apparaat van eigenaar te wisselen, en vervolgens 2. bepalen of het risico van iets dergelijks dit is de tijd waard die is bespaard. In de praktijk is het waarschijnlijk sneller (tijd = geld) om het gewoon te wissen dan om te proberen de gegevens van de vorige gebruiker op te sporen en te wissen, zelfs zonder rekening te houden met het risico. - jpmc26


U moet de computers zeker opnieuw instellen / opnieuw installeren. Er kunnen schadelijke programma's op staan ​​die het bedrijf in gevaar zouden brengen. Dat kunnen virussen of trojaanse paarden zijn of iets dat de ex-werknemer daar met opzet heeft achtergelaten (niet iedereen verlaat het goede voorwaarden). Alle redenen in het antwoord van @ axl zijn ook geldig.

Maak een momentopname / afbeelding / back-up van een pas geïnstalleerde computer met al uw gebruikelijke software die al is geïnstalleerd en gebruik deze op elke nieuwe of gerecyclede computer om uw leven gemakkelijker te maken. Handmatige herinstallatie is niet nodig.


43
2018-06-13 06:34



"Er kunnen schadelijke programma's op staan ​​die het bedrijf in gevaar brengen." Als het een laptop van het bedrijf is, had een werknemer al eerder vertrouwd om het te gebruiken. Als je een werknemer hebt die je netwerk kwaadwillend aanvalt, hebben ze al ruimschoots de gelegenheid gehad om van hun computer een niet-effectieve tactiek af te vegen. - jpmc26
Ik ontving een voormalige collega-laptop op mijn laatste werkplek. Ze hebben geen reinstalls of een 'standaard build' uitgevoerd. Ik had een vergelijkbare ervaring, maar niet van de soort pornografie. Uiteindelijk moest ik een indeling maken en mezelf opnieuw installeren omdat NIETS naar behoren werkte. De voormalige werknemer had het systeem volledig uitgespuwd om de dingen op de meest onbegrijpelijke manier te veranderen. - Mike McMahon
@ jpmc26 Niet helemaal. We hebben opzeggingen gehad waarvan we vermoedden dat ze iets wraakzuchtigs zouden kunnen doen na ze het nieuws te geven. We zouden dus proactief hun machtigingen van onze applicaties en ons netwerk intrekken. Dus hoewel ze mogelijk geen actieve toegang hadden, konden ze nog steeds malware of keyloggers bevatten die konden worden gebruikt zodra de computer of het apparaat door een andere werknemer in gebruik was. Onze zorg was ook niet dat ze ons netwerk zo kwaadwillig aanvielen als ze een baan bij een concurrent konden krijgen en toch toegang hadden tot gevoelige bedrijfsinformatie. - Bacon Brad


Ik ben geen IT-beheerder, maar mijn gevoel is dat je om een ​​aantal redenen opnieuw moet installeren:

  • Lokale beheerders kunnen eigenaar worden van de bestanden van de vorige gebruiker.

  • Het is minder waarschijnlijk dat u te maken krijgt met problemen die voortkomen uit systeemwijzigingen die door de oude gebruiker zijn aangebracht.

  • De persoonlijke applicaties van de oude gebruiker zouden nog steeds beschikbaar zijn in Program Files.

Als u geen lokale beheerders heeft en ze echt niets buiten hun thuismap kunnen wijzigen of openen, ben ik minder bezorgd, maar er is altijd voldoende schijfruimte om te overwegen.

Heeft u overwogen Ghost of een ander afbeeldingssysteem te gebruiken in plaats van alle software handmatig te installeren?


27
2018-06-13 06:19



Dat heb ik ook gedaan, maar dat is ook een van de dingen, dat was eerder handmatig gedaan en NOONE lijkt dat te willen veranderen. Het staat op de lijst van ToDo's zodra ik klaar ben met mijn stage;) - ExNought
Het kan enige tijd duren om mensen ervan te overtuigen dat er betere manieren zijn, vooral als er weinig of geen waargenomen pijn is. :) - axl


Als alle machines die u hanteert identiek zijn (of er zijn groepen identieke machines), maak dan eens een schone installatie, werk het besturingssysteem bij en installeer de basissoftware die de gebruikers nodig hebben. Maak vervolgens een HDD-afbeelding, die u kunt herstellen van het systeem in het geval van het opnieuw toewijzen van de machine aan een andere gebruiker, HDD-fout, virusinfectie, etc.

Het enige wat u hoeft te doen is gewoon de "schone installatie" HDD-inhoud van de schijfkopie herstellen en de Windows-productsleutel wijzigen als dit nodig is.

Als u de vaste schijven wilt beschermen tegen gebruikers die forensische hulpprogramma's gebruiken, gebruikt u een gereedschap voor gegevensvernietiging (bijvoorbeeld shred, beschikbaar in de meeste linux-distributies) op de harde schijf voordat u gegevens uit de afbeelding terugzet. Met ongeveer een uur werk kun je zelfs een live USB maken die de HDD vernietigt en deze vervolgens opnieuw vullen met gegevens uit de afbeelding.

Op deze manier kunt u uzelf behoorlijk wat werk besparen en tegelijkertijd de gegevens van gebruikers en bedrijven beschermen.


9
2018-06-13 12:49



Het maken van een image van een Windows-installatie op een directe schijf en deze op veel verschillende machines toepassen, kan problemen veroorzaken, vanwege iets dat de machine SID wordt genoemd. Om dit op de juiste manier te doen, moet u vóór het maken van de schijfimage een Windows-hulpprogramma met de naam sysprep en " generaliseer "het geïnstalleerde besturingssysteem. Houd er ook rekening mee dat u het aantal Windows-activeringen moet bijhouden, omdat sommige versies slechts zoveel activeringen toestaan, soms slechts vijf, en wanneer u opraakt, kunt u geen sysprep maken of het verder weergeven. slmgr / dlv toont resterende activeringen. - Dale Mahalko
@DaleMahalko Hoewel SysPrep vereist is en de ondersteunde manier om installaties te dupliceren, het is niet vanwege SID-duplicatie. - TessellatingHeckler
Zelfs als ze niet identiek zijn, is het eenvoudig om de pc-installatie tegenwoordig een scriptscript te geven. Dan heb je niet de pijn van verouderde afbeeldingen. - James Snell


Dit mist het beste antwoord ... noteer uw hardware als een bedrijfskost, en wanneer iemand weggaat, geef ze dan de laptop en koop een nieuwe schone; dit scheelt de meeste tijd en is een positieve manier om de balans tussen werk en privé te benaderen. Natuurlijk, als ze er maar een paar weken zijn geweest, is een reset waarschijnlijk het beste.


5
2018-06-15 16:03



"Noteer uw hardware als een bedrijfskost" maakt de kosten niet weg. Deze mindset is als het kopen van een nieuwe telefoon elke keer als de batterij leeg is. - Nex Terren
Niet het "beste" idee; slecht idee overal. U moet niet alleen de kosten van de hardware noteren, maar ook alle licenties van de andere software die daar is geïnstalleerd (sommige licenties zijn technisch gezien niet overdraagbaar). Ik ben niet op de hoogte van uw werkplek, maar bij mij, bijna alles heeft een aanduiding "Bedrijf vertrouwelijk" erop. Wil je dat waardevolle informatie de deur uitloopt of schrijf je dat ook op? Gaat ervan uit dat je op vriendelijke voorwaarden afscheid neemt. Als het oude HW is en met goede voorwaarden, "misschien" re-image dan weggeven; misschien aan liefdadigheidsinstelling versus werknemer (belastingkrediet! $$). - Ian W
@Ian W sommige software kan worden gedeactiveerd, waardoor de licentie wordt vrijgegeven voor een andere werknemer in het bedrijf (de meeste software die ik heb gezien, heeft deze optie voor zakelijke gebruikers). De vertrouwelijkheid van gegevens die op de harde schijf van de machine zijn opgeslagen, is echter een probleem. Je moet de inhoud van de schijf wissen / vernietigen. Dat maakt het schrijven van hardware natuurlijk een slechte manier om van het probleem af te komen (omdat je het probleem toch eerst moet oplossen). - Jakub
Bedrijven gebruiken al elke mogelijke uitgave als zakelijke kosten, "het afschrijven" doet niet wat je waarschijnlijk denkt dat het doet - het is niet als gratis geld, het bedrijf moet nog steeds nieuwe apparatuur (laptop) kopen en een bespaarde cent is een cent verdiend. Kan zijn Kramer kan het beter uitleggen (waarschijnlijk niet) - Xen2050


Ik heb persoonlijke ervaring met niet-vernieuwde pc's die virussen doorgeven aan nieuwe gebruikers. (En met ongewenste bestanden die het werk van een gebruiker overleeft, maar dat is een heel ander verhaal.)

Zoals Ushuru opmerkte, is het de beste manier om een ​​afbeelding opnieuw te maken in plaats van opnieuw te installeren. (En ja, je hebt sysprep nodig, maar niet vanwege SID's, zoals TesselatingHector zei.) Het hoeven geen identieke hardware te zijn; je kunt een groot aantal verschillende stuurprogramma's in je afbeelding opnemen en zelfs voeg nieuwe stuurprogramma's offline toe (als uw afbeelding een .wim is).

Er is een geheel  markt  sector van desktop  deployment  softwareen ik heb ook mensen hun eigen proces laten zien met back-upsoftware en een gespecialiseerde "back-up" -afbeelding herstellen.

Of u kunt het systeem opnieuw opbouwen als u het besturingssysteem graag wilt installeren. ;) Ik verveel me snel en geef de voorkeur aan automatisering.


5
2018-06-16 20:58





Het antwoord hierop hangt er echt van af of u medewerkers lokale beheerders van hun eigen computer laat zijn.

Over het algemeen heeft een gebruikersgroepaccount alleen schrijfrechten in zijn eigen profieldirectory en nergens anders op de harde schijf.

In dit geval kan de gebruiker geen wijzigingen in het systeem aanbrengen, waaronder het installeren of verwijderen van applicaties of het maken van verborgen bestanden of mappen buiten zijn profieldirectory.

Malware kan zichzelf mogelijk installeren, maar opnieuw alleen in het profiel van die gebruiker, meestal in AppData of Temp.

Voor deze beperkte gebruikers is een nieuw account volledig losgekoppeld van wat zich in het oude gebruikersprofiel bevond.


3
2018-06-13 10:17



"Malware kan zichzelf mogelijk installeren, maar opnieuw alleen in het profiel van die gebruiker" - tenzij het misbruik maakt van een escalatieprobleem met bevoegdheden. Dus zelfs zonder lokale beheerdersrechten blijft er een zeker risico. - user149408
Dit is niet relevant omdat dit soort problemen iedereen op elk moment kan beïnvloeden. Als een admin voor ongeveer 500 desktops, wis ik niet periodiek elke desktop van elke persoon om de zes maanden over een kleine zorg over een mogelijke malware die mogelijk aan de gebruikersbeveiligingsgroep zou kunnen ontsnappen. Als je ontdekt dat het gebeurd is, ga je ermee om, maar maak je daar anders geen zorgen over en laat de antivirus het verwerken. - Dale Mahalko
De medewerkers hebben fysieke controle over de laptop - tot het moment dat ze hem meenemen op reis. Als ze beheerdersrechten willen, krijgen ze die. - Andrew Henle
Stel dat iedereen met fysieke toegang tot een pc alles kan doen wat een beheerder kan doen. - Bill K


Ik zou er nooit aan denken om een ​​gebruikte pc aan een nieuwe werknemer te geven zonder op zijn minst een harde schijf te wissen. Als je redelijk veilig wilt zijn, vervang je de harde schijf volledig.

Wortelkits zijn extreem krachtig. Een rootkit is onbekend door het besturingssysteem en virusscanners omdat ze op een lager niveau zijn geïnstalleerd (ze laden het besturingssysteem feitelijk in en geven het besturingssysteem basisinformatie zoals wat er op de harde schijf staat, zodat ze zich heel effectief kunnen verbergen voor de OS). Sommigen installeren zichzelf zelfs in het BIOS van de harde schijf, waardoor ze extreem moeilijk te verwijderen zijn.

Enkelen kunnen zichzelf installeren in het BIOS van uw pc en nieuwe harde schijven opnieuw infecteren als ze zijn geïnstalleerd.

Als een ontevreden werknemer met zelfs milde hackvaardigheden echt zou willen, zouden ze een computer naar je kunnen terugsturen in een staat die je netwerk herhaaldelijk zou verwoesten, zelfs na een "Herformattering" van de harde schijf. Een goede zou het zo kunnen maken dat zelfs het vervangen van de harde schijf niet zou helpen.

Een echt getalenteerde hacker-medewerker kan een van deze technieken gebruiken om onbeperkte toegang te krijgen tot uw interne netwerksystemen en -gegevens. Op elk moment in de toekomst zou hij zich van buitenaf opnieuw kunnen verbinden - op een manier die bijna onmogelijk voor u zou zijn om te stoppen (aangezien de besmette computer waarschijnlijk zo nu en dan zal roepen en alle firewallbeveiliging zal omzeilen).

Gelukkig hebben de echt getalenteerde waarschijnlijk betere dingen te doen dan voor je bedrijf te werken.

Het antwoord van James, waar hij zegt: "Geef de computer aan de werknemer als hij weggaat" zou nu behoorlijk goed moeten klinken, maar eigenlijk, gewoon rukken en de HD versnipperen.


3
2018-06-16 21:42



Ik denk dat je gelijk hebt, de stappen van jou en James zijn degene met het minste risico voor een inbreuk op de beveiliging, maar dit is moeilijk om in het hoofd van sommige mensen te krijgen, vooral omdat ze niet bereid zijn om een ​​schone installatie voor nieuwe werknemers te doen in de eerste plaats;) Dat is nog een lange weg te gaan ... - ExNought
Misschien kunnen mensen worden verleid om een ​​veiligheidsseminarie te nemen. Er zijn ernstige gevolgen voor het niet serieus nemen van beveiliging. Hoeveel leidinggevenden in uw bedrijf zouden waarderen dat de inhoud van hun werkcomputer wordt geüpload naar het internet.? Ik noem dit gewoon omdat het recentelijk met het bedrijf van een vriend gebeurde. Mijn werknetwerk is volledig losgekoppeld van het internet en ingehuurde hackers waren nog steeds in staat om binnen te dringen via laptops die geïnfecteerd waren toen ze op internet waren aangesloten en vervolgens naar ons losgekoppelde netwerk werden gebracht. Het gebeurt! - Bill K
@BillK +1! Ik ben het er helemaal mee eens. De beste route voor beveiliging is om uitschot de stations, flash het BIOS opnieuw en installeer een nieuwe. Afgezien van de veiligheid, is er nog steeds de kwestie van de privacy van uw collega's, wat een heel andere overweging is en die niet onderworpen hoeft te worden aan een kosten-batenanalyse. Dat is de reden waarom ik zou beweren dat een reimage, of wissen en opnieuw installeren een Beste oefeningen het schijfgedeelte van een robuust beveiligingsbeleid versnipperen (en dat kan worden beoordeeld tegen de kosten). - Ryder
@ Ryder overeengekomen. Als de mensen over uw bedrijf zich zorgen maken over de kosten van het vernietigen van een schijfeenheid versus een nieuwe afbeelding, haal dan FAST uit. Ofwel er is een verbazingwekkend hoge omzet of ze gaan kapot, hoe dan ook, dat zal op de lange termijn geen geweldige plek zijn om te verblijven. (bare-bones-startups kunnen een uitzondering zijn, maar misschien ook niet). - Bill K