Question Meilleure pratique: Devrais-je toujours installer un nouveau système d'exploitation pour les nouveaux employés?


J'ai eu une dispute avec un supérieur à ce sujet. Bien qu'à première vue, l'utilisateur précédent d'un ordinateur portable ne travaille que dans ses propres dossiers de documents, dois-je toujours installer un nouveau système d'exploitation pour le prochain utilisateur ou la suppression de l'ancien profil suffit-elle? Le logiciel installé est surtout utilisé par le prochain utilisateur.

Je pense qu’une installation est nécessaire, mais à part mes propres arguments concernant les virus et les données privées, quelles sont les raisons de le faire?

Dans notre entreprise, il est autorisé d’utiliser le PC, par exemple. courrier privé, sur certains PC sont même des jeux installés. Nous avons des utilisateurs un peu mobiles, qui sont souvent sur site chez un client, alors je ne les en blâme pas vraiment.

Aussi, à cause de cela, nous avons beaucoup d'administrateurs locaux.

Je sais que l'utilisation privée et la disponibilité des comptes d'administrateur locaux ne sont pas de bonnes idées, mais c'est comme ça que c'était géré avant de travailler ici et je ne peux changer cela une fois mon stage terminé;)

modifier: Je pense que toutes les réponses postées sont pertinentes et je sais aussi que certaines des pratiques de notre entreprise ne sont pas les meilleures pour commencer (administrateur local pour trop de personnes, par exemple;).

Pour le moment, je pense que la réponse la plus utilisable pour une discussion serait celle de Ryder. Bien que l’exemple donné dans sa réponse soit peut-être exagéré, il a arrivé avant qu'un ancien employé ait oublié des données privées. J'ai récemment trouvé une copie du jeu Runaway dans un ancien ordinateur portable et nous avons eu quelques cas d'images privées restantes.


111
2018-06-13 05:45


origine


Vous ne voulez pas risquer de ne pas le faire. Trop de choses peuvent mal tourner si vous ne le faites pas (et éventuellement, elles le feront). - Mast
Vous ne blâmez pas vos employés de jouer à des jeux dans les locaux de l'entreprise ... parce qu'ils le font quand ils sont avec vos clients? WTF? - Lightness Races in Orbit
@ LightnessRacesinOrbit Eh bien, si vous êtes dans un hôtel pendant des semaines (parfois même les week-ends), et qu'il n'y a absolument rien à faire en dehors du travail, oui, je pense que c'est acceptable. Bien sûr, il y a des préoccupations, mais au moins, cela maintient le moral. De plus, mes soupers et moi-même sommes pratiquement certains que le fait de forcer les gens à acheter un ordinateur portable ou une tablette pour leur voyage nous nuira. Il y a un certain nombre de raisons à cela, les aborder toutes prendrait non seulement trop de temps, mais ferait aussi mal paraître mon employeur;) - ExNought
@ExoWork: Oh, en dehors du travail, bien sûr. En général, je suis moi-même en voyage d’affaires plusieurs jours et plusieurs nuits par semaine et j’utilise certainement mon ordinateur portable dans ces hôtels! Mais vous avez dit "sur site chez un client" ce qui est très différent. - Lightness Races in Orbit
Je dirais certainement pour toutes les raisons énumérées ici, mais il y en a une autre: si l'ordinateur peut être utilisé à des fins privées, il peut être illégal de donner à quelqu'un d'autre l'accès à ces données en raison des lois sur la protection des données problématique en Allemagne pour autant que je sache). Le formatage du disque garantit qu'aucun tiers ne reçoit de données privées. - DetlevCM


Réponses:


Absolument vous devriez. Ce n’est pas seulement du bon sens pour un point de vue de sécurité, cela doit également être une pratique relevant de l’éthique des affaires.

Imaginons le scénario suivant: Alice s'en va et son ordinateur est transféré à Bob. Bob ne le savait pas, mais Alice était dans le tournage illégal de pornographie et a laissé plusieurs fichiers en marge de son profil. Elle nettoie son profil et rien d’autre, qui ne comprenait que son historique de navigation et ses fichiers locaux.

Un jour, Bob vérifie les cloches et les sifflets de sa nouvelle machine de travail brillante, assis devant un Starbucks et sirotant un café au lait. Il tombe dans le cache d'Alice et clique innocemment sur un fichier qui a l'air étrange. Soudainement, chaque tête dans le magasin fouille pour regarder avec horreur le PC de Bob bafouer plusieurs réglementations étatiques et fédérales à plein volume. Une petite fille dans le coin se met à pleurer.

Bob est mortifié. Après six mois de dépression et après avoir été congédié pour son indécence publique involontaire (et d'éventuelles accusations criminelles), il se trouve être une véritable équipe de juristes et licencie son ancien employeur avec un procès scandaleusement dommageable. Alice est en Thaïlande et échappe à l'extradition.


Tout cela est peut-être un peu au-delà de tout, mais cela pourrait arriver si vous ne prenez pas le temps de parcourir toutes les actions d'un ancien employé. Ou vous pourriez gagner du temps, et réinstaller à partir de zéro.


216
2018-06-13 06:37



@gerrit Réinstaller Windows à partir de zéro implique généralement un format complet du disque. La seule façon pour Bob de récupérer les fichiers après cela est d'utiliser des outils d'investigation, ce que vous ne faites généralement pas sans une très bonne raison. - Nzall
Alice en Thaïlande n'aide pas. Il y a la loi d'extradiction TH-US. Essayez de choisir un pays Notch Korea est mon candidat;) - vasin1987
@ vasin1987 l'avocat d'Alice vient d'appeler. En fait, elle aurait préféré passer le reste de sa vie dans une prison fédérale plutôt que de rester à Pyongyang. Pouvez-vous organiser quelque chose? - David Richerby
Qu'est-ce qui se passe ensuite? J'ai besoin de savoir! - FuriousFolder
Cette réponse gagnerait à un petit addendum sur le coût peu coûteux d’une opération d’effacement complète en tant que procédure standard, par opposition à 1. passer du temps à déterminer s’il est nécessaire que chaque machine change de main, puis 2. à déterminer si le risque de quelque chose comme ça cela vaut le temps gagné. En pratique, il est probablement plus rapide (temps = argent) de simplement l'effacer que d'essayer de traquer et d'effacer les données de l'utilisateur précédent, même en négligeant le risque. - jpmc26


Vous devez absolument réinitialiser / réinstaller les ordinateurs. Il pourrait y avoir des programmes malveillants qui mettraient l'entreprise en danger. Il peut s'agir de virus ou de chevaux de Troie ou de quelque chose que l'ancien employé a quitté là intentionnellement (tout le monde ne part pas en bons termes). Toutes les raisons de la réponse de @ axl sont également valables.

Pour vous simplifier la vie, créez un instantané / une image / une sauvegarde d'un ordinateur fraîchement installé avec tous vos logiciels habituels déjà installés et insérez-le simplement sur chaque ordinateur neuf ou recyclé. Aucune réinstallation manuelle nécessaire.


43
2018-06-13 06:34



"Il pourrait y avoir des programmes malveillants qui mettraient l’entreprise en danger." S'il s'agit d'un ordinateur portable d'entreprise, il était déjà demandé à un employé de l'utiliser avant. Si un de vos employés s’attaque de manière malveillante à votre réseau, il a déjà eu amplement l’occasion de faire de l’essuyage de sa machine une tactique inefficace. - jpmc26
J'ai reçu un ancien ordinateur portable de collègues de travail à mon dernier emploi. Ils n'ont pas réinstallé ni ont une "version standard". J'ai eu une expérience similaire mais pas du genre pornographie. J'ai fini par avoir à faire un format et à réinstaller moi-même car rien ne fonctionnait correctement. L'ancien employé avait complètement arrêté le système en essayant de régler les choses de la manière la plus incompréhensible. - Mike McMahon
@ jpmc26 Pas complètement. Nous avons eu des licenciements où nous soupçonnions qu'ils pouvaient faire quelque chose de vindicatif après leur donner les nouvelles. Nous révoquerions donc de manière proactive leurs autorisations de nos applications et de notre réseau. Ainsi, même s’ils n’avaient peut-être pas un accès actif, ils pouvaient néanmoins incorporer des programmes malveillants ou des enregistreurs de frappe qui pourraient être utilisés une fois l’ordinateur ou le périphérique utilisé par un autre employé. De plus, notre préoccupation n'était pas qu'ils attaquent notre réseau avec malveillance, autant qu'ils pourraient obtenir un emploi chez un concurrent tout en ayant accès aux informations sensibles de l'entreprise. - Bacon Brad


Je ne suis pas un administrateur informatique, mais j’ai le sentiment que vous devriez réinstaller pour deux raisons:

  • Les administrateurs locaux peuvent s'approprier les fichiers de l'utilisateur précédent.

  • Vous êtes moins susceptible de devoir faire face à des problèmes résultant de modifications apportées au système par l'ancien utilisateur.

  • Les applications personnelles de l'ancien utilisateur seraient toujours disponibles dans Program Files.

Si vous n'avez pas d'administrateurs locaux et qu'ils ne peuvent vraiment pas modifier ou accéder à quoi que ce soit en dehors de leur dossier de départ, je serais moins inquiet, mais il y a toujours de l'espace disque à considérer.

Avez-vous envisagé d'utiliser Ghost ou un autre système d'imagerie au lieu d'installer manuellement tous les logiciels?


27
2018-06-13 06:19



En fait, je l’ai fait, mais c’est aussi l’une des choses qui a été faite manuellement auparavant et NOONE semble vouloir changer cela. Il est sur la liste des tâches une fois mon stage terminé;) - ExNought
Il faut parfois un certain temps pour convaincre les gens qu'il existe de meilleures méthodes, en particulier si la douleur perçue est faible ou nulle. :) - axl


Si toutes les machines que vous manipulez sont identiques (ou s'il existe des groupes de machines identiques), effectuez une nouvelle installation, mettez à jour le système d'exploitation et installez les logiciels de base dont les utilisateurs auront besoin. Créez ensuite une image de disque dur, à partir de laquelle vous pourrez restaurer le système en cas de réaffectation de la machine à un autre utilisateur, de défaillance du disque dur, d’infection virale, etc.

Tout ce que vous avez à faire est simplement de restaurer le contenu du disque dur "d'installation propre" à partir d'une image disque et de modifier la clé de produit Windows si nécessaire.

Si vous souhaitez protéger les disques durs contre les utilisateurs utilisant des outils d'investigation, utilisez un outil de déchiquetage de données (par exemple, shred, disponible dans la plupart des distributions Linux) sur le disque dur avant de restaurer les données de l'image. Avec environ une heure de travail, vous pouvez même préparer une clé USB qui déchiquetera le disque dur, puis le remplira de nouveau avec les données de l'image.

De cette façon, vous épargnerez beaucoup de travail tout en protégeant les données des utilisateurs et de la société.


9
2018-06-13 12:49



Créer une image de lecteur directe d’une installation Windows et l’appliquer à de nombreuses machines différentes peut causer des problèmes, dus à un nom appelé SID de la machine. Pour le faire correctement, avant de créer l’image de lecteur, vous devez exécuter un utilitaire Windows appelé sysprep et " généraliser "le système d'exploitation installé. Veuillez également noter que vous devez suivre le nombre d'activations de Windows, car certaines versions n'autorisent que de nombreuses activations, parfois même cinq, et lorsque vous manquez, vous ne pouvez plus utiliser sysprep ou une image. slmgr / dlv affiche les activations restantes. - Dale Mahalko
@DaleMahalko Bien que SysPrep soit requis et que la manière prise en charge de dupliquer les installations, ce n'est pas à cause de la duplication de SID. - TessellatingHeckler
Même si elles ne sont pas identiques, il est facile de créer un script pour l'installation d'un ordinateur ces jours-ci. Ensuite, vous n'avez pas la douleur des images obsolètes. - James Snell


Il manque la meilleure réponse ... écrivez votre matériel en tant que coût professionnel, et lorsque quelqu'un quitte, donnez-lui l'ordinateur portable et achetez-en un nouveau; cela permet de gagner le plus de temps possible et constitue une manière positive d'aborder l'équilibre travail-vie personnelle. Bien sûr, s'ils ne sont là que depuis quelques semaines, une réinitialisation est probablement préférable.


5
2018-06-15 16:03



"Notez votre matériel en tant que coût commercial" ne fait pas disparaître le coût. Cet état d’esprit revient à acheter un nouveau téléphone chaque fois que votre batterie est à court de batterie. - Nex Terren
Pas la "meilleure" idée; mauvaise idée tout autour. Vous devez noter non seulement le coût du matériel, mais également toutes les licences des autres logiciels installés à cet emplacement (certaines licences peuvent techniquement ne pas être transférables). Je ne connais pas votre lieu de travail mais chez moi, presque tout porte la désignation "Société confidentielle". Souhaitez-vous que cette information précieuse passe par la porte ou l'écrivez-vous aussi? Suppose que vous vous séparez en termes amicaux. Si c'est du vieux hard et en bons termes, "peut-être" re-image puis donner; peut-être à la charité vs employé (crédit d'impôt! $$). - Ian W
@Ian W, certains logiciels peuvent être désactivés, ce qui libère la licence pour un autre employé de l'entreprise (la plupart des logiciels que j'ai vus offrent cette option aux utilisateurs professionnels). La confidentialité des données stockées sur le disque dur de la machine est en revanche un problème. Vous devriez effacer / déchiqueter / le contenu du disque. Cela fait bien sûr que l’écriture de matériel est un mauvais moyen de se débarrasser du problème (car il faut d’abord résoudre le problème). - Jakub
Les entreprises utilisent déjà toutes les dépenses possibles en tant que dépense d'entreprise; "les écarter" ne fait pas ce que vous pensez probablement - ce n'est pas comme de l'argent gratuit, l'entreprise doit toujours acheter un nouvel équipement (ordinateur portable) et un sou économisé est un centime gagné. Peut être Kramer peut mieux l'expliquer (probablement pas) - Xen2050


J'ai une expérience personnelle avec des PC non réimagés transmettant des virus à de nouveaux utilisateurs. (Et avec des fichiers indésirables perdant la vie d'un utilisateur, mais c'est une toute autre histoire.)

Comme Ushuru l'a souligné, la meilleure pratique consiste à réimager plutôt qu'à réinstaller. (Et oui, vous avez besoin de sysprep, mais pas à cause des SID, comme l'a dit TesselatingHector.) Ils ne doivent pas nécessairement être du matériel identique; vous pouvez inclure une grande variété de pilotes dans votre image et même ajouter de nouveaux pilotes hors ligne (si votre image est un .wim).

Il y a un entier  marché  secteur de bureau  déploiement  Logiciel, et j’ai aussi vu des gens lancer leur propre processus avec un logiciel de sauvegarde et restaurer une image "de sauvegarde" spécialisée.

Vous pouvez également reconstruire le système si vous aimez installer le système d'exploitation. ;) Je m'ennuie facilement et préfère automatiser.


5
2018-06-16 20:58





La réponse à cette question dépend vraiment de savoir si vous autorisez les employés à être les administrateurs locaux de leur propre ordinateur.

En général, un compte de groupe d'utilisateurs n'a le droit d'écriture que dans son propre répertoire de profil et nulle part ailleurs sur le disque dur.

Dans ce cas, aucune modification ne peut être apportée au système par l'utilisateur, y compris l'installation ou la suppression d'applications, ou la création de fichiers ou de répertoires cachés en dehors de leur répertoire de profil.

Un logiciel malveillant peut potentiellement s'installer lui-même, mais encore une fois uniquement dans le profil de cet utilisateur, généralement dans AppData ou Temp.

Pour ces utilisateurs restreints, un nouveau compte est complètement déconnecté de l'ancien profil de l'utilisateur.


3
2018-06-13 10:17



"Un logiciel malveillant peut potentiellement s'installer lui-même, mais encore une fois uniquement dans le profil de cet utilisateur", à moins qu'il exploite une vulnérabilité d'élévation de privilèges. Ainsi, même sans droits d'administrateur local, un certain risque demeure. - user149408
Ce n'est pas pertinent, car ce type de problème peut toucher n'importe qui à tout moment. En tant qu'administrateur pour environ 500 postes de travail, je n'efface pas périodiquement le poste de travail de chaque personne tous les six mois en raison d'un problème mineur lié à un éventuel programme malveillant pouvant éventuellement échapper au groupe de sécurité des utilisateurs. Si vous découvrez que cela est arrivé, vous vous en occuperez, mais sinon, ne vous inquiétez pas et laissez l’antivirus le gérer. - Dale Mahalko
Les employés ont le contrôle physique de l'ordinateur portable, au point de l'apporter avec eux lors de leurs déplacements. S'ils veulent un accès administrateur, ils l'obtiendront. - Andrew Henle
Supposons que toute personne ayant un accès physique à un PC puisse faire tout ce qu'un administrateur peut faire. - Bill K


Je ne rêverais même jamais de donner un ordinateur usagé à un nouvel employé sans au moins un disque dur. Si vous voulez être assez sûr, remplacez complètement le disque dur.

Les kits de racines sont extrêmement puissants. Le système d'exploitation et les analyseurs de virus ne connaissent pas de kit racine, car ils sont installés à un niveau inférieur (ils chargent en fait le système d'exploitation et lui donnent des informations de base telles que celles qui se trouvent sur le disque dur, de sorte qu'ils peuvent très efficacement se cacher du OS). Certains s'installent même dans le BIOS du disque dur, ce qui les rend extrêmement difficiles à éliminer.

Quelques-uns peuvent s'installer dans le BIOS de votre PC et réinfecter les nouveaux disques durs à mesure qu'ils sont installés.

Si un employé mécontent, même doué en compétences de piratage informatique, le souhaitait vraiment, il pourrait vous restituer un ordinateur dans un état dévastateur, même après un disque dur "Reformat". Une bonne solution pourrait faire en sorte que même le remplacement du disque dur ne soit d'aucun secours.

Un pirate-employé très talentueux pourrait utiliser l'une de ces techniques pour obtenir un accès illimité à vos systèmes et données de réseau internes. À tout moment dans le futur, il pourrait se reconnecter de l'extérieur - d'une manière qu'il serait presque impossible pour vous de vous arrêter (car l'ordinateur infecté est susceptible d'appeler de temps en temps et de contourner toute la sécurité du pare-feu).

Heureusement, les plus talentueux ont probablement mieux à faire que de travailler pour votre entreprise.

La réponse de James dans laquelle il dit "Donnez l'ordinateur à l'employé quand il partira" devrait sembler assez bonne en ce moment, mais vraiment, tirez et déchiquetez la HD.


3
2018-06-16 21:42



Je pense que vous avez raison, vos démarches et celles de James sont celles qui comportent le moins de risques d'infraction à la sécurité, mais il est difficile d'inscrire certaines personnes dans la tête, en particulier dans la mesure où elles ne souhaitent pas effectuer une nouvelle installation pour les nouveaux employés. en premier lieu;) C'est encore un long chemin à parcourir ... - ExNought
Peut-être que les gens pourraient être incités à prendre un séminaire sur la sécurité. Il y a de graves conséquences à ne pas prendre la sécurité au sérieux. Combien de dirigeants de votre entreprise apprécieraient que le contenu de leur ordinateur de travail soit chargé sur Internet? Je viens de mentionner cela parce que c'est arrivé à la compagnie d'un ami récemment. Mon réseau de travail est complètement déconnecté d’Internet et les pirates embauchés étaient toujours en mesure d’entrer via des ordinateurs portables infectés lorsqu’ils étaient connectés à Internet, puis intégrés dans notre réseau déconnecté. Ça arrive! - Bill K
@ BillK +1! Je suis entièrement d'accord. Le meilleur moyen de sécurité est de poubelle les lecteurs, re-flasher le BIOS et installer un nouveau. Outre la sécurité, il reste encore la question de la vie privée de vos collègues, qui est une considération très différente et qui ne devrait pas être soumise à une analyse coûts-avantages. C’est la raison pour laquelle j’affirmerais qu’un reimage, ou un effacement et une réinstallation devraient être une Meilleur entrainementet déchiqueter la partie disque d’une politique de sécurité robuste (et cette peut être évalué par rapport au coût). - Ryder
@ Ryder a accepté. De plus, si les gens de votre entreprise s’inquiètent du coût de la destruction d’un lecteur par rapport à une nouvelle imagerie, sortez rapidement. Soit il ya un roulement étonnamment élevé, soit ils font faillite, de toute façon ce ne sera pas un bon endroit pour rester à long terme. (les startups nues peuvent être une exception, mais peut-être pas). - Bill K