Best Practice: Soll ich für neue Mitarbeiter immer ein neues Betriebssystem installieren?

112

Ich hatte einen Streit mit einem Vorgesetzten darüber. Obwohl der vorherige Benutzer eines Laptops auf den ersten Blick nur in seinen eigenen Dokumentenordnern arbeitete, sollte ich immer ein neues Betriebssystem für den nächsten Benutzer installieren oder reicht es aus, das alte Profil zu löschen? Die installierte Software wird meist auch vom nächsten Benutzer benötigt.

Ich denke, eine Installation ist erforderlich, aber außer meinem eigenen Argument von Viren und privaten Daten, welche Gründe gibt es dafür?

Bei uns ist es erlaubt, den PC für zB private Post zu nutzen, auf einigen PCs sind sogar Spiele installiert. Wir haben ein bisschen mobile Benutzer, die oft vor Ort bei einem Kunden sind, also beschuldige ich sie nicht wirklich.

Auch deswegen haben wir viele lokale Administratoren da draußen.

Ich weiß, dass sowohl die private Nutzung als auch die Verfügbarkeit von lokalen Administratorkonten keine guten Ideen sind, aber so wurde es gehandhabt, bevor ich hier gearbeitet habe, und ich kann das nur ändern, wenn ich kein Praktikum habe;)

Bearbeiten : Ich denke, dass alle Antworten relevant sind, und ich weiß auch, dass einige der Praktiken, die wir in meinem Unternehmen haben, nicht die besten sind (z. B. der lokale Administrator für zu viele Leute;).

Ab sofort denke ich, dass die nützlichste Antwort für eine Diskussion die von Ryder ist. Obwohl das Beispiel , das er in seiner Antwort gab übertrieben sein mag, es ist geschehen , bevor dass ein ehemaliger Mitarbeiter private Daten vergessen hat. Ich habe kürzlich eine Verkaufsversion des Spiels Runaway in einem alten Laptop gefunden und wir hatten auch ein paar Fälle von verbleibenden privaten Bildern.

windows installation best-practices operating-system ExNought
quelle
31
Sie wollen nicht riskieren, es nicht zu tun. Zu viele Dinge können schief gehen, wenn Sie dies nicht tun (und sie werden es schließlich tun).
Mast
4
Sie beschuldigen Ihre Mitarbeiter nicht, Spiele auf dem Firmengelände zu spielen ... weil sie dies bei Ihren Kunden tun? WTF?
Leichtigkeitsrennen im Orbit
24
@LightnessRacesinOrbit Nun, wenn Sie wochenlang in einem Hotel sind (manchmal sogar am Wochenende) und es außerhalb der Arbeit absolut nichts zu tun gibt, denke ich, dass das akzeptabel ist. Natürlich gibt es Bedenken, aber zumindest hält es die Moral aufrecht. Auch ich und auch meine Abendmahlsleute sind ziemlich sicher, dass es uns schaden wird, wenn wir Menschen dazu zwingen, für ihre Reisen einen Laptop oder ein Tablet zu kaufen. Es gibt eine Reihe von Gründen, die nicht nur zu lange dauern, sondern auch dazu führen würden, dass mein Arbeitgeber schlecht aussieht;)
ExNought
3
@ExoWork: Oh, außerhalb der Arbeit, klar. Ich selbst bin in der Regel mehrere Tage und Nächte in der Woche auf Geschäftsreise und nutze meinen Arbeitslaptop in diesen Hotels auf jeden Fall gut! Aber Sie sagten "vor Ort bei einem Kunden", was ganz anders ist.
Leichtigkeitsrennen im Orbit
8
Ich würde definitiv aus allen hier aufgeführten Gründen sagen, aber es gibt noch einen anderen: Wenn der Computer für den privaten Gebrauch verwendet werden kann, kann es aus datenschutzrechtlichen Gründen illegal sein, jemand anderem Zugriff auf diese Daten zu gewähren (dies könnte definitiv der Fall sein) Soweit mir bekannt ist, ist dies in Deutschland problematisch. Durch das Formatieren des Laufwerks wird sichergestellt, dass keine privaten Daten an Dritte weitergegeben werden.
DetlevCM

Antworten:

217

Das solltest du unbedingt. Es ist nicht nur der gesunde Menschenverstand eines Sicherheitspersonals, sondern sollte auch eine Angelegenheit der Geschäftsethik sein.

Stellen wir uns folgendes Szenario vor: Alice geht und ihr Computer wird auf Bob übertragen. Bob wusste es nicht, aber Alice mochte illegalen Shota-Porno und ließ mehrere Dateien außerhalb ihres Profils. IT löscht ihr Profil und nichts anderes, was nur ihren Browserverlauf und lokale Dateien beinhaltete.

Eines Tages überprüft Bob die Schnickschnack seiner glänzenden neuen Arbeitsmaschine, während er bei einem Starbucks ™ sitzt und an einer Latte nippt. Er stolpert über Alices Cache und klickt unschuldig auf eine Datei, die seltsam aussieht. Plötzlich peitscht jeder Kopf im Laden herum und sieht entsetzt zu, wie Bobs PC mit voller Lautstärke gegen verschiedene staatliche und bundesstaatliche Vorschriften verstößt. Ein kleines Mädchen in der Ecke fängt an zu weinen.

Bob ist beschämt. Nach sechs Monaten Depression und nachdem er wegen seiner unbeabsichtigten öffentlichen Unanständigkeit (und möglicher strafrechtlicher Anklagen) entlassen wurde, findet er sich in einem wirklich verdammten Rechtsteam wieder und verurteilt seinen ehemaligen Arbeitgeber mit einer entsetzlich schädlichen Klage. Alice ist in Thailand und entkommt der Auslieferung.

Vielleicht ist das alles ein bisschen zu blass, aber es kann durchaus vorkommen, dass Sie sich nicht die Zeit nehmen, jede Handlung eines ehemaligen Mitarbeiters zu durchforsten. Sie können auch Zeit sparen und eine Neuinstallation durchführen.

Ryder
quelle
30
@gerrit Wenn Sie Windows von Grund auf neu installieren, wird in der Regel auch ein vollständiges Format der Festplatte vorausgesetzt. Der einzige Weg, auf dem Bob die Dateien zurückbekommt, ist das Ausführen von forensischen Tools, und das tun Sie normalerweise nicht ohne einen sehr guten Grund.
Nzall
10
Alice in Thailand hilft nicht. Es gibt das Auslieferungsgesetz der TH-USA . Versuchen Sie, ein anderes Land auszuwählen. Notch Korea ist mein Kandidat;)
Vasin1987
37
@ Vasin1987 Alices Anwalt hat gerade angerufen. Sie sagte, dass sie eigentlich lieber den Rest ihres Lebens in einem Bundesgefängnis verbringen würde, als in Pjöngjang zu bleiben. Können Sie etwas arrangieren?
David Richerby
40
Was passiert als nächstes? Ich muss wissen!
FuriousFolder
13
Diese Antwort würde von einem kleinen Nachtrag profitieren, in dem die billigen Kosten für das Ausführen eines vollständigen Löschvorgangs als Standard-Betriebsverfahren besprochen werden, anstatt 1. Zeit damit zu verbringen, festzustellen, ob auf jeder Maschine ein Wechsel erforderlich ist, und 2. zu bestimmen, ob das Risiko von etwas ähnlichem besteht das ist die Zeit wert, die gespart wurde. In der Praxis ist es wahrscheinlich schneller (Zeit = Geld), es einfach zu löschen, als zu versuchen, die Daten des vorherigen Benutzers aufzuspüren und zu löschen, auch ohne Rücksicht auf das Risiko.
jpmc26
43

Sie sollten die Computer auf jeden Fall zurücksetzen / neu installieren. Es könnte schädliche Programme geben, die das Geschäft gefährden könnten. Dies können Viren oder Trojaner sein oder etwas, das der ehemalige Mitarbeiter absichtlich dort gelassen hat (nicht jeder geht zu guten Konditionen). Alle Gründe in der Antwort von @ axl sind ebenfalls gültig.

Um Ihnen das Leben zu erleichtern, erstellen Sie eine Momentaufnahme / ein Image / eine Sicherungskopie eines frisch installierten Computers, auf dem Ihre übliche Software bereits installiert ist, und übertragen Sie diese einfach auf jeden neuen oder recycelten Computer. Keine manuelle Neuinstallation erforderlich.

Silent-Bob
quelle
"Es könnte schädliche Programme geben, die das Geschäft gefährden." Wenn es sich um einen Firmen-Laptop handelt, wurde einem Mitarbeiter bereits zuvor vertraut, dass er ihn verwendet. Wenn ein Mitarbeiter Ihr Netzwerk in böswilliger Absicht angreift, hatte er bereits ausreichend Gelegenheit, das Löschen nur seines Computers zu einer ineffektiven Taktik zu machen.
jpmc26
4
Ich habe an meinem letzten Arbeitsplatz einen ehemaligen Mitarbeiter-Laptop erhalten. Sie haben weder eine Neuinstallation noch eine "Standard-Version" durchgeführt. Ich hatte eine ähnliche Erfahrung, aber keine pornografische. Am Ende musste ich ein Format erstellen und mich neu installieren, da NICHTS richtig funktionierte. Der ehemalige Angestellte hatte das System komplett abgespritzt und versucht, die Dinge auf die unverständlichste Weise zu optimieren.
Mike McMahon
@ jpmc26 Nicht ganz. Wir hatten Kündigungen, bei denen wir vermuteten, dass sie etwas Rachsüchtiges tun könnten, nachdem wir ihnen die Neuigkeiten mitgeteilt hatten. Daher würden wir ihre Berechtigungen für unsere Anwendungen und unser Netzwerk proaktiv widerrufen. Während sie möglicherweise keinen aktiven Zugriff hatten, konnten sie dennoch Malware oder Keylogger einbinden, die verwendet werden konnten, sobald der Computer oder das Gerät von einem anderen Mitarbeiter verwendet wurde. Es ging uns auch nicht darum, dass sie unser Netzwerk böswillig angreifen, sondern dass sie einen Job bei einem Mitbewerber bekommen und trotzdem Zugang zu vertraulichen Unternehmensinformationen haben.
Bacon Brad
27

Ich bin kein IT-Administrator, aber ich bin der Meinung, dass Sie aus mehreren Gründen eine Neuinstallation durchführen sollten:

  • Lokale Administratoren können Eigentümer der Dateien des vorherigen Benutzers werden.

  • Es ist weniger wahrscheinlich, dass Sie Probleme haben, die sich aus Systemänderungen des alten Benutzers ergeben.

  • Die persönlichen Anwendungen des alten Benutzers sind weiterhin in den Programmdateien verfügbar.

Wenn Sie keine lokalen Administratoren haben und diese wirklich nichts außerhalb ihres Basisordners ändern oder darauf zugreifen können, wäre ich weniger besorgt, aber es gibt immer Speicherplatz, der berücksichtigt werden muss.

Haben Sie darüber nachgedacht, Ghost oder ein anderes Imaging-System zu verwenden, anstatt die gesamte Software manuell zu installieren?

axl
quelle
1
Ich habe es tatsächlich getan, aber das ist auch eines der Dinge, die zuvor manuell gemacht wurden, und niemand scheint das ändern zu wollen. Es ist auf der Liste von ToDo, sobald ich mit meinem Praktikum fertig bin;)
ExNought
1
Es kann einige Zeit dauern, um die Menschen davon zu überzeugen, dass es bessere Möglichkeiten gibt, insbesondere wenn kaum oder gar keine Schmerzen zu spüren sind. :)
Axl
9

Wenn alle von Ihnen gehandhabten Computer identisch sind (oder Gruppen identischer Computer vorhanden sind), führen Sie eine einmalige Neuinstallation durch, aktualisieren Sie das Betriebssystem und installieren Sie die Basissoftware, die die Benutzer benötigen. Erstellen Sie dann ein HDD-Image, von dem Sie das System wiederherstellen können, wenn das Gerät einem anderen Benutzer zugewiesen wurde, ein HDD-Fehler aufgetreten ist, ein Virus aufgetreten ist usw.

Alles, was Sie tun müssen, ist, die "Neuinstallation" der Festplatteninhalte vom Disk-Image wiederherzustellen und den Windows-Produktschlüssel zu ändern, falls dies erforderlich ist.

Wenn Sie die Festplatten mit forensischen Tools vor Benutzern schützen möchten, verwenden Sie ein Datenvernichtungsprogramm (z. B. shred, das in den meisten Linux-Distributionen verfügbar ist) auf der Festplatte, bevor Sie Daten aus dem Image darauf wiederherstellen. Mit einer Arbeitsstunde können Sie sogar einen Live-USB-Stick vorbereiten, der die Festplatte zerkleinert und sie dann mit Daten aus dem Image auffüllt.

Auf diese Weise können Sie sich eine Menge Arbeit sparen und gleichzeitig die Daten von Benutzern und Unternehmen schützen.

Jakub
quelle
1
Das Erstellen eines direkten Laufwerksabbilds einer Windows-Installation und das Anwenden auf viele verschiedene Computer kann aufgrund der sogenannten Computer-SID zu Problemen führen. Um dies korrekt auszuführen, müssen Sie vor dem Erstellen des Laufwerksabbilds ein Windows-Dienstprogramm namens sysprep und " verallgemeinern "das installierte Betriebssystem. Beachten Sie auch, dass Sie die Anzahl der Windows-Aktivierungen im Auge behalten müssen, da einige Versionen nur so viele Aktivierungen zulassen, manchmal sogar nur fünf, und wenn Sie keinen Sysprep mehr ausführen oder ein Image davon erstellen können. slmgr / dlv zeigt die verbleibenden Aktivierungen an.
Dale Mahalko
3
@DaleMahalko Obwohl SysPrep erforderlich ist und die unterstützte Methode zum Duplizieren von Installationen verwendet wird, liegt dies nicht an der Duplizierung von SIDs .
TessellatingHeckler
Auch wenn sie nicht identisch sind, ist es heutzutage einfach, die PC-Installation per Skript zu erstellen. Dann haben Sie nicht den Schmerz von veralteten Bildern.
James Snell
5

Hier fehlt die beste Antwort ... Notieren Sie Ihre Hardware als Geschäftskosten, und wenn jemand abreist, geben Sie ihm den Laptop und kaufen Sie einen neuen, sauberen. Dies spart die meiste Zeit und ist ein positiver Weg zur Vereinbarkeit von Beruf und Familie. Natürlich ist ein Zurücksetzen wahrscheinlich am besten, wenn sie erst einige Wochen dort waren.

James 'Fluffy' Burton
quelle
5
"Schreiben Sie Ihre Hardware als Geschäftskosten auf" lässt die Kosten nicht verschwinden. Diese Einstellung entspricht dem Kauf eines neuen Telefons, wenn der Akku leer ist.
Ranger
7
Nicht die "beste" Idee; Eine schlechte Idee. Sie müssen nicht nur die Kosten für die Hardware aufschreiben, sondern auch alle Lizenzen der anderen dort installierten Software (einige Lizenzen sind möglicherweise technisch nicht übertragbar). Ich weiß nicht, wie es um Ihren Arbeitsplatz bestellt ist, aber bei mir ist fast alles mit der Bezeichnung "Company Confidential" versehen. Möchten Sie diese wertvollen Informationen aus der Tür oder schreiben Sie das auch ab? Angenommen, Sie trennen sich freundschaftlich. Wenn es eine alte HW ist und zu guten Konditionen, "vielleicht" ein neues Image, dann gib es weg; Vielleicht für wohltätige Zwecke gegen Mitarbeiter (Steuergutschrift! $$).
Ian W
@Ian W Einige Softwareprogramme können deaktiviert werden, wodurch die Lizenz für einen anderen Mitarbeiter im Unternehmen freigegeben wird (die meisten Programme, die ich gesehen habe, haben diese Option für Unternehmensbenutzer). Die Vertraulichkeit der auf der Festplatte des Geräts gespeicherten Daten ist dagegen ein Problem. Sie sollten den Inhalt der Festplatte löschen / zerkleinern / löschen. Das macht das Aufschreiben von Hardware natürlich zu einer schlechten Methode, um das Problem zu beseitigen (da Sie das Problem ohnehin erst lösen müssen).
Jakub
Unternehmen verwenden bereits jede mögliche Ausgabe als Geschäftsausgabe. "Abschreiben" entspricht nicht Ihrer Vermutung - es ist nicht wie freies Geld, das Unternehmen muss immer noch neue Geräte (Laptops) kaufen und ein gesparter Cent ist ein Gewinn Penny verdient. Vielleicht kann Kramer es besser erklären (wahrscheinlich nicht)
Xen2050
5

Ich habe persönliche Erfahrungen mit nicht reimaged PCs, die Viren an neue Benutzer weitergeben. (Und mit unerwünschten Dateien, die die Beschäftigung eines Benutzers überdauern, aber das ist eine ganz andere Geschichte.)

Wie Ushuru betonte, ist es die beste Methode, ein neues Image zu erstellen, anstatt es erneut zu installieren. (Und ja, Sie benötigen sysprep, aber nicht aufgrund von SIDs, wie TesselatingHector sagte.) Sie müssen nicht identische Hardware sein. Sie können eine Vielzahl von Treibern in Ihr Image aufnehmen und sogar offline neue Treiber hinzufügen (wenn es sich bei Ihrem Image um ein WIM handelt).

Es gibt einen ganzen Marktsektor von Desktop - Deployment - Software , und ich habe auch Menschen mit Backup - Software rollen ihren eigenen Prozess zu sehen und die Wiederherstellung ein spezialisiertes „backup“ Bildes.

Oder Sie können das System neu erstellen, wenn Sie das Betriebssystem lieben. ;) Mir ist schnell langweilig und ich automatisiere lieber.

Katherine Villyard
quelle
3

Die Antwort darauf hängt wirklich davon ab, ob Sie Mitarbeitern erlauben, lokale Administratoren ihres eigenen Computers zu sein.

Im Allgemeinen verfügt ein Benutzergruppenkonto nur über Schreibrechte in seinem eigenen Profilverzeichnis und an keiner anderen Stelle auf der Festplatte.

In diesem Fall können vom Benutzer keine Änderungen am System vorgenommen werden, einschließlich des Installierens oder Entfernens von Anwendungen oder des Erstellens versteckter Dateien oder Verzeichnisse außerhalb ihres Profilverzeichnisses.

Malware kann sich möglicherweise selbst installieren, jedoch nur innerhalb des Benutzerprofils, normalerweise in AppData oder Temp.

Für diese eingeschränkten Benutzer wird ein neues Konto vollständig von dem im alten Benutzerprofil getrennten Konto getrennt.

Dale Mahalko
quelle
7
"Malware kann sich möglicherweise selbst installieren, jedoch nur innerhalb des Benutzerprofils." Somit bleibt auch ohne lokale Administratorrechte ein gewisses Risiko bestehen.
user149408
Dies ist irrelevant, da diese Art von Problem jederzeit jeden betreffen kann. Als Administrator für ca. 500 Desktops lösche ich nicht regelmäßig alle 6 Monate den Desktop jeder einzelnen Person, da ich geringfügige Bedenken hinsichtlich einer möglichen Malware habe, die möglicherweise der Sicherheitsgruppe der Benutzer entgeht. Wenn Sie feststellen, dass es passiert ist, müssen Sie sich damit befassen, aber machen Sie sich sonst keine Sorgen und lassen Sie das Antivirus-Programm damit umgehen.
Dale Mahalko
1
Die Mitarbeiter haben die physische Kontrolle über den Laptop - so lange, bis sie ihn auf Reisen mitnehmen. Wenn sie Administratorzugriff wünschen, erhalten sie diesen.
Andrew Henle
1
Angenommen, jeder Benutzer mit physischem Zugriff auf einen PC kann alles tun, was ein Administrator tun kann.
Bill K
3

Ich würde niemals davon träumen, einem neuen Mitarbeiter einen gebrauchten PC zu geben, ohne zumindest die Festplatte zu wischen. Wenn Sie ziemlich sicher sein möchten, tauschen Sie die Festplatte vollständig aus.

Root-Kits sind extrem leistungsfähig. Ein Root - Kit ist dem Betriebssystem und den Virenscannern nicht bekannt, da sie auf einer niedrigeren Ebene installiert sind (sie laden das Betriebssystem und geben dem Betriebssystem grundlegende Informationen, z OS). Einige installieren sich sogar im BIOS der Festplatte, was es extrem schwierig macht, sie loszuwerden.

Einige können sich selbst im BIOS Ihres PCs installieren und neue Festplatten nach der Installation erneut infizieren.

Wenn ein verärgerter Mitarbeiter mit auch nur geringen Hacking-Kenntnissen dies wirklich wollte, könnte er einen Computer in einem Zustand an Sie zurückgeben, der Ihr Netzwerk auch nach einer "Neuformatierung" der Festplatte wiederholt zerstören würde. Ein guter könnte es schaffen, dass selbst das Ersetzen der Festplatte nicht hilft.

Ein wirklich talentierter Hacker-Mitarbeiter kann eine dieser Techniken verwenden, um uneingeschränkten Zugriff auf Ihre internen Netzwerksysteme und Daten zu erhalten. Zu irgendeinem Zeitpunkt in der Zukunft könnte er von außen erneut eine Verbindung herstellen - auf eine Weise, die für Sie fast unmöglich zu stoppen wäre (da der infizierte Computer wahrscheinlich gelegentlich einen Alarm auslöst und die gesamte Firewall-Sicherheit umgeht).

Zum Glück haben die wirklich talentierten Leute wahrscheinlich bessere Dinge zu tun, als für Ihr Unternehmen zu arbeiten.

James 'Antwort, wo er sagt "Gib dem Angestellten den Computer, wenn er geht", sollte im Moment ziemlich gut klingen - aber wirklich, nur die HD reißen und zerreißen.

Bill K
quelle
Ich denke, Sie sind richtig, Ihre und James 'Schritte sind die Schritte mit dem geringsten Risiko für eine Sicherheitsverletzung, aber dies ist für manche Menschen schwer in den Kopf zu bekommen, zumal sie nicht bereit sind, eine Neuinstallation für neue Mitarbeiter durchzuführen in erster Linie;) Das ist noch ein langer Weg ...
ExNought
4
Vielleicht könnten Leute zu einem Sicherheitsseminar verleitet werden. Es gibt ernsthafte Konsequenzen, wenn Sicherheit nicht ernst genommen wird. Wie viele Führungskräfte in Ihrem Unternehmen würden es begrüßen, wenn der Inhalt ihres Arbeitscomputers in das Internet hochgeladen würde. Ich erwähne das nur, weil es kürzlich der Firma eines Freundes passiert ist. Mein Arbeitsnetzwerk ist vollständig vom Internet getrennt und angeheuerte Hacker konnten immer noch über Laptops, die infiziert waren, als sie mit dem Internet verbunden waren, in unser getrenntes Netzwerk gelangen. Es passiert!
Bill K
@BillK +1! Ich bin völlig einverstanden. Der beste Weg für die Sicherheit besteht darin, die Laufwerke in den Papierkorb zu werfen, das BIOS erneut zu flashen und ein neues zu installieren. Abgesehen von der Sicherheit gibt es immer noch das Problem der Privatsphäre Ihrer Kollegen - eine ganz andere Überlegung, die keiner Kosten-Nutzen-Analyse unterzogen werden sollte. Welches ist , warum ich das eine reimage halten würde, oder wischen und neu installieren sollte sein , Best Practice , die Festplatte Teil einer robusten Sicherheitspolitik und Schreddern (und das kann gegen die Kosten beurteilt werden).
Ryder
1
@ Ryder stimmte zu. Wenn sich die Mitarbeiter Ihres Unternehmens Sorgen um die Kosten für die Zerstörung eines Laufwerks oder für die erneute Sicherung eines Laufwerks machen, sollten Sie sich SCHNELL verabschieden. Entweder gibt es einen erstaunlich hohen Umsatz oder sie gehen pleite, egal wie, das wird auf lange Sicht kein großartiger Ort sein, um zu bleiben. (Bare-Bones-Startups sind möglicherweise eine Ausnahme, aber möglicherweise nicht).
Bill K