Praktik terbaik: Haruskah saya selalu menginstal OS baru untuk karyawan baru?

Saya bertengkar dengan atasan tentang hal ini. Meskipun sekilas pengguna laptop sebelumnya hanya bekerja di folder dokumennya sendiri, haruskah saya selalu menginstal OS baru untuk pengguna berikutnya atau menghapus profil lama cukup? Perangkat lunak yang diinstal sebagian besar juga dibutuhkan oleh pengguna berikutnya.

Saya pikir diperlukan instalasi, tetapi kecuali argumen saya sendiri tentang virus dan data pribadi, alasan apa yang ada untuk melakukannya?

Di perusahaan kami, diizinkan untuk menggunakan PC untuk mis. Surat pribadi, pada beberapa PC bahkan game diinstal. Kami memiliki beberapa pengguna seluler, yang sering berada di lokasi di tempat pelanggan, jadi saya tidak menyalahkan mereka.

Juga karena itu kami memiliki banyak admin lokal di luar sana.

Saya tahu penggunaan pribadi dan ketersediaan akun admin lokal bukanlah ide yang baik, tetapi itulah cara penanganannya sebelum saya bekerja di sini dan saya hanya dapat mengubah ini setelah saya keluar dari magang;)

Sunting : Saya pikir semua jawaban yang diposting relevan, dan saya juga tahu bahwa beberapa praktik yang kami miliki di perusahaan saya bukan yang terbaik untuk memulai (admin lokal untuk terlalu banyak orang misalnya;).

Sampai sekarang, saya pikir jawaban yang paling berguna untuk diskusi adalah jawaban dari Ryder. Meskipun contoh yang dia berikan dalam jawabannya mungkin dilebih-lebihkan, sudah pernah terjadi sebelumnya bahwa seorang mantan karyawan lupa dengan data pribadi. Baru-baru ini saya menemukan salinan eceran game Runaway di laptop lama dan kami juga memiliki beberapa kasus gambar pribadi yang tersisa.

Tentu kamu harus. Ini bukan hanya akal sehat dari POV keamanan, tetapi juga harus dipraktikkan sebagai masalah etika bisnis.

Mari kita bayangkan skenario berikut ini: Alice pergi, dan komputernya ditransfer ke Bob. Bob tidak mengetahuinya, tetapi Alice menyukai shota pornografi ilegal dan meninggalkan beberapa file tersimpan di luar profilnya. IT menghapus profilnya dan tidak ada yang lain, yang hanya menyertakan riwayat penelusuran dan file lokalnya.

Suatu hari, Bob memeriksa lonceng dan peluit di mesin kerjanya yang baru, sambil duduk di Starbucks ™ dan menyeruput latte. Dia menemukan cache Alice dan dengan polosnya mengklik file yang terlihat aneh. Tiba-tiba, setiap kepala di toko berputar-putar untuk menonton dengan ngeri ketika PC Bob melanggar beberapa peraturan negara bagian dan federal dengan volume penuh. Seorang gadis kecil di sudut mulai menangis.

Bob malu. Setelah enam bulan depresi dan setelah dipecat karena tindakan tidak senonohnya yang tidak disengaja di masyarakat (dan kemungkinan tuduhan kriminal), ia mendapati dirinya sebagai tim hukum yang sangat kejam dan memberikan limbah kepada mantan majikannya dengan tuntutan hukum yang sangat merusak. Alice ada di Thailand dan lolos dari ekstradisi.

Mungkin semua ini sedikit di luar batas, tetapi ini benar-benar bisa terjadi jika Anda tidak meluangkan waktu untuk memeriksa setiap tindakan mantan karyawan. Atau Anda dapat menghemat waktu, dan menginstal ulang dari awal.

Anda harus mengatur ulang / menginstal ulang komputer. Mungkin ada program jahat di dalamnya yang akan membahayakan bisnis. Itu bisa berupa virus atau trojan atau sesuatu yang ditinggalkan mantan karyawan di sana dengan sengaja (tidak semua orang meninggalkan hubungan baik). Semua alasan dalam balasan @ axl juga valid.

Untuk membuat hidup Anda lebih mudah, buat snapshot / gambar / cadangan dari komputer yang baru diinstal dengan semua perangkat lunak yang biasa Anda instal dan cukup dorong ini pada setiap komputer baru atau daur ulang. Tidak perlu menginstal ulang secara manual.

Saya bukan admin TI, tetapi menurut saya Anda harus menginstal ulang karena beberapa alasan:

• Admin lokal dapat mengambil kepemilikan file pengguna sebelumnya.

• Anda cenderung harus menghadapi masalah yang timbul dari perubahan sistem yang dibuat oleh pengguna lama.

• Aplikasi pribadi pengguna lama masih akan tersedia di Program Files.

Jika Anda tidak memiliki admin lokal dan mereka benar-benar tidak dapat mengubah atau mengakses apa pun di luar folder rumah mereka, maka saya akan kurang peduli, tetapi selalu ada ruang disk untuk dipertimbangkan.

Sudahkah Anda mempertimbangkan untuk menggunakan Ghost atau sistem pencitraan lain daripada menginstal secara manual semua perangkat lunak?

Jika semua mesin yang Anda tangani identik (atau ada kelompok mesin yang identik), lakukan instalasi bersih satu kali, perbarui OS dan instal perangkat lunak dasar yang diperlukan pengguna. Kemudian buat gambar HDD, yang dapat Anda gunakan untuk mengembalikan sistem jika mengganti mesin ke pengguna lain, kegagalan HDD, infeksi virus, dll.

Yang harus Anda lakukan hanyalah mengembalikan konten HDD "clean install" dari image disk, dan ganti kunci produk Windows jika ini diperlukan.

Jika Anda ingin melindungi HDD terhadap pengguna yang menggunakan alat forensik - gunakan alat pencacah data (mis. Rusak, tersedia di sebagian besar distro linux) pada HDD sebelum mengembalikan data dari gambar ke dalamnya. Dengan kerja sekitar satu jam, Anda bahkan dapat menyiapkan USB langsung yang akan merusak HDD kemudian mengisinya kembali dengan data dari gambar.

Dengan cara ini Anda dapat menghemat sedikit kerja sambil tetap melindungi data pengguna dan perusahaan.

Ini tidak ada jawaban terbaik ... tulis perangkat keras Anda sebagai biaya bisnis, dan ketika seseorang pergi kemudian berikan mereka laptop dan beli yang bersih baru; ini menghemat waktu paling banyak, dan merupakan cara positif untuk mendekati keseimbangan kehidupan kerja. Tentu saja, jika mereka hanya ada di sana beberapa minggu maka reset mungkin yang terbaik.

Saya memiliki pengalaman pribadi dengan PC non-reimaged yang menularkan virus ke pengguna baru. (Dan dengan file yang tidak diinginkan lebih lama dari pekerjaan pengguna, tapi itu cerita lain.)

Seperti yang Ushuru tunjukkan, praktik terbaik adalah dengan reimage daripada menginstal ulang. (Dan ya, Anda perlu sysprep, tetapi bukan karena SID, seperti yang dikatakan TesselatingHector.) Mereka tidak harus berupa perangkat keras yang identik; Anda dapat memasukkan berbagai macam driver di gambar Anda dan bahkan menambahkan driver baru secara offline (jika gambar Anda adalah .wim).

Ada seluruh pasar sektor dari desktop yang penyebaran perangkat lunak , dan saya juga pernah melihat orang roll proses mereka sendiri dengan software backup dan mengembalikan khusus "backup" gambar.

Atau, Anda dapat membangun kembali sistem jika Anda suka menginstal OS. ;) Saya mudah bosan dan lebih suka mengotomatiskan.

Jawabannya sangat tergantung pada apakah Anda mengizinkan karyawan menjadi administrator lokal dari mesin mereka sendiri.

Secara umum akun grup Pengguna hanya memiliki izin menulis di direktori profilnya sendiri, dan tidak ada tempat lain di hard drive.

Dalam hal ini tidak ada perubahan yang dapat dilakukan pada sistem oleh pengguna, termasuk menginstal atau menghapus aplikasi, atau membuat file atau direktori tersembunyi di luar direktori profil mereka.

Malware berpotensi menginstal sendiri, tetapi sekali lagi hanya di dalam profil pengguna itu, biasanya di AppData atau Temp.

Untuk pengguna yang dibatasi ini, akun baru benar-benar terputus dari apa pun yang ada di profil pengguna lama.

Saya bahkan tidak pernah bermimpi memberikan PC bekas kepada karyawan baru tanpa setidaknya menghapus hard disk. Jika Anda ingin cukup aman, ganti hard drive sepenuhnya.

Kit root sangat kuat. Root kit tidak dikenal oleh OS dan pemindai virus karena mereka diinstal pada tingkat yang lebih rendah (Mereka benar-benar memuat OS dan memberikan OS itu informasi dasar seperti apa yang ada di hard drive, sehingga mereka dapat dengan sangat efektif menyembunyikan diri dari OS). Beberapa bahkan menginstal sendiri ke dalam BIOS dari hard drive yang membuat mereka sangat sulit untuk dihilangkan.

Beberapa dapat menginstal sendiri di BIOS PC Anda dan menginfeksi ulang hard drive baru saat mereka diinstal.

Jika ada karyawan yang tidak puas bahkan dengan keterampilan peretasan ringan sangat ingin mereka dapat mengembalikan komputer kepada Anda dalam keadaan yang akan menghancurkan jaringan Anda berulang kali bahkan setelah hard disk "Reformat". Yang bagus bisa membuatnya sehingga bahkan mengganti hard drive tidak akan membantu.

Seorang karyawan-hacker yang benar-benar berbakat mungkin menggunakan salah satu dari teknik ini untuk mendapatkan akses tak terbatas ke sistem dan data jaringan internal Anda. Pada titik mana pun di masa depan, ia dapat menyambung kembali dari luar - dengan cara yang hampir tidak mungkin bagi Anda untuk berhenti (Karena komputer yang terinfeksi cenderung memanggil sesekali dan mem-bypass semua keamanan firewall).

Untungnya, yang benar-benar berbakat mungkin memiliki hal-hal yang lebih baik untuk dilakukan daripada bekerja untuk perusahaan Anda.

Jawaban James di mana dia mengatakan "Berikan komputer kepada karyawan ketika dia pergi" seharusnya terdengar cukup bagus sekarang - tapi sungguh, hanya mencabut dan menghancurkan HD.