Pertanyaan Praktik terbaik: Haruskah saya selalu menginstal OS baru untuk karyawan baru?


Saya bertengkar dengan atasan tentang hal ini. Meskipun pada pandangan pertama pengguna laptop sebelumnya hanya bekerja di folder dokumennya sendiri, haruskah saya selalu menginstal OS baru untuk pengguna berikutnya atau cukup menghapus profil lama? Perangkat lunak yang diinstal sebagian besar juga dibutuhkan oleh pengguna berikutnya.

Saya pikir instalasi diperlukan, tetapi kecuali argumen saya sendiri tentang virus dan data pribadi, alasan apa yang ada untuk melakukannya?

Di perusahaan kami diizinkan untuk menggunakan PC untuk mis. surat pribadi, pada beberapa PC bahkan permainan yang diinstal. Kami memiliki pengguna yang agak mobile, yang sering berada di situs pada pelanggan, jadi saya tidak benar-benar menyalahkan mereka.

Juga karena itu kami memiliki banyak admin lokal di luar sana.

Saya tahu baik penggunaan pribadi dan ketersediaan akun admin lokal bukanlah ide yang bagus, tetapi itulah cara penanganannya sebelum saya bekerja di sini dan saya hanya dapat mengubah ini setelah saya keluar dari magang;)

Edit: Saya pikir semua jawaban yang diposting relevan, dan saya juga tahu bahwa beberapa praktik yang kami miliki di perusahaan saya bukanlah yang terbaik untuk memulai (admin lokal untuk terlalu banyak orang misalnya;).

Sampai sekarang, saya pikir jawaban yang paling dapat digunakan untuk diskusi adalah yang dari Ryder. Meskipun contoh yang dia berikan dalam jawabannya mungkin berlebihan, itu punya terjadi sebelumnya bahwa mantan karyawan lupa data pribadi. Baru-baru ini saya menemukan salinan ritel game Runaway di laptop lama dan kami juga memiliki beberapa foto pribadi yang tersisa.


111
2018-06-13 05:45




Anda tidak ingin mengambil risiko tidak melakukannya. Terlalu banyak hal yang bisa salah jika Anda tidak melakukannya (dan akhirnya, mereka akan melakukannya). - Mast
Anda tidak menyalahkan karyawan Anda karena bermain game di properti perusahaan ... karena mereka melakukannya ketika bersama pelanggan Anda? WTF? - Lightness Races in Orbit
@LightnessRacesinOrbit Nah, jika Anda berada di hotel selama berminggu-minggu (kadang-kadang bahkan termasuk akhir pekan) dan ada, di luar pekerjaan, sama sekali tidak ada hubungannya, ya, saya pikir itu dapat diterima. Tentu ada kekhawatiran, tapi setidaknya itu membuat semangat. Juga saya dan juga teman-teman saya sangat yakin, yang memaksa orang untuk membeli laptop atau tablet untuk perjalanan mereka akan membahayakan kita. Ada sejumlah alasan di sini, pergi ke semua itu tidak hanya memakan waktu terlalu lama, tetapi juga akan membuat majikan saya terlihat buruk;) - ExNought
@ExoWork: Oh, di luar pekerjaan, tentu. Saya sendiri biasanya pergi berbisnis selama beberapa hari dan malam setiap minggu dan tentu saja memanfaatkan laptop kerja saya di hotel-hotel itu! Tapi kamu berkata "di situs di pelanggan" yang sangat berbeda. - Lightness Races in Orbit
Saya akan mengatakan pasti karena semua alasan yang tercantum di sini, tetapi ada yang lain: Jika komputer dapat digunakan untuk penggunaan pribadi, maka mungkin ilegal untuk memberikan orang lain akses ke data tersebut karena undang-undang perlindungan data (ini pasti bisa bermasalah di Jerman sejauh yang saya ketahui). Memformat drive memastikan bahwa tidak ada pihak ketiga yang diberikan data pribadi. - DetlevCM


Jawaban:


Tentu saja Anda harus. Ini bukan hanya akal sehat dari POV keamanan, itu juga harus dipraktekkan sebagai masalah etika bisnis.

Mari kita bayangkan skenario berikut: Alice pergi, dan komputernya dipindahkan ke Bob. Bob tidak mengetahuinya, tetapi Alice menjadi pornografi shota ilegal dan meninggalkan beberapa file yang tersimpan di luar profilnya. TI menghapus profilnya dan tidak ada yang lain, yang hanya menyertakan riwayat penelusuran dan file lokalnya.

Suatu hari, Bob sedang memeriksa lonceng dan peluit pada mesin kerja barunya yang mengkilat, sambil duduk di Starbucks dan menghirup latte. Dia tersandung di tembolok Alice dan dengan polos mengklik pada sebuah file yang terlihat aneh. Tiba-tiba, setiap kepala di toko cambuk untuk menyaksikan dengan ngeri ketika PC Bob melontarkan beberapa peraturan negara bagian dan federal dengan volume penuh. Seorang gadis kecil di sudut mulai menangis.

Bob malu. Setelah enam bulan depresi dan setelah dipecat karena tindakan tidak senonohnya yang tidak disengaja (dan kemungkinan tuduhan kriminal), ia menemukan dirinya sebagai tim hukum yang benar-benar retak dan menyerahkan limbah kepada mantan majikannya dengan gugatan yang sangat merusak. Alice ada di Thailand dan lolos dari ekstradisi.


Mungkin semua ini sedikit di luar batas, tetapi itu benar-benar bisa terjadi jika Anda tidak meluangkan waktu untuk menjelajahi setiap tindakan mantan karyawan. Atau Anda dapat menghemat waktu, dan instal ulang dari awal.


216
2018-06-13 06:37



@gerrit Menginstal ulang Windows dari Scratch biasanya menyiratkan format penuh dari disk juga. Satu-satunya cara Bob mendapatkan kembali file setelah itu adalah dengan menjalankan alat forensik, dan Anda biasanya tidak melakukannya tanpa alasan yang sangat bagus. - Nzall
Alice di Thailand tidak membantu. Ada hukum ekstradiksi TH-AS. Coba pilih negara lain. Notch Korea adalah kandidat saya;) - vasin1987
@ vasin1987 Pengacara Alice baru saja menelepon. Dia mengatakan bahwa, sebenarnya, dia lebih suka menghabiskan sisa hidupnya di penjara federal daripada tinggal di Pyongyang. Bisakah Anda mengatur sesuatu? - David Richerby
Apa yang terjadi selanjutnya? Saya perlu tahu! - FuriousFolder
Jawaban ini akan mendapat manfaat dari sedikit tambahan yang membahas biaya murah untuk melakukan penghapusan menyeluruh sebagai prosedur operasi standar dibandingkan dengan 1. menghabiskan waktu menentukan apakah perlu pada setiap mesin untuk berpindah tangan, dan kemudian 2. menentukan apakah risiko sesuatu seperti ini sepadan dengan waktu yang dihemat. Dalam prakteknya, mungkin lebih cepat (time = money) untuk menghapusnya daripada mencoba memburu dan menghapus data pengguna sebelumnya, bahkan mengabaikan risikonya. - jpmc26


Anda pasti harus mengatur ulang / menginstal ulang komputer. Mungkin ada program jahat di atasnya yang akan membahayakan bisnis. Itu bisa berupa virus atau trojan atau sesuatu yang ditinggalkan oleh mantan karyawannya dengan sengaja (tidak semua orang pergi dengan baik-baik). Semua alasan dalam balasan @ axl juga valid.

Untuk membuat hidup Anda lebih mudah, buat snapshot / gambar / cadangan dari komputer yang baru dipasang dengan semua perangkat lunak yang biasa Anda sudah terinstal dan tekan saja ini di setiap komputer baru atau daur ulang. Tidak perlu menginstal ulang manual.


43
2018-06-13 06:34



"Mungkin ada program jahat di dalamnya yang akan membahayakan bisnis." Jika itu laptop perusahaan, maka seorang karyawan sudah dipercaya untuk menggunakannya sebelum itu. Jika Anda memiliki karyawan yang menyerang jaringan Anda dengan jahat, mereka sudah memiliki banyak kesempatan untuk menjadikan mesin mereka sebagai taktik yang tidak efektif. - jpmc26
Saya menerima laptop bekas rekan kerja di tempat kerja terakhir saya. Mereka tidak melakukan reinstalls atau "membangun standar." Saya memiliki pengalaman serupa tetapi bukan dari jenis pornografi. Saya akhirnya harus melakukan format dan menginstal ulang diri saya sebagai TIDAK ADA bekerja dengan benar. Mantan karyawan itu benar-benar menyemprot sistem itu mencoba mengubah hal-hal dengan cara yang paling tidak bisa dimengerti. - Mike McMahon
@ jpmc26 Tidak sepenuhnya. Kami telah melakukan pemberhentian di mana kami menduga mereka dapat melakukan sesuatu yang bersifat balas dendam setelah memberi mereka berita. Jadi kami secara proaktif akan mencabut izin mereka dari aplikasi dan jaringan kami. Jadi sementara mereka mungkin tidak memiliki akses aktif mereka dapat menggunakan malware atau keyloggers yang dapat digunakan setelah komputer atau perangkat digunakan oleh karyawan lain. Kami juga khawatir mereka tidak menyerang jaringan kami dengan jahat karena mereka bisa mendapatkan pekerjaan dengan pesaing dan masih memiliki akses ke informasi perusahaan yang sensitif. - Bacon Brad


Saya bukan admin TI, tetapi perasaan saya adalah Anda harus menginstal ulang untuk beberapa alasan:

  • Admin lokal dapat mengambil kepemilikan file pengguna sebelumnya.

  • Anda cenderung harus berurusan dengan masalah yang timbul dari perubahan sistem yang dibuat oleh pengguna lama.

  • Aplikasi pribadi pengguna lama akan tetap tersedia di Program Files.

Jika Anda tidak memiliki admin lokal dan mereka benar-benar tidak dapat mengubah atau mengakses apa pun di luar folder rumah mereka, maka saya akan kurang peduli, tetapi kemudian selalu ada ruang disk untuk dipertimbangkan.

Sudahkah Anda mempertimbangkan untuk menggunakan Ghost atau sistem pencitraan lain selain menginstal semua perangkat lunak secara manual?


27
2018-06-13 06:19



Saya benar-benar melakukannya, tetapi itu juga salah satu hal, yang dilakukan secara manual sebelumnya dan NOONE tampaknya ingin mengubahnya. Ini ada di daftar ToDo setelah saya selesai dengan magang saya;) - ExNought
Diperlukan waktu untuk meyakinkan orang bahwa ada cara yang lebih baik, terutama jika ada sedikit atau tidak ada rasa sakit yang dirasakan. :) - axl


Jika semua mesin yang Anda tangani identik (atau ada kelompok mesin yang identik), buat instalasi bersih sekali, perbarui OS dan instal perangkat lunak dasar yang dibutuhkan pengguna. Kemudian buat gambar HDD, yang dapat Anda pulihkan sistemnya dari saat menetapkan ulang mesin ke pengguna lain, kegagalan HDD, infeksi virus, dll.

Yang harus Anda lakukan hanyalah memulihkan isi "bersihkan" HDD dari citra disk, dan ubah kunci produk Windows jika ini diperlukan.

Jika Anda ingin melindungi HDD terhadap pengguna yang menggunakan alat forensik - gunakan alat penghancur data (misalnya cabik, tersedia di sebagian besar distro linux) di HDD sebelum memulihkan data dari gambar ke sana. Dengan sekitar satu jam kerja Anda bahkan dapat menyiapkan live USB yang akan merusak HDD kemudian mengisinya kembali dengan data dari gambar.

Dengan cara ini Anda dapat menghemat cukup banyak pekerjaan sambil tetap melindungi data pengguna dan perusahaan.


9
2018-06-13 12:49



Membuat image drive langsung dari instalasi Windows, dan menerapkannya ke banyak mesin yang berbeda dapat menyebabkan masalah, karena sesuatu yang disebut mesin SID. Untuk melakukan ini dengan benar, sebelum membuat image drive Anda harus menjalankan utilitas windows yang disebut sysprep dan " generalisasi "OS yang diinstal. Perlu diketahui juga bahwa Anda harus melacak jumlah aktivasi windows, karena beberapa versi hanya mengizinkan begitu banyak aktivasi, kadang-kadang hanya lima, dan ketika Anda kehabisan Anda tidak dapat melakukan sysprep atau membayangkannya lebih jauh. slmgr / dlv menunjukkan aktivasi yang tersisa. - Dale Mahalko
@DaleMahalko Saat SysPrep diperlukan dan cara yang didukung untuk menduplikasi pemasangan, bukan karena duplikasi SID. - TessellatingHeckler
Bahkan jika mereka tidak identik itu mudah untuk menginstal instalasi komputer hari ini. Maka Anda tidak memiliki rasa sakit gambar ketinggalan zaman. - James Snell


Ini adalah jawaban terbaik yang hilang ... tuliskan perangkat keras Anda sebagai biaya bisnis, dan ketika seseorang pergi, beri mereka laptop dan beli yang bersih; ini menghemat waktu paling banyak, dan merupakan cara positif untuk mendekati keseimbangan kehidupan kerja. Tentu saja, jika mereka baru ada di sana beberapa minggu kemudian reset mungkin yang terbaik.


5
2018-06-15 16:03



"Tuliskan perangkat keras Anda sebagai biaya bisnis" tidak membuat biaya hilang. Pola pikir ini seperti membeli telepon baru setiap kali baterai Anda habis. - Nex Terren
Bukan ide "terbaik"; ide buruk di sekitar. Anda harus menuliskan tidak hanya biaya perangkat keras tetapi juga semua lisensi dari perangkat lunak lain yang diinstal di sana (Beberapa lisensi secara teknis tidak dapat dipindahtangankan). Saya tidak tahu tentang tempat kerja Anda tetapi di tempat kerja saya, hampir semuanya memiliki sebutan "Perusahaan Rahasia" di atasnya. Apakah Anda ingin informasi berharga itu keluar dari pintu atau apakah Anda menulisnya juga? Asumsikan Anda berpisah dengan cara bersahabat. Jika itu adalah HW lama dan dengan istilah baik, "mungkin" gambar-ulang kemudian berikan; mungkin untuk amal vs karyawan (kredit pajak! $$). - Ian W
@Ian W beberapa perangkat lunak dapat dinonaktifkan, membebaskan lisensi untuk pekerja lain di perusahaan (sebagian besar perangkat lunak yang pernah saya lihat memiliki opsi ini untuk pengguna korporat). Kerahasiaan data yang disimpan pada hard disk mesin di sisi lain adalah masalah. Anda harus menghapus / mencabik / isi disk. Itu tentu saja membuat menulis perangkat keras dengan cara yang buruk untuk menyingkirkan masalah (karena Anda harus menyelesaikan masalah dulu pula). - Jakub
Bisnis sudah menggunakan setiap biaya yang mungkin sebagai pengeluaran bisnis, "menulisnya" tidak melakukan apa yang mungkin Anda pikirkan - itu tidak seperti uang gratis, bisnis masih harus membeli peralatan baru (laptop) dan satu sen yang disimpan adalah uang yang diterima. Mungkin Kramer dapat menjelaskannya dengan lebih baik (mungkin tidak) - Xen2050


Saya memiliki pengalaman pribadi dengan PC non-reimaged yang mengirimkan virus ke pengguna baru. (Dan dengan file yang tidak diinginkan yang melebihi pekerjaan pengguna, tetapi itu adalah keseluruhan cerita lainnya.)

Seperti yang ditunjukkan oleh Ushuru, praktik terbaik adalah untuk membuat ulang daripada menginstal ulang. (Dan ya, Anda perlu sysprep, tetapi bukan karena SID, seperti dikatakan TesselatingHector.) Mereka tidak harus identik dengan perangkat keras; Anda dapat menyertakan berbagai driver dalam gambar dan bahkan tambahkan driver baru secara offline (jika gambar Anda adalah .wim).

Ada seluruh  pasar  sektor dari Desktop  penyebaran  perangkat lunak, dan saya juga melihat orang-orang menggulirkan proses mereka sendiri dengan perangkat lunak cadangan dan memulihkan citra "cadangan" khusus.

Atau, Anda dapat membangun kembali sistem jika Anda kebetulan suka menginstal OS. ;) Saya mudah bosan dan lebih suka mengotomatiskan.


5
2018-06-16 20:58





Jawaban untuk ini sangat tergantung pada apakah Anda mengizinkan karyawan untuk menjadi administrator lokal dari mesin mereka sendiri.

Secara umum akun grup pengguna hanya memiliki izin menulis di direktori profilnya sendiri, dan tidak ada tempat lain di hard drive.

Dalam hal ini tidak ada perubahan yang dapat dilakukan pada sistem oleh pengguna, termasuk menginstal atau menghapus aplikasi, atau membuat file atau direktori tersembunyi di luar direktori profilnya.

Malware dapat berpotensi menginstal sendiri, tetapi sekali lagi hanya di dalam profil pengguna itu, biasanya di AppData atau Temp.

Untuk pengguna terbatas ini, akun baru benar-benar terputus dari apa pun yang ada di profil pengguna lama.


3
2018-06-13 10:17



"Malware dapat memasang dirinya sendiri, tetapi sekali lagi hanya di dalam profil pengguna itu" - kecuali mengeksploitasi kerentanan eskalasi hak istimewa. Jadi bahkan tanpa hak admin lokal, risiko tertentu tetap ada. - user149408
Ini tidak relevan karena masalah semacam ini dapat memengaruhi siapa saja kapan saja. Sebagai admin untuk sekitar 500 desktop, saya tidak secara berkala menghapus desktop setiap orang setiap 6 bulan karena beberapa kekhawatiran kecil kemungkinan malware yang mungkin dapat lolos dari grup keamanan pengguna. Jika Anda menemukan itu telah terjadi, Anda menghadapinya, tetapi jika tidak, jangan khawatir tentang hal ini dan biarkan antivirus menanganinya. - Dale Mahalko
Karyawan memiliki kontrol fisik laptop - sampai membawanya saat bepergian. Jika mereka ingin akses admin, mereka akan mendapatkannya. - Andrew Henle
Asumsikan siapa pun dengan akses fisik ke PC dapat melakukan apa pun yang dapat dilakukan administrator. - Bill K


Saya tidak akan pernah bermimpi memberikan PC bekas kepada karyawan baru tanpa setidaknya menghapus hard disk. Jika Anda ingin cukup aman, ganti hard drive sepenuhnya.

Root kit sangat kuat. Kit root tidak diketahui oleh OS dan pemindai virus karena mereka dipasang pada tingkat yang lebih rendah (Mereka benar-benar memuat OS dan memberikan OS itu informasi dasar seperti apa yang ada di hard drive, sehingga mereka dapat menyembunyikan diri dari OS). Beberapa bahkan menginstal diri ke BIOS dari hard drive yang membuat mereka sangat sulit untuk dihilangkan.

Beberapa dapat menginstal sendiri di BIOS PC Anda dan menginfeksi ulang hard drive baru saat mereka diinstal.

Jika ada karyawan yang tidak puas dengan keterampilan hacking yang bahkan sangat ingin mereka dapat mengembalikan komputer kepada Anda dalam keadaan yang akan menghancurkan jaringan Anda berulang kali bahkan setelah hard disk "Reformat". Yang bagus bisa membuatnya sehingga bahkan mengganti hard drive tidak akan membantu.

Seorang hacker-karyawan yang sangat berbakat mungkin menggunakan salah satu teknik ini untuk mendapatkan akses tak terbatas ke sistem dan data jaringan internal Anda. Kapan saja di masa depan ia dapat berhubungan kembali dari luar - dengan cara yang hampir tidak mungkin bagi Anda untuk berhenti (Karena komputer yang terinfeksi kemungkinan akan memanggil sesekali dan melewati semua firewall keamanan).

Untungnya orang-orang yang sangat berbakat mungkin memiliki hal-hal yang lebih baik untuk dilakukan daripada bekerja untuk perusahaan Anda.

Jawaban James di mana dia mengatakan "Berikan komputer kepada karyawan ketika dia pergi" seharusnya terdengar cukup bagus sekarang - tapi sungguh, hanya mencabut dan mengiris HD.


3
2018-06-16 21:42



Saya pikir Anda benar, Anda dan langkah-langkah James adalah orang-orang dengan paling sedikit risiko untuk pelanggaran keamanan, tetapi ini sulit untuk mendapatkan kepala beberapa orang, terutama karena mereka tidak bersedia melakukan instalasi bersih untuk karyawan baru di tempat pertama;) Itu masih cara yang lama untuk pergi ... - ExNought
Mungkin orang-orang dapat tertarik untuk mengikuti seminar keamanan. Ada konsekuensi serius untuk tidak memperhatikan keamanan dengan serius. Berapa banyak eksekutif di perusahaan Anda yang akan menghargai konten komputer kerja mereka yang sedang diunggah ke internet. Saya hanya menyebutkan ini karena kebetulan terjadi pada perusahaan teman baru-baru ini. Jaringan kerja saya benar-benar terpisah dari internet dan peretas bayaran masih bisa masuk melalui laptop yang terinfeksi ketika terhubung ke internet kemudian dibawa ke jaringan kami yang terputus. Itu terjadi! - Bill K
@BillK +1! Saya sangat setuju. Rute terbaik untuk keamanan adalah untuk sampah drive, mem-flash BIOS, dan menginstal yang baru. Selain keamanan, masih ada masalah privasi kolega Anda — yang merupakan pertimbangan yang sangat berbeda, dan yang seharusnya tidak harus terkena analisis biaya-manfaat. Itulah mengapa saya mempertahankan bahwa reimage, atau menghapus dan menginstal ulang harus menjadi Praktek terbaik, dan memotong bagian disk dari kebijakan keamanan yang kuat (dan bahwa dapat dinilai terhadap biaya). - Ryder
@Ryder setuju. Juga, jika orang-orang tentang perusahaan Anda khawatir tentang biaya menghancurkan drive vs pencitraan ulang, keluar CEPAT. Entah ada perputaran yang luar biasa tinggi atau mereka akan bangkrut, entah bagaimana itu tidak akan menjadi tempat yang bagus untuk tinggal dalam jangka panjang. (startup bare-bones mungkin pengecualian, tapi mungkin tidak). - Bill K