Prática recomendada: devo sempre instalar um SO novo para novos funcionários?

112

Eu tive uma discussão com um superior sobre isso. Embora, à primeira vista, o usuário anterior de um laptop só funcionasse em suas próprias pastas de documentos, devo sempre instalar um novo sistema operacional para o próximo usuário ou excluir o perfil antigo o suficiente? O software instalado também é principalmente necessário para o próximo usuário.

Acho que é necessária uma instalação, mas, exceto pelo meu próprio argumento de vírus e dados privados, que motivos existem para fazer isso?

Na nossa empresa, é permitido o uso do PC, por exemplo, correio privado, em alguns PCs existem jogos instalados. Temos meio que usuários móveis, que geralmente estão no local de um cliente, então eu realmente não os culpo.

Também por causa disso, temos muitos administradores locais por aí.

Sei que o uso privado e a disponibilidade de contas de administrador locais não são boas idéias, mas foi assim que foi tratado antes de eu trabalhar aqui e só posso mudar isso quando estiver fora do estágio;)

Editar : acho que todas as respostas postadas são relevantes e também sei que algumas das práticas que temos na minha empresa não são as melhores para começar (administrador local para muitas pessoas, por exemplo;).

A partir de agora, acho que a resposta mais útil para uma discussão seria a de Ryder. Embora o exemplo que ele deu em sua resposta pode ser exagerada, ele tem acontecido antes que um ex-funcionário esqueceu dados privados. Recentemente, eu encontrei uma cópia de varejo do jogo Runaway em um laptop antigo e também tivemos alguns casos de imagens privadas restantes.

windows installation best-practices operating-system ExNought
fonte
31
Você não quer se arriscar a não fazê-lo. Muitas coisas podem dar errado se você não (e eventualmente, elas vão).
Mast
4
Você não culpa seus funcionários por jogarem na propriedade da empresa ... porque eles estão fazendo isso quando estão com seus clientes? WTF?
Corridas de leveza em órbita
24
@LightnessRacesinOrbit Bem, se você estiver em um hotel por semanas (às vezes incluindo até finais de semana) e houver, fora do trabalho, absolutamente nada para fazer, sim, acho que é aceitável. Muitas vezes existem preocupações, mas pelo menos mantém o moral. Também eu e meus superiores temos quase certeza de que forçar as pessoas a talvez comprar um laptop ou tablet para suas viagens nos prejudicará. Há uma série de razões aqui, entrar em todas elas não só levar muito tempo, mas também faria meu empregador ficar mal;)
ExNought
3
@ExoWork: Ah, fora do trabalho, com certeza. Eu próprio normalmente viajo a negócios por vários dias e noites por semana e certamente faço bom uso do meu laptop de trabalho nesses hotéis! Mas você disse "no local de um cliente", que é muito diferente.
Corridas de leveza em órbita
8
Eu diria que definitivamente por todos os motivos listados aqui, mas há outro: se o computador puder ser usado para uso privado, pode ser ilegal dar a outra pessoa acesso a esses dados devido a leis de proteção de dados (isso definitivamente pode ser problemática na Alemanha, até onde eu saiba). A formatação da unidade garante que nenhum terceiro receba dados particulares.
Detlevcm

Respostas:

217

Absolutamente você deveria. Não é apenas senso comum de um ponto de vista de segurança, também deve ser uma prática como questão de ética nos negócios.

Vamos imaginar o seguinte cenário: Alice sai e seu computador é transferido para Bob. Bob não sabia, mas Alice estava em um filme ilegal de pornografia e deixou vários arquivos escondidos fora de seu perfil. A TI limpa seu perfil e nada mais, o que inclui apenas seu histórico de navegação e arquivos locais.

Um dia, Bob está checando os sinos e assobios em sua nova e brilhante máquina de trabalho, sentado em uma Starbucks ™ e bebendo um café com leite. Ele tropeça no cache de Alice e clica inocentemente em um arquivo que parece estranho. De repente, todos os chefes da loja se voltam para assistir horrorizados, enquanto o PC de Bob desrespeita vários regulamentos estaduais e federais no volume máximo. Uma garotinha no canto começa a chorar.

Bob está mortificado. Depois de seis meses de depressão e depois de ter sido demitido por seu ato não intencional de indecência pública (e possíveis acusações criminais), ele se vê realmente uma equipe legal de rachar e desperdiça seu ex-empregador com um processo escandalosamente prejudicial. Alice está na Tailândia e escapa da extradição.

Talvez tudo isso esteja um pouco além do óbvio, mas absolutamente poderia acontecer se você não tomar tempo para vasculhar todas as ações de um ex-funcionário. Ou você pode economizar tempo e reinstalar do zero.

Ryder
fonte
30
@gerrit A reinstalação do Windows a partir do zero geralmente implica também um formato completo do disco. A única maneira de Bob recuperar os arquivos depois disso é executando ferramentas forenses, e você geralmente não faz isso sem uma boa razão.
Nzall
10
Alice na Tailândia não ajuda. Existe lei de extradição TH-US . Tente escolher outro país. Notch Coréia é meu candidato;)
vasin1987
37
@ vasin1987 A advogada de Alice acabou de ligar. Ela disse que, na verdade, prefere passar o resto de sua vida em uma prisão federal do que ficar em Pyongyang. Você pode arranjar alguma coisa?
David Richerby
40
O que acontece depois? Eu preciso saber!
FuriousFolder
13
Essa resposta se beneficiaria de um pequeno adendo discutindo o custo barato de fazer uma limpeza completa como procedimento operacional padrão, em vez de 1. gastar tempo determinando se é necessário em cada máquina mudar de mãos e, em seguida, 2. determinar se o risco de algo como isso vale o tempo economizado. Na prática, é provavelmente mais rápido (tempo = dinheiro) apenas limpá-lo do que tentar procurar e apagar os dados do usuário anterior, mesmo desconsiderando o risco.
jpmc26
43

Você definitivamente deve redefinir / reinstalar os computadores. Poderia haver programas maliciosos que colocariam os negócios em risco. Podem ser vírus ou trojans ou algo que o ex-funcionário deixou lá intencionalmente (nem todo mundo sai em boas condições). Todos os motivos da resposta do @ axl também são válidos.

Para facilitar sua vida, crie uma captura instantânea / imagem / backup de um computador recém-instalado com todo o software usual já instalado e apenas empurre-o em todos os computadores novos ou reciclados. Não é necessário reinstalar manualmente.

Silent-Bob
fonte
"Poderia haver programas maliciosos que colocariam os negócios em risco". Se for um laptop da empresa, já era de confiança de um funcionário que o usasse antes disso. Se um funcionário está atacando maliciosamente sua rede, ele já teve uma ampla oportunidade de tornar a limpeza apenas de sua máquina uma tática ineficaz.
jpmc26
4
Recebi um laptop de ex-colegas de trabalho no meu último local de trabalho. Eles não fizeram reinstalações nem possuem uma "compilação padrão". Eu tive uma experiência semelhante, mas não do tipo pornografia. Acabei tendo que fazer um formato e me reinstalar, pois NADA funcionava corretamente. O ex-funcionário havia manejado completamente o sistema, tentando ajustar as coisas da maneira mais incompreensível.
9788 Mike McMahon
@ jpmc26 Não completamente. Tivemos demissões em que suspeitávamos que eles poderiam fazer algo vingativo depois de lhes dar as notícias. Portanto, revogaríamos proativamente suas permissões de nossos aplicativos e rede. Portanto, embora eles possam não ter acesso ativo, ainda podem incorporar malware ou keyloggers que podem ser usados ​​quando o computador ou dispositivo é usado por outro funcionário. Também nossa preocupação não era que eles atacassem maliciosamente nossa rede, tanto quanto poderiam conseguir um emprego com um concorrente e ainda assim ter acesso a informações confidenciais da empresa.
Bacon Brad
27

Não sou administrador de TI, mas sinto que você deve reinstalar por alguns motivos:

  • Os administradores locais podem se apropriar dos arquivos do usuário anterior.

  • É menos provável que você tenha que lidar com problemas decorrentes de alterações no sistema feitas pelo usuário antigo.

  • Os aplicativos pessoais do usuário antigo ainda estariam disponíveis em Arquivos de Programa.

Se você não tiver administradores locais e eles realmente não puderem alterar ou acessar qualquer coisa fora da pasta inicial, eu ficaria menos preocupado, mas sempre haverá espaço em disco a ser considerado.

Você já pensou em usar o Ghost ou outro sistema de imagem em vez de instalar manualmente todo o software?

axl
fonte
1
Na verdade, eu fiz, mas isso também é uma das coisas, que foi feito manualmente antes e NINGUÉM parece querer mudar isso. Ele está na lista dos ToDo, quando eu terminar o meu estágio;)
ExNought
1
Pode levar algum tempo para convencer as pessoas de que existem maneiras melhores, especialmente se houver pouca ou nenhuma dor percebida. :)
axl
9

Se todas as máquinas que você manipular forem idênticas (ou houver grupos de máquinas idênticas), faça uma instalação limpa uma vez, atualize o sistema operacional e instale o software básico de que os usuários precisarão. Em seguida, crie uma imagem de disco rígido, da qual você pode restaurar o sistema no caso de redesignar a máquina para outro usuário, falha no disco rígido, infecção por vírus etc.

Tudo o que você precisa fazer é apenas restaurar o conteúdo do disco rígido de "instalação limpa" da imagem do disco e alterar a chave do produto Windows, se necessário.

Se você deseja proteger os HDDs contra usuários que utilizam ferramentas forenses - use uma ferramenta de destruição de dados (por exemplo, fragmentação, disponível na maioria das distros Linux) no disco rígido antes de restaurar os dados da imagem para ele. Com cerca de uma hora de trabalho, você pode até preparar um USB ao vivo que destruirá o disco rígido e o preencherá com os dados da imagem.

Dessa forma, você pode economizar bastante trabalho e, ao mesmo tempo, proteger os dados dos usuários e da empresa.

Jakub
fonte
1
Criar uma imagem de unidade direta de uma instalação do Windows e aplicá-la a muitas máquinas diferentes pode causar problemas, devido a algo chamado SID da máquina.Para fazer isso corretamente, antes de criar a imagem da unidade, você deve executar um utilitário do Windows chamado sysprep e " generalize "o sistema operacional instalado. Observe também que você deve acompanhar o número de ativações do Windows, porque algumas versões permitem apenas tantas ativações, às vezes até cinco, e quando você acaba, não pode mais sysprep ou imaginá-la. slmgr / dlv mostra as ativações restantes.
Dale Mahalko
3
@DaleMahalko Embora o SysPrep seja necessário e a maneira suportada de duplicar as instalações, não é por causa da duplicação do SID .
usar o seguinte
Mesmo que não sejam idênticos, é fácil criar scripts para a instalação do PC nos dias de hoje. Então você não tem a dor de imagens desatualizadas.
James Snell
5

Está faltando a melhor resposta ... anote seu hardware como um custo comercial e, quando alguém sair, forneça o laptop e compre um novo e limpo; isso economiza mais tempo e é uma maneira positiva de abordar o equilíbrio entre vida profissional e pessoal. Obviamente, se eles estiveram lá apenas algumas semanas, uma redefinição é provavelmente a melhor.

James 'Fofo' Burton
fonte
5
"Anote seu hardware como um custo comercial" não diminui o custo. Essa mentalidade é como comprar um telefone novo sempre que o seu ficar sem bateria.
Ranger
7
Não é a "melhor" idéia; má ideia por toda parte. Você deve anotar não apenas o custo do hardware, mas também todas as licenças do outro software instalado (algumas licenças tecnicamente podem não ser transferíveis). Eu não sei sobre o seu local de trabalho, mas no meu, quase tudo tem uma designação de "Empresa Confidencial". Você quer essas informações valiosas saindo pela porta ou escreve isso também? Supõe que você esteja se separando em termos amigáveis. Se for HW antigo e em boas condições, "talvez" re-imagem, então desista; talvez para caridade x funcionário (crédito de imposto! $$).
Ian W
@Ian W Alguns softwares podem ser desativados, liberando a licença para outro funcionário da empresa (a maioria dos softwares que eu já vi tem essa opção para usuários corporativos). A confidencialidade dos dados armazenados no disco rígido da máquina, por outro lado, é um problema. Você deve limpar / destruir / o conteúdo do disco. Isso, é claro, torna a anotação de hardware uma maneira ruim de se livrar do problema (porque você precisa resolvê-lo primeiro).
Jakub
As empresas já usam todas as despesas possíveis como despesa comercial, "deduzi-las" não faz o que você provavelmente pensa - não é como dinheiro de graça, a empresa ainda precisa comprar novos equipamentos (laptop) e um centavo economizado é uma vantagem. centavo ganho. Talvez Kramer pode explicar melhor (provavelmente não)
Xen2050
5

Tenho experiência pessoal com PCs sem imagem que transmitem vírus para novos usuários. (E com arquivos indesejados que duram mais que o emprego de um usuário, mas isso é outra história.)

Como Ushuru apontou, a melhor prática é reimaginar em vez de reinstalar. (E sim, você precisa de sysprep, mas não por causa dos SIDs, como disse o TesselatingHector.) Eles não precisam ser hardware idêntico; você pode incluir uma grande variedade de drivers em sua imagem e até adicionar novos drivers offline (se a imagem for .wim).

todo um setor de mercado de software de implantação de desktops , e também vi pessoas lançando seu próprio processo com software de backup e restaurando uma imagem especializada de "backup".

Ou, você pode reconstruir o sistema se você gosta de instalar o sistema operacional. ;) Fico entediado facilmente e prefiro automatizar.

Katherine Villyard
fonte
3

A resposta para isso depende realmente de você permitir que os funcionários sejam administradores locais de sua própria máquina.

Em geral, uma conta de grupo de usuários tem apenas permissão de gravação em seu próprio diretório de perfil e em nenhum outro lugar no disco rígido.

Nesse caso, nenhuma alteração pode ser feita no sistema pelo usuário, incluindo a instalação ou remoção de aplicativos ou a criação de arquivos ou diretórios ocultos fora do diretório de perfil.

O malware pode se instalar potencialmente, mas novamente apenas dentro do perfil do usuário, normalmente em AppData ou Temp.

Para esses usuários restritos, uma nova conta é completamente desconectada do que estava no perfil de usuário antigo.

Dale Mahalko
fonte
7
"O malware pode se instalar potencialmente, mas novamente apenas dentro do perfil do usuário" - a menos que explore uma vulnerabilidade de escalonamento de privilégios. Portanto, mesmo sem os direitos de administrador local, permanece um certo risco.
user149408
Isso é irrelevante, porque esse tipo de problema pode afetar qualquer pessoa a qualquer momento. Como administrador de cerca de 500 desktops, não apago periodicamente a área de trabalho de cada pessoa a cada 6 meses, devido a uma pequena preocupação com um possível malware que pode escapar do grupo de segurança do usuário. Se você descobrir que isso aconteceu, lide com isso, mas não se preocupe com isso e deixe o antivírus lidar com isso.
Dale Mahalko
1
Os funcionários têm controle físico do laptop - a ponto de trazê-lo com eles enquanto viajam. Se eles querem acesso de administrador, eles o conseguirão.
Andrew Henle
1
Suponha que qualquer pessoa com acesso físico a um PC possa fazer qualquer coisa que um administrador possa fazer.
Bill K
3

Eu nunca sonharia em dar um PC usado para um novo funcionário sem pelo menos uma limpeza no disco rígido. Se você queria ser bastante seguro, substitua o disco rígido completamente.

Os kits de raiz são extremamente poderosos. Um kit raiz é desconhecido pelo sistema operacional e pelos antivírus porque eles são instalados em um nível inferior (na verdade, eles carregam o sistema operacional e fornecem ao sistema operacional informações básicas, como o que está no disco rígido, para que eles possam se esconder com muita eficácia. OS). Alguns até se instalam no BIOS do disco rígido, o que os torna extremamente difíceis de se livrar.

Alguns podem se instalar no BIOS do seu PC e reinfectar novos discos rígidos à medida que são instalados.

Se algum funcionário insatisfeito, com habilidades de hacking moderadas, realmente quisesse, poderia devolver um computador para você em um estado que devastaria sua rede repetidamente, mesmo depois de um disco rígido "Reformatar". Um bom poderia fazê-lo para que mesmo substituir o disco rígido não ajudasse.

Um hacker-funcionário muito talentoso pode usar uma dessas técnicas para obter acesso ilimitado aos seus sistemas e dados de rede internos. Em qualquer ponto do futuro, ele poderá se reconectar do lado de fora - de uma maneira que seria quase impossível para você parar (já que o computador infectado provavelmente chamará ocasionalmente e ignorará toda a segurança do firewall).

Felizmente, os realmente talentosos provavelmente têm coisas melhores a fazer do que trabalhar para a sua empresa.

A resposta de James, onde ele diz "Entregue o computador ao funcionário quando ele sair" deve parecer muito bom agora - mas, na verdade, basta puxar e destruir o HD.

Bill K
fonte
Acho que você está correto, as etapas de James e de James são as que apresentam menor risco de violação de segurança, mas isso é difícil de ser entendido por algumas pessoas, principalmente porque elas não estão dispostas a fazer uma instalação limpa para novos funcionários em primeiro lugar;) Esse ainda é um longo caminho a percorrer ...
ExNought
4
Talvez as pessoas possam ser atraídas para participar de um seminário de segurança. Existem ramificações sérias para não levar a segurança a sério. Quantos executivos de sua empresa gostariam que o conteúdo de seus computadores de trabalho fosse carregado na Internet.? Acabei de mencionar isso porque aconteceu recentemente com a empresa de um amigo. Minha rede de trabalho está completamente desconectada da Internet e os hackers contratados ainda conseguiam acessar os laptops infectados quando conectados à Internet e depois trazidos à nossa rede desconectada. Acontece!
Bill K
@BillK +1! Eu concordo totalmente. A melhor rota para a segurança é descartar as unidades, atualizar novamente o BIOS e instalar uma nova. Além da segurança, ainda há a questão da privacidade de seus colegas - que é uma consideração muito diferente e que não deveria ser submetida a uma análise de custo-benefício. É por isso que eu diria que uma nova imagem, ou limpeza e reinstalação deve ser uma prática recomendada e destruir a parte do disco de uma política de segurança robusta (e isso pode ser avaliado em relação ao custo).
Ryder
1
@Ryder concordou. Além disso, se as pessoas da sua empresa estiverem preocupadas com o custo de destruir uma unidade e criar uma nova imagem, saia RÁPIDO. Ou há uma rotatividade incrivelmente alta ou eles estão indo à falência, de qualquer maneira que não será um ótimo lugar para ficar no longo prazo. (as empresas iniciantes podem ser uma exceção, mas talvez não).
Bill K