最佳实践:我应该总是为新员工安装新的操作系统吗?

我对这个问题与上级有过争论。 虽然乍一看,笔记本电脑的以前的用户只能在他自己的文档文件夹中工作,我应该总是为下一个用户安装一个新的操作系统,或者是删除旧的configuration文件吗? 下一个用户大多还需要安装软件。

我认为需要安装,但除了我自己的病毒和私人数据的争论外,还有什么理由呢?

在我们公司可以使用个人电脑,例如私人邮件,有些电脑甚至可以安装游戏。 我们有一些移动用户,他们往往在客户现场,所以我不会责怪他们。

也正因为如此,我们有很多本地pipe理员在那里。

我知道私人使用和本地pipe理帐户的可用性不是好主意,但是这是我在这里工作之前的处理方式,一旦我没有实习机会,我只能改变这一点;)

编辑 :我认为所有发布的答案都是相关的,而且我也知道我们公司的一些做法并不是最好的开始(例如对于太多人来说,本地pipe理员)。

到目前为止,我认为最有用的答案是莱德。 尽pipe他在答复中的例子可能被夸大了,但是之前的一名员工忘记了私人数据。 我最近在一台旧笔记本电脑上发现了游戏失控的零售版本,我们还有一些剩余的私人图像。

    绝对是你应该的。 这不仅仅是一个安全POV的常识,也应该是商业道德方面的实践。

    让我们来想象下面的情景:Alice离开,她的电脑被转移到Bob。 鲍勃不知道,但爱丽丝成了非法的色情片,并在她的个人资料外藏了几个文件。 IT抹去她的个人资料,没有别的,只包括她的浏览logging和本地文件。

    有一天,鲍勃正在坐在星巴克(Starbucks™)上喝着拿铁咖啡,在shiny的新工作机器上看看钟声和口哨声。 他绊倒了Alice的caching,并无意中点击了一个看起来很奇怪的文件。 突然,店里的每一个人都惊慌地看着鲍勃的个人电脑全面藐视州和联邦的一些规定。 一个angular落里的小女孩开始哭泣。

    鲍勃很尴尬。 在经历了六个月的萧条之后,由于无意的公开猥亵行为(以及可能的刑事指控)而被开除之后,他发现自己是一个非常干净的法律团队,并给他的前雇主造成了极其破坏性的诉讼。 爱丽丝在泰国逃避引渡。


    也许所有这一切都是有点苍白,但如果你不花时间去冲刷一下前员工的每一个动作,这绝对会发生。 或者你可以节省时间,并从头开始重新安装。

    你一定要重置/重新安装电脑。 可能会有恶意程序,使业务面临风险。 这些可能是病毒或特洛伊木马或前雇员故意留在那里(不是每个人都离开)。 @ axl回复中的所有原因也是有效的。

    为了使您的生活更轻松,请使用已安装的所有常用软件创build新安装的计算机的快照/映像/备份,并将其推送到每台新的或回收的计算机上。 无需手动重新安装。

    我不是ITpipe理员,但我的感觉是,你应该重新安装的原因有两个:

    • 本地pipe理员可以拥有以前的用户文件的所有权。

    • 您不太可能需要处理由旧用户所做的系统更改引起的问题。

    • 旧用户的个人应用程序仍然可以在程序文件中使用。

    如果你没有本地pipe理员,他们真的不能改变或访问他们的主文件夹以外的任何东西,那么我就不那么担心了,但总是有磁盘空间要考虑。

    您是否考虑过使用Ghost或其他成像系统而不是手动安装所有软件?

    如果您处理的所有机器都是相同的(或者有相同的机器组),请进行一次全新安装,更新操作系统并安装用户所需的基本软件。 然后创build一个硬盘映像,在将机器重新分配给其他用户,硬盘故障,病毒感染等情况下,您可以从中恢复系统。

    您所要做的只是从磁盘映像还原“干净安装”HDD内容,并在需要时更改Windows产品密钥。

    如果您想要使用取证工具保护硬盘驱动器,请使用硬盘驱动器上的数据粉碎工具(例如碎片,在大多数Linux发行版中可用),然后再将映像中的数据恢复到硬盘上。 通过大约一个小时的工作,你甚至可以准备一个实时的USB来切碎硬盘,然后用图像中的数据重新填充。

    这样,您可以在保护用户和公司数据的同时节省相当多的工作量。

    这是缺less最好的答案…写下你的硬件作为一个商业成本,当有人离开,然后给他们的笔记本电脑,并购买一个新的干净的; 这可以节省大部分时间,是一种积极的工作与生活平衡方式。 当然,如果他们只是在那里几个星期,那么重置可能是最好的。

    我有非个人电脑的经验,病毒传递给新用户的个人经验。 (而不必要的文件超出了用户的使用范围,但这是另一回事。)

    正如Ushuru所指出的,最好的做法是重新映像而不是重新安装。 (是的,你需要sysprep,但不是因为SID,正如TesselatingHector所说的)。它们不一定是相同的硬件。 您可以在图像中包含各种各样的驱动程序,甚至可以脱机添加新的驱动程序 (如果图像是.wim)。

    桌面 部署 软件有整个 市场 部门 ,我也看到有人用自己的备份软件推出自己的stream程,并恢复专门的“备份”形象。

    或者,如果您喜欢安装操作系统,则可以重build系统。 ;)我很容易无聊,更喜欢自动化。

    这个答案真的取决于你是否允许员工成为他们自己机器的本地pipe理员。

    通常情况下,用户组帐户只在其自己的configuration文件目录中具有写入权限,而在硬盘上没有其他位置。

    在这种情况下,用户不能更改系统,包括安装或删除应用程序,或在其configuration文件目录之外创build隐藏的文件或目录。

    恶意软件可能会自行安装,但也只能在该用户的configuration文件中,通常在AppData或Temp中。

    对于这些受限制的用户,新帐户与旧用户configuration文件中的任何内容完全断开连接。

    如果没有硬盘擦除,我甚至不会梦想把新旧电脑交给新员工。 如果您想要相当安全,请完全更换硬盘。

    根套装非常强大。 操作系统和病毒扫描程序不知道Rootkit,因为它们安装在较低的级别(他们实际上加载了操作系统,并为操作系统提供了基本信息,例如硬盘上的内容,所以他们可以非常有效地将自己隐藏起来OS)。 有的甚至把自己安装到硬盘的BIOS中,这使得它们非常难以摆脱。

    less数人可以将自己安装到您的电脑的BIOS中,并在安装新硬盘驱动器时重新感染。

    如果有任何心怀恶意的黑客技能的心怀不满的员工真的希望他们能够在一个硬盘“重新格式化”的情况下,将您的电脑重复使用,那么您的电脑将会重新遭到破坏。 一个好的可以做到这一点,即使更换硬盘也无济于事。

    一个非常有才华的黑客员工可能会使用这些技术之一来获得对您的内部networking系统和数据的无限访问权限。 在将来的任何时候,他都可以从外面重新连接 – 以一种几乎不可能停止的方式(因为受感染的计算机可能偶尔会呼叫并绕过所有的防火墙安全措施)。

    幸运的是,真正有才华的人可能比你的公司工作要好得多。

    詹姆斯的回答是:“当他离开时把电脑交给员工”应该听起来相当不错,但实际上,只是把硬盘和硬盘撕成碎片。