题 最佳实践:我是否应该始终为新员工安装新的操作系统?


我与一位上司争论过这件事。虽然乍一看笔记本电脑的先前用户只能在自己的文件夹中工作,但是我应该为下一个用户安装新的操作系统还是删除旧的配置文件?下一个用户通常也需要安装的软件。

我认为需要安装,但除了我自己的病毒和私人数据的论点之外,有什么理由这样做?

在我们公司允许使用PC,例如私人邮件,在某些PC上甚至安装了游戏。我们有一些移动用户,通常是在客户现场,所以我并没有真正责怪他们。

也正因为如此,我们有很多本地管理员。

我知道私人使用和本地管理员帐户的可用性都不是好主意,但这就是我在这里工作之前的处理方式,我只能在我离开实习后改变这一点;)

编辑:我认为发布的所有答案都是相关的,而且我也知道我们公司的一些实践并不是最好的(例如,太多人的本地管理员;)。

截至目前,我认为讨论最有用的答案是来自莱德的答案。虽然他在答案中给出的例子可能是夸大其词 具有 在此之前,一位前员工忘记了私人数据。我最近在一台旧笔记本电脑上找到了Runaway游戏的零售副本,我们还有一些剩余的私人图像。


111
2018-06-13 05:45




你不想冒险不这样做。如果你不这样做,那么太多的事情可能会出错(最终,他们会)。 - Mast
你不会责怪你的员工在公司财产上玩游戏......因为他们与你的客户一起这样做了吗? WTF? - Lightness Races in Orbit
@LightnessRacesinOrbit好吧,如果你在酒店住了几个星期(有时甚至包括周末),而且在工作之外,绝对无事可做,是的,我认为这是可以接受的。 Ofc存在担忧,但至少它保持了士气。我和我的supperiors也非常肯定,强迫人们为他们的旅程购买笔记本电脑或平板电脑会伤害我们。这里有很多原因,进入所有原因不仅需要太长时间,而且还会让我的雇主看起来很糟糕;) - ExNought
@ExoWork:哦,工作之余,当然。我自己每周都要经营几天几夜,当然也很好地利用我在这些酒店工作的笔记本电脑!但是你说 “在客户现场” 这是非常不同的。 - Lightness Races in Orbit
我肯定会说因为这里列出的所有原因,但还有另一个原因:如果计算机可以用于私人用途,那么由于数据保护法则允许其他人访问该数据可能是非法的(这肯定是据我所知,德国存在问题。格式化驱动器可确保不向第三方提供私有数据。 - DetlevCM


答案:


绝对你应该。这不仅仅是安全POV的常识,它也应该是商业道德问题的实践。

让我们假设以下场景:Alice离开,她的计算机被转移到Bob。鲍勃不知道,但是爱丽丝变成了非法的射击色情片,并在她的个人资料之外隐藏了几个文件。 IT擦除了她的个人资料而没有其他内容,其中仅包括她的浏览历史记录和本地文件。

有一天,鲍勃正坐在星巴克咖啡馆喝着拿铁咖啡时,正在检查他那闪亮的新工作机器上的铃铛和口哨声。他偶然发现了Alice的缓存,无辜地点击了一个看起来很奇怪的文件。突然之间,商店里的每个人都惊恐地看着鲍勃的电脑藐视全州的几项州和联邦法规。拐角处的一个小女孩开始哭泣。

鲍勃很羞愧。经过六个月的沮丧和因无意的公开猥亵行为(以及可能的刑事指控)而被解雇后,他发现自己是一个真正破解的法律团队,并且通过一项极其具有破坏性的诉讼给他的前雇主带来了浪费。爱丽丝在泰国,逃脱了引渡。


也许所有这一切都有点超越苍白,但如果你没有花时间去寻找前雇员的每一个动作,那绝对可能发生。或者你可以节省时间,而且 从头开始重新安装。


216
2018-06-13 06:37



@gerrit从Scratch重新安装Windows通常也意味着磁盘的完整格式。 Bob之后获取文件的唯一方法是运行取证工具,而且通常不会在没有充分理由的情况下这样做。 - Nzall
泰国的爱丽丝没有帮助。 有美国的禁止法。尝试选择一个国家。 Notch Korea是我的候选人;) - vasin1987
@ vasin1987爱丽丝的律师刚刚打来电话。她说,实际上,她宁愿在联邦监狱度过余生,也不愿留在平壤。你能安排点什么吗? - David Richerby
接下来发生什么?我需要知道! - FuriousFolder
这个答案将受益于一个小小的附录,讨论作为标准操作程序进行完全擦除的廉价成本,而不是1.花时间确定每台机器是否有必要转手,然后2.确定是否有类似风险这值得节省时间。在实践中,它可能更快(时间=金钱)只是擦除它而不是试图搜寻并删除以前用户的数据,甚至忽略风险。 - jpmc26


你绝对应该重置/重新安装计算机。可能存在恶意程序会使企业面临风险。那些可能是病毒或特洛伊木马,或者是前雇员故意留在那里的东西(不是每个人都留下了良好的条件)。 @ axl的回复中的所有原因也是有效的。

为了让您的生活更轻松,请为已安装了所有常用软件的新安装的计算机创建快照/映像/备份,并将其推送到每台新计算机或回收的计算机上。无需手动重新安装。


43
2018-06-13 06:34



“可能有恶意程序会使企业面临风险。”如果它是公司的笔记本电脑,那么之前已经有信任员工使用它。如果你有一名员工恶意攻击你的网络,他们已经有足够的机会将他们的机器擦拭成一种无效的策略。 - jpmc26
我在上一个工作地点收到了一位前同事笔记本电脑。他们没有重新安装,也没有“标准版本”。我有类似的经历,但不是色情类。我最终不得不做一个格式并重新安装自己,因为NOTHING正常工作。这位前员工完全用系统试图以最难以理解的方式调整事物。 - Mike McMahon
@ jpmc26不完全。我们有终止,我们怀疑他们可以做一些报复 后 给他们新闻。因此,我们会主动从我们的应用程序和网络中撤消其权限。因此,虽然他们可能没有主动访问权限,但他们仍然可以使用恶意软件或键盘记录器,这些恶意软件或键盘记录器可以在计算机或设备被其他员工使用后使用。此外,我们担心的不是他们恶意攻击我们的网络,因为他们可以获得竞争对手的工作,并且仍然可以访问敏感的公司信息。 - Bacon Brad


我不是IT管理员,但我的感觉是你应该重新安装,原因有两个:

  • 本地管理员可以获得以前用户文件的所有权。

  • 您不太可能必须处理由旧用户进行的系统更改引起的问题。

  • 旧用户的个人应用程序仍可在Program Files中使用。

如果您没有本地管理员,并且他们真的无法更改或访问其主文件夹之外的任何内容,那么我就不那么担心了,但是总是需要考虑磁盘空间。

您是否考虑过使用Ghost或其他成像系统而不是手动安装所有软件?


27
2018-06-13 06:19



我实际上做了,但这也是事情之一,之前手动完成,NOONE似乎想要改变它。一旦我完成了我的培训,它就在ToDo的名单上;) - ExNought
可能需要一些时间才能让人们相信有更好的方法,特别是如果几乎没有感觉到疼痛。 :) - axl


如果您处理的所有计算机都相同(或者有相同计算机组),请进行一次干净安装,更新操作系统并安装用户需要的基本软件。然后创建一个HDD映像,您可以从将计算机重新分配给另一个用户,HDD故障,病毒感染等的情况下恢复系统。

您只需从磁盘映像恢复“干净安装”HDD内容,并在需要时更改Windows产品密钥。

如果您想使用取证工具保护硬盘免受用户攻击 - 在将数据从图像恢复到硬盘之前,请使用硬盘上的数据粉碎工具(例如,碎片,大多数Linux发行版中都有)。通过大约一个小时的工作量,你甚至可以准备一个现场USB,它会破坏硬盘,然后用图像中的数据重新填充它。

这样,您可以在保护用户和公司数据的同时节省大量工作。


9
2018-06-13 12:49



制作Windows安装的直接驱动器映像,并将其应用于许多不同的机器可能会导致问题,因为称为机器SID。为了正确执行此操作,在创建驱动器映像之前,您必须运行名为sysprep的Windows实用程序并且“概括“已安装的操作系统。另请注意,您必须跟踪窗口激活的数量,因为某些版本只允许激活很多,有时只有5次,当您用完时,您无法进一步对其进行sysprep或映像。 slmgr / dlv显示剩余的激活。 - Dale Mahalko
@DaleMahalko虽然需要SysPrep并且支持重置安装的方式, 这不是因为SID重复。 - TessellatingHeckler
即使它们不相同,这些天很容易编写电脑安装脚本。然后你没有过时图像的痛苦。 - James Snell


这是最好的答案......把你的硬件写下来作为商业成本,当有人离开时,给他们一台笔记本电脑并买一台新的干净的笔记本电脑;这节省了大部分时间,是实现工作与生活平衡的积极方式。当然,如果他们只在那里呆了几个星期,那么重置可能是最好的。


5
2018-06-15 16:03



“将您的硬件写下来作为业务成本”并不会使成本消失。这种心态就像每次用完电池时购买新手机一样。 - Nex Terren
不是“最好”的想法;周围的坏主意。您不仅要记下硬件的成本,还要记下安装在那里的其他软件的所有许可证(某些许可证在技术上可能无法转让)。我不知道你的工作场所,但在我的工作场所,大多数都有一个“公司机密”的名称。你想要那些有价值的信息走出门,还是你也写下来了?假设你在友好的条件下分道扬..如果它是旧HW并且条件良好,“也许”重新成像然后放弃;也许是慈善机构与员工(税收抵免!$$)。 - Ian W
@Ian W可以停用一些软件,为公司的另一名工人释放许可证(我见过的大多数软件都为企业用户提供了这个选项)。另一方面,存储在机器硬盘上的数据的机密性是个问题。你应该擦除/粉碎/磁盘的内容。这当然使写下硬件成为摆脱问题的一种坏方法(因为你必须首先解决问题)。 - Jakub
企业已经将所有可能的费用用作商业费用,“把它写下来”并没有做你认为它做的事情 - 它不像免费的钱,企业仍然需要购买新设备(笔记本电脑)而节省的一分钱是便士赚了。也许 克莱默可以更好地解释它(可能不是) - Xen2050


我对使用非重新映像的PC将病毒传递给新用户有个人经验。 (并且不需要的文件比用户的工作更长久,但这是另一个故事。)

正如Ushuru指出的那样,最好的做法是重新映像而不是重新安装。 (是的,你需要sysprep,但不是因为SID,正如TesselatingHector所说的那样。)它们不一定是相同的硬件;您甚至可以在图像中包含各种各样的驱动程序 离线添加新驱动程序 (如果你的图像是.wim)。

有个 整个  市场  扇形 的 桌面  部署  软件,我也看到人们用备份软件推出自己的流程并恢复专门的“备份”图像。

或者,如果您喜欢安装操作系统,则可以重建系统。 ;)我很容易感到无聊,喜欢自动化。


5
2018-06-16 20:58





这个问题的答案实际上取决于您是否允许员工成为他们自己机器的本地管理员。

通常,用户组帐户仅在其自己的配置文件目录中具有写入权限,并且在硬盘驱动器上没有其他地方。

在这种情况下,用户不能对系统进行任何更改,包括安装或删除应用程序,或在其配置文件目录之外创建隐藏文件或目录。

恶意软件可能会自行安装,但仅在该用户的配置文件中,通常在AppData或Temp中。

对于这些受限用户,新帐户与旧用户配置文件中的任何内容完全断开连接。


3
2018-06-13 10:17



“恶意软件可以自行安装,但只能在该用户的配置文件中” - 除非它利用了权限提升漏洞。因此,即使没有本地管理员权限,仍存在一定的风险。 - user149408
这是无关紧要的,因为这种问题可能随时影响任何人。作为大约500个桌面的管理员,我不是每隔6个月定期擦除每个人的桌面,而是因为可能会逃脱用户安全组的可能的恶意软件。如果你发现它已经发生了你处理它,但否则不要担心这个并让防病毒处理它。 - Dale Mahalko
员工可以对笔记本电脑进行物理控制 - 以便在旅行时随身携带笔记本电脑。如果他们想要管理员访问权限,他们就会得到它。 - Andrew Henle
假设任何对PC有物理访问权限的人都可以做管理员可以做的任何事情。 - Bill K