Praktik terbaik: Haruskah saya selalu menginstal OS baru untuk karyawan baru?

112

Saya bertengkar dengan atasan tentang hal ini. Meskipun sekilas pengguna laptop sebelumnya hanya bekerja di folder dokumennya sendiri, haruskah saya selalu menginstal OS baru untuk pengguna berikutnya atau menghapus profil lama cukup? Perangkat lunak yang diinstal sebagian besar juga dibutuhkan oleh pengguna berikutnya.

Saya pikir diperlukan instalasi, tetapi kecuali argumen saya sendiri tentang virus dan data pribadi, alasan apa yang ada untuk melakukannya?

Di perusahaan kami, diizinkan untuk menggunakan PC untuk mis. Surat pribadi, pada beberapa PC bahkan game diinstal. Kami memiliki beberapa pengguna seluler, yang sering berada di lokasi di tempat pelanggan, jadi saya tidak menyalahkan mereka.

Juga karena itu kami memiliki banyak admin lokal di luar sana.

Saya tahu penggunaan pribadi dan ketersediaan akun admin lokal bukanlah ide yang baik, tetapi itulah cara penanganannya sebelum saya bekerja di sini dan saya hanya dapat mengubah ini setelah saya keluar dari magang;)

Sunting : Saya pikir semua jawaban yang diposting relevan, dan saya juga tahu bahwa beberapa praktik yang kami miliki di perusahaan saya bukan yang terbaik untuk memulai (admin lokal untuk terlalu banyak orang misalnya;).

Sampai sekarang, saya pikir jawaban yang paling berguna untuk diskusi adalah jawaban dari Ryder. Meskipun contoh yang dia berikan dalam jawabannya mungkin dilebih-lebihkan, sudah pernah terjadi sebelumnya bahwa seorang mantan karyawan lupa dengan data pribadi. Baru-baru ini saya menemukan salinan eceran game Runaway di laptop lama dan kami juga memiliki beberapa kasus gambar pribadi yang tersisa.

ExNought
sumber
31
Anda tidak ingin mengambil risiko tidak melakukannya. Terlalu banyak hal yang salah jika Anda tidak melakukannya (dan akhirnya, mereka akan melakukannya).
Mast
4
Anda tidak menyalahkan karyawan Anda karena bermain game di properti perusahaan ... karena mereka melakukannya saat bersama pelanggan Anda? WTF?
Lightness Races in Orbit
24
@LightnessRacesinOrbit Nah, jika Anda berada di hotel selama berminggu-minggu (kadang-kadang bahkan termasuk akhir pekan) dan ada, di luar pekerjaan, sama sekali tidak ada hubungannya, ya, saya pikir itu dapat diterima. Ofc ada kekhawatiran, tapi setidaknya itu menjaga moral. Juga saya dan juga para atasan saya cukup yakin, bahwa memaksa orang untuk mungkin membeli laptop atau tablet untuk perjalanan mereka akan membahayakan kita. Ada sejumlah alasan di sini, pergi ke semua itu tidak hanya akan memakan waktu terlalu lama, tetapi juga akan membuat majikan saya terlihat buruk;)
ExNought
3
@ExoWork: Oh, di luar pekerjaan, tentu saja. Saya sendiri biasanya pergi untuk urusan bisnis selama beberapa hari dan malam setiap minggu dan tentunya memanfaatkan laptop kerja saya di hotel-hotel itu! Tetapi Anda mengatakan "di situs di pelanggan" yang sangat berbeda.
Lightness Races in Orbit
8
Saya akan mengatakan dengan pasti karena semua alasan yang tercantum di sini, tetapi ada alasan lain: Jika komputer dapat digunakan untuk penggunaan pribadi, maka mungkin ilegal untuk memberikan orang lain akses ke data tersebut karena undang-undang perlindungan data (ini tentunya bisa menjadi bermasalah di Jerman sejauh yang saya tahu). Memformat drive memastikan bahwa tidak ada pihak ketiga yang diberikan data pribadi.
DetlevCM

Jawaban:

217

Tentu kamu harus. Ini bukan hanya akal sehat dari POV keamanan, tetapi juga harus dipraktikkan sebagai masalah etika bisnis.

Mari kita bayangkan skenario berikut ini: Alice pergi, dan komputernya ditransfer ke Bob. Bob tidak mengetahuinya, tetapi Alice menyukai shota pornografi ilegal dan meninggalkan beberapa file tersimpan di luar profilnya. IT menghapus profilnya dan tidak ada yang lain, yang hanya menyertakan riwayat penelusuran dan file lokalnya.

Suatu hari, Bob memeriksa lonceng dan peluit di mesin kerjanya yang baru, sambil duduk di Starbucks ™ dan menyeruput latte. Dia menemukan cache Alice dan dengan polosnya mengklik file yang terlihat aneh. Tiba-tiba, setiap kepala di toko berputar-putar untuk menonton dengan ngeri ketika PC Bob melanggar beberapa peraturan negara bagian dan federal dengan volume penuh. Seorang gadis kecil di sudut mulai menangis.

Bob malu. Setelah enam bulan depresi dan setelah dipecat karena tindakan tidak senonohnya yang tidak disengaja di masyarakat (dan kemungkinan tuduhan kriminal), ia mendapati dirinya sebagai tim hukum yang sangat kejam dan memberikan limbah kepada mantan majikannya dengan tuntutan hukum yang sangat merusak. Alice ada di Thailand dan lolos dari ekstradisi.


Mungkin semua ini sedikit di luar batas, tetapi ini benar-benar bisa terjadi jika Anda tidak meluangkan waktu untuk memeriksa setiap tindakan mantan karyawan. Atau Anda dapat menghemat waktu, dan menginstal ulang dari awal.

Ryder
sumber
30
@ger Menginstal ulang Windows dari Scratch biasanya menyiratkan format penuh disk juga. Satu-satunya cara Bob akan mendapatkan file kembali setelah itu adalah dengan menjalankan alat forensik, dan Anda biasanya tidak melakukannya tanpa alasan yang sangat baik.
Nzall
10
Alice di Thailand tidak membantu. Ada hukum ekstradiksi TH-AS . Coba pilih negara lain. Notch Korea adalah kandidat saya;)
vasin1987
37
@ vasin1987 Pengacara Alice baru saja menelepon. Dia mengatakan, sebenarnya, dia lebih suka menghabiskan sisa hidupnya di penjara federal daripada tinggal di Pyongyang. Bisakah kamu mengatur sesuatu?
David Richerby
40
Apa yang terjadi selanjutnya? Saya perlu tahu!
FuriousFolder
13
Jawaban ini akan mendapat manfaat dari sedikit tambahan membahas biaya murah melakukan pembersihan penuh sebagai prosedur operasi standar sebagai lawan 1. menghabiskan waktu menentukan apakah perlu pada setiap mesin untuk berpindah tangan, dan kemudian 2. menentukan apakah risiko sesuatu seperti ini sepadan dengan waktu yang dihemat. Dalam praktiknya, mungkin lebih cepat (waktu = uang) untuk hanya menghapusnya daripada mencoba memburu dan menghapus data pengguna sebelumnya, bahkan mengabaikan risiko.
jpmc26
43

Anda harus mengatur ulang / menginstal ulang komputer. Mungkin ada program jahat di dalamnya yang akan membahayakan bisnis. Itu bisa berupa virus atau trojan atau sesuatu yang ditinggalkan mantan karyawan di sana dengan sengaja (tidak semua orang meninggalkan hubungan baik). Semua alasan dalam balasan @ axl juga valid.

Untuk membuat hidup Anda lebih mudah, buat snapshot / gambar / cadangan dari komputer yang baru diinstal dengan semua perangkat lunak yang biasa Anda instal dan cukup dorong ini pada setiap komputer baru atau daur ulang. Tidak perlu menginstal ulang secara manual.

Diam-Bob
sumber
"Mungkin ada program jahat yang akan membahayakan bisnis." Jika itu adalah laptop perusahaan, maka seorang karyawan sudah dipercaya untuk menggunakannya sebelum itu. Jika Anda memiliki karyawan yang menyerang jaringan Anda dengan jahat, mereka sudah memiliki banyak kesempatan untuk membuat menyeka mesin mereka sebagai taktik yang tidak efektif.
jpmc26
4
Saya menerima laptop bekas rekan kerja di tempat kerja terakhir saya. Mereka tidak melakukan instal ulang atau memiliki "standar build." Saya memiliki pengalaman serupa tetapi tidak dari jenis pornografi. Saya akhirnya harus melakukan format dan menginstal ulang diri saya karena TIDAK ADA yang berfungsi dengan baik. Mantan karyawan itu benar-benar menyemprot sistem yang mencoba mengubah keadaan dengan cara yang paling tidak bisa dipahami.
Mike McMahon
@ jpmc26 Tidak sepenuhnya. Kami memiliki pemutusan hubungan kerja di mana kami curiga mereka bisa melakukan sesuatu yang balas dendam setelah memberi mereka berita. Jadi kami akan secara proaktif mencabut izin mereka dari aplikasi dan jaringan kami. Jadi, sementara mereka mungkin tidak memiliki akses aktif, mereka masih dapat memasukkan malware atau keyloggers yang dapat digunakan setelah komputer atau perangkat digunakan oleh karyawan lain. Juga kekhawatiran kami bukankah mereka dengan jahat menyerang jaringan kami sebanyak yang mereka bisa dapatkan pekerjaan dengan pesaing dan masih memiliki akses ke informasi perusahaan yang sensitif.
Bacon Brad
27

Saya bukan admin TI, tetapi menurut saya Anda harus menginstal ulang karena beberapa alasan:

  • Admin lokal dapat mengambil kepemilikan file pengguna sebelumnya.

  • Anda cenderung harus menghadapi masalah yang timbul dari perubahan sistem yang dibuat oleh pengguna lama.

  • Aplikasi pribadi pengguna lama masih akan tersedia di Program Files.

Jika Anda tidak memiliki admin lokal dan mereka benar-benar tidak dapat mengubah atau mengakses apa pun di luar folder rumah mereka, maka saya akan kurang peduli, tetapi selalu ada ruang disk untuk dipertimbangkan.

Sudahkah Anda mempertimbangkan untuk menggunakan Ghost atau sistem pencitraan lain daripada menginstal secara manual semua perangkat lunak?

axl
sumber
1
Saya benar-benar melakukannya, tetapi itu juga salah satu hal, yang dilakukan secara manual sebelumnya dan NOONE tampaknya ingin mengubahnya. Ini ada dalam daftar ToDo begitu saya selesai dengan magang;)
ExNought
1
Diperlukan waktu untuk meyakinkan orang bahwa ada cara yang lebih baik, terutama jika ada sedikit atau tidak ada rasa sakit yang dirasakan. :)
axl
9

Jika semua mesin yang Anda tangani identik (atau ada kelompok mesin yang identik), lakukan instalasi bersih satu kali, perbarui OS dan instal perangkat lunak dasar yang diperlukan pengguna. Kemudian buat gambar HDD, yang dapat Anda gunakan untuk mengembalikan sistem jika mengganti mesin ke pengguna lain, kegagalan HDD, infeksi virus, dll.

Yang harus Anda lakukan hanyalah mengembalikan konten HDD "clean install" dari image disk, dan ganti kunci produk Windows jika ini diperlukan.

Jika Anda ingin melindungi HDD terhadap pengguna yang menggunakan alat forensik - gunakan alat pencacah data (mis. Rusak, tersedia di sebagian besar distro linux) pada HDD sebelum mengembalikan data dari gambar ke dalamnya. Dengan kerja sekitar satu jam, Anda bahkan dapat menyiapkan USB langsung yang akan merusak HDD kemudian mengisinya kembali dengan data dari gambar.

Dengan cara ini Anda dapat menghemat sedikit kerja sambil tetap melindungi data pengguna dan perusahaan.

Jakub
sumber
1
Membuat image drive langsung dari instalasi Windows, dan menerapkannya ke banyak mesin yang berbeda dapat menyebabkan masalah, karena sesuatu yang disebut mesin SID. Untuk melakukan ini dengan benar, sebelum membuat image drive Anda harus menjalankan utilitas windows yang disebut sysprep dan " menggeneralisasi "OS yang diinstal. Perlu diketahui juga bahwa Anda harus melacak jumlah aktivasi windows, karena beberapa versi hanya membolehkan begitu banyak aktivasi, kadang-kadang hanya lima, dan ketika Anda kehabisan Anda tidak dapat sysprep atau gambar lebih jauh. slmgr / dlv menunjukkan aktivasi yang tersisa.
Dale Mahalko
3
@DaleMahalko Sementara SysPrep diperlukan dan cara yang didukung untuk menduplikasi pemasangan, itu bukan karena duplikasi SID .
TessellatingHeckler
Bahkan jika mereka tidak identik, mudah untuk skrip instalasi pc hari ini. Maka Anda tidak memiliki rasa sakit dari gambar yang ketinggalan zaman.
James Snell
5

Ini tidak ada jawaban terbaik ... tulis perangkat keras Anda sebagai biaya bisnis, dan ketika seseorang pergi kemudian berikan mereka laptop dan beli yang bersih baru; ini menghemat waktu paling banyak, dan merupakan cara positif untuk mendekati keseimbangan kehidupan kerja. Tentu saja, jika mereka hanya ada di sana beberapa minggu maka reset mungkin yang terbaik.

James 'Fluffy' Burton
sumber
5
"Tuliskan perangkat keras Anda sebagai biaya bisnis" tidak membuat biaya hilang. Pola pikir ini seperti membeli telepon baru setiap kali Anda kehabisan baterai.
Ranger
7
Bukan ide "terbaik"; ide buruk di sekitar. Anda harus menuliskan tidak hanya biaya perangkat keras tetapi juga semua lisensi perangkat lunak lain yang diinstal di sana (Beberapa lisensi mungkin tidak dapat ditransfer secara teknis). Saya tidak tahu tentang tempat kerja Anda, tetapi di tempat kerja saya, kebanyakan semuanya memiliki sebutan "Rahasia Perusahaan" di atasnya. Apakah Anda ingin informasi berharga keluar dari pintu atau menghapusnya juga? Asumsikan Anda berpisah dengan persyaratan ramah. Jika itu adalah HW lama dan dalam hubungan baik, "mungkin" gambar ulang maka berikan; mungkin untuk amal vs karyawan (kredit pajak! $$).
Ian W
@Ian W beberapa perangkat lunak dapat dinonaktifkan, membebaskan lisensi untuk pekerja lain di perusahaan (sebagian besar perangkat lunak yang saya lihat memiliki opsi ini untuk pengguna korporat). Sebaliknya, kerahasiaan data yang disimpan di hard disk mesin merupakan masalah. Anda harus menghapus / merusak / isi disk. Itu tentu saja membuat menulis perangkat keras cara yang buruk untuk menyingkirkan masalah (karena Anda harus menyelesaikan masalah terlebih dahulu).
Jakub
Bisnis sudah menggunakan setiap pengeluaran yang mungkin sebagai pengeluaran bisnis, "menghapusnya" tidak melakukan apa yang Anda pikirkan - tidak seperti uang gratis, bisnis masih harus membeli peralatan baru (laptop) dan satu sen yang dihemat adalah sepeser pun diterima. Mungkin Kramer dapat menjelaskannya dengan lebih baik (mungkin tidak)
Xen2050
5

Saya memiliki pengalaman pribadi dengan PC non-reimaged yang menularkan virus ke pengguna baru. (Dan dengan file yang tidak diinginkan lebih lama dari pekerjaan pengguna, tapi itu cerita lain.)

Seperti yang Ushuru tunjukkan, praktik terbaik adalah dengan reimage daripada menginstal ulang. (Dan ya, Anda perlu sysprep, tetapi bukan karena SID, seperti yang dikatakan TesselatingHector.) Mereka tidak harus berupa perangkat keras yang identik; Anda dapat memasukkan berbagai macam driver di gambar Anda dan bahkan menambahkan driver baru secara offline (jika gambar Anda adalah .wim).

Ada seluruh pasar sektor dari desktop yang penyebaran perangkat lunak , dan saya juga pernah melihat orang roll proses mereka sendiri dengan software backup dan mengembalikan khusus "backup" gambar.

Atau, Anda dapat membangun kembali sistem jika Anda suka menginstal OS. ;) Saya mudah bosan dan lebih suka mengotomatiskan.

Katherine Villyard
sumber
3

Jawabannya sangat tergantung pada apakah Anda mengizinkan karyawan menjadi administrator lokal dari mesin mereka sendiri.

Secara umum akun grup Pengguna hanya memiliki izin menulis di direktori profilnya sendiri, dan tidak ada tempat lain di hard drive.

Dalam hal ini tidak ada perubahan yang dapat dilakukan pada sistem oleh pengguna, termasuk menginstal atau menghapus aplikasi, atau membuat file atau direktori tersembunyi di luar direktori profil mereka.

Malware berpotensi menginstal sendiri, tetapi sekali lagi hanya di dalam profil pengguna itu, biasanya di AppData atau Temp.

Untuk pengguna yang dibatasi ini, akun baru benar-benar terputus dari apa pun yang ada di profil pengguna lama.

Dale Mahalko
sumber
7
"Malware berpotensi menginstal sendiri, tetapi sekali lagi hanya di dalam profil pengguna itu" - kecuali jika mengeksploitasi kerentanan hak istimewa. Jadi, bahkan tanpa hak admin lokal, risiko tertentu tetap ada.
user149408
Ini tidak relevan karena masalah semacam ini dapat mempengaruhi siapa saja kapan saja. Sebagai admin untuk sekitar 500 desktop, saya tidak secara berkala menghapus desktop setiap orang setiap 6 bulan karena beberapa kekhawatiran kecil kemungkinan malware yang mungkin lolos dari kelompok keamanan pengguna. Jika Anda menemukan itu terjadi, Anda menanganinya, tetapi jika tidak jangan khawatir tentang hal ini dan biarkan antivirus yang menanganinya.
Dale Mahalko
1
Karyawan memiliki kontrol fisik laptop - sampai membawanya bersama mereka saat bepergian. Jika mereka ingin akses admin, mereka akan mendapatkannya.
Andrew Henle
1
Anggap siapa pun yang memiliki akses fisik ke PC dapat melakukan apa saja yang dapat dilakukan administrator.
Bill K
3

Saya bahkan tidak pernah bermimpi memberikan PC bekas kepada karyawan baru tanpa setidaknya menghapus hard disk. Jika Anda ingin cukup aman, ganti hard drive sepenuhnya.

Kit root sangat kuat. Root kit tidak dikenal oleh OS dan pemindai virus karena mereka diinstal pada tingkat yang lebih rendah (Mereka benar-benar memuat OS dan memberikan OS itu informasi dasar seperti apa yang ada di hard drive, sehingga mereka dapat dengan sangat efektif menyembunyikan diri dari OS). Beberapa bahkan menginstal sendiri ke dalam BIOS dari hard drive yang membuat mereka sangat sulit untuk dihilangkan.

Beberapa dapat menginstal sendiri di BIOS PC Anda dan menginfeksi ulang hard drive baru saat mereka diinstal.

Jika ada karyawan yang tidak puas bahkan dengan keterampilan peretasan ringan sangat ingin mereka dapat mengembalikan komputer kepada Anda dalam keadaan yang akan menghancurkan jaringan Anda berulang kali bahkan setelah hard disk "Reformat". Yang bagus bisa membuatnya sehingga bahkan mengganti hard drive tidak akan membantu.

Seorang karyawan-hacker yang benar-benar berbakat mungkin menggunakan salah satu dari teknik ini untuk mendapatkan akses tak terbatas ke sistem dan data jaringan internal Anda. Pada titik mana pun di masa depan, ia dapat menyambung kembali dari luar - dengan cara yang hampir tidak mungkin bagi Anda untuk berhenti (Karena komputer yang terinfeksi cenderung memanggil sesekali dan mem-bypass semua keamanan firewall).

Untungnya, yang benar-benar berbakat mungkin memiliki hal-hal yang lebih baik untuk dilakukan daripada bekerja untuk perusahaan Anda.

Jawaban James di mana dia mengatakan "Berikan komputer kepada karyawan ketika dia pergi" seharusnya terdengar cukup bagus sekarang - tapi sungguh, hanya mencabut dan menghancurkan HD.

Bill K
sumber
Saya pikir Anda benar, langkah Anda dan James adalah yang paling sedikit berisiko untuk pelanggaran keamanan, tapi ini sulit didapat di kepala sebagian orang, terutama karena mereka tidak mau melakukan pemasangan bersih untuk karyawan baru di tempat pertama;) Itu masih jalan PANJANG untuk pergi ...
ExNought
4
Mungkin orang bisa tertarik untuk mengikuti seminar keamanan. Ada konsekuensi serius untuk tidak menganggap keamanan dengan serius. Berapa banyak eksekutif di perusahaan Anda yang menghargai konten komputer kerja mereka yang diunggah ke internet.? Saya hanya menyebutkan ini karena itu terjadi pada perusahaan teman baru-baru ini. Jaringan kerja saya sepenuhnya terlepas dari internet dan peretas yang disewa masih bisa masuk melalui laptop yang terinfeksi ketika terhubung ke internet kemudian dibawa ke jaringan kami yang terputus. Itu terjadi!
Bill K
@ Bill +1! Saya sangat setuju. Rute terbaik untuk keamanan adalah membuang drive, menginstal ulang BIOS, dan menginstal yang baru. Selain keamanan, masih ada masalah privasi kolega Anda — yang merupakan pertimbangan yang sangat berbeda, dan yang seharusnya tidak harus dikenai analisis biaya-manfaat. Itulah sebabnya saya berpendapat bahwa reimage, atau usap dan instal ulang harus menjadi Praktik Terbaik , dan merobek-robek bagian disk dari kebijakan keamanan yang kuat (dan itu dapat dinilai berdasarkan biaya).
Ryder
1
@Ryder setuju. Juga, jika orang-orang tentang perusahaan Anda khawatir tentang biaya untuk menghancurkan drive vs pencitraan ulang, keluarlah CEPAT. Entah ada pergantian yang luar biasa tinggi atau mereka bangkrut, bagaimanapun itu tidak akan menjadi tempat yang bagus untuk tinggal dalam jangka panjang. (startup telanjang mungkin merupakan pengecualian, tapi mungkin tidak).
Bill K