Pregunta Práctica recomendada: ¿Debo instalar siempre un sistema operativo nuevo para los empleados nuevos?


Tuve una discusión con un superior sobre esto. Aunque a primera vista el usuario anterior de una computadora portátil solo funcionaba en sus propias carpetas de documentos, ¿debería instalar siempre un nuevo sistema operativo para el siguiente usuario o está eliminando el perfil anterior? El software que se instala también es necesario para el siguiente usuario.

Creo que se necesita una instalación, pero excepto mi propio argumento de virus y datos privados, ¿qué razones existen para hacerlo?

En nuestra empresa está permitido usar la PC, por ejemplo, El correo privado, en algunas PCs incluso se instalan juegos. Tenemos un poco de usuarios móviles, que a menudo están en el sitio de un cliente, por lo que realmente no los culpo.

También por eso tenemos muchos administradores locales por ahí.

Sé que tanto el uso privado como la disponibilidad de cuentas de administración locales no son buenas ideas, pero así fue como se manejó antes de que trabajara aquí y solo puedo cambiar esto una vez que estoy fuera de la práctica;)

Editar: Creo que todas las respuestas publicadas son relevantes, y también sé que algunas de las prácticas que tenemos en mi empresa no son las mejores para comenzar (administración local para demasiadas personas, por ejemplo).

A partir de ahora, creo que la respuesta más útil para una discusión sería la de Ryder. Aunque el ejemplo que dio en su respuesta puede ser exagerado, tiene Ocurrió antes de que un ex empleado olvidó datos privados. Recientemente encontré una copia comercial del juego Runaway en una vieja computadora portátil y también tuvimos un par de casos de imágenes privadas restantes.


111
2018-06-13 05:45


origen


No quieres arriesgarte a no hacerlo. Demasiadas cosas pueden salir mal si no lo haces (y eventualmente, lo harán). - Mast
¿No culpas a tus empleados por jugar juegos en la propiedad de la compañía ... porque lo hacen cuando están con tus clientes? WTF? - Lightness Races in Orbit
@LightnessRacesinOrbit Bueno, si está en un hotel durante semanas (a veces incluso los fines de semana) y no hay nada que hacer fuera del trabajo, sí, creo que eso es aceptable. Ofc hay preocupaciones, pero al menos mantiene la moral. También yo y mis superiores estamos bastante seguros de que obligar a la gente a comprar una computadora portátil o tableta para sus viajes nos perjudicará. Hay una serie de razones aquí, entrar en todas ellas no solo tomaría mucho tiempo, sino que también haría que mi empleador se vea mal;) - ExNought
@ExoWork: Oh, fuera del trabajo, claro. Por lo general, yo mismo salgo de negocios por varios días y noches cada semana y, ciertamente, ¡hago un buen uso de mi computadora portátil de trabajo en esos hoteles! Pero tu dijiste "en el sitio a un cliente" que es muy diferente - Lightness Races in Orbit
Diría que definitivamente debido a todas las razones enumeradas aquí, pero hay otra: si la computadora se puede usar para uso privado, entonces puede ser ilegal otorgarle a otra persona acceso a esos datos debido a las leyes de protección de datos (esto definitivamente podría ser problemática en Alemania, que yo sepa). El formateo de la unidad garantiza que ningún tercero reciba datos privados. - DetlevCM


Respuestas:


Absolutamente deberías. No es solo el sentido común de un punto de vista de seguridad, también debe ser una práctica como una cuestión de ética empresarial.

Imaginemos el siguiente escenario: Alice se va y su computadora se transfiere a Bob. Bob no lo sabía, pero Alice estaba involucrada en el porno ilegal de shota y dejó varios archivos escondidos fuera de su perfil. Borra su perfil y nada más, lo que incluye solo su historial de navegación y archivos locales.

Un día, Bob está mirando las campanas y los silbidos de su nueva y reluciente máquina de trabajo, mientras está sentado en un Starbucks y toma un café con leche. Se topa con el caché de Alice y hace clic inocentemente en un archivo que parece extraño. De repente, todas las cabezas de la tienda se giran para observar con horror cómo la PC de Bob incumple varias regulaciones estatales y federales a todo volumen. Una niña pequeña en la esquina empieza a llorar.

Bob está mortificado. Después de seis meses de depresión y después de haber sido despedido por su acto involuntario de indecencia pública (y posibles cargos criminales), se encuentra a sí mismo como un equipo legal realmente increíble y desperdicia a su ex empleador con una demanda escandalosamente dañina. Alice está en Tailandia y escapa a la extradición.


Tal vez todo esto esté un poco más allá de lo pálido, pero absolutamente podría suceder si no se toma el tiempo de analizar cada acción de un ex empleado. O podrías ahorrar tiempo, y reinstalar desde cero.


216
2018-06-13 06:37



@gerrit Reinstalar Windows desde Scratch generalmente también implica un formato completo del disco. La única forma en que Bob recuperaría los archivos después de eso es mediante la ejecución de herramientas forenses, y normalmente no lo hace sin una buena razón. - Nzall
Alicia en Tailandia no ayuda. Hay ley de extradición TH-US. Trate de elegir otro país. Notch Korea es mi candidato;) - vasin1987
@ vasin1987 El abogado de Alice acaba de llamar. Ella dijo que, en realidad, preferiría pasar el resto de su vida en una prisión federal que quedarse en Pyongyang. ¿Puedes arreglar algo? - David Richerby
¿Qué pasa después? ¡Necesito saber! - FuriousFolder
Esta respuesta se beneficiaría con un pequeño apéndice en el que se discute el costo económico de realizar una limpieza completa como procedimiento operativo estándar en lugar de 1. dedicar tiempo a determinar si es necesario en cada máquina cambiar de manos y luego 2. determinar si existe el riesgo de algo como esto vale la pena el tiempo ahorrado. En la práctica, es probablemente más rápido (tiempo = dinero) simplemente borrarlo que intentar buscar y borrar los datos del usuario anterior, incluso sin tener en cuenta el riesgo. - jpmc26


Definitivamente deberías reiniciar / reinstalar las computadoras. Podría haber programas maliciosos en él que pondrían en riesgo al negocio. Estos podrían ser virus o troyanos o algo que el antiguo empleado dejó allí intencionalmente (no todos lo hacen en buenos términos). Todas las razones en la respuesta de @ axl son válidas, también.

Para hacer su vida más fácil, cree una instantánea / imagen / copia de seguridad de una computadora recién instalada con todo el software habitual ya instalado y simplemente presione esto en cada computadora nueva o reciclada. No es necesario reinstalar manualmente.


43
2018-06-13 06:34



"Podría haber programas maliciosos en él que pondrían en riesgo al negocio". Si se trata de una computadora portátil de la empresa, entonces un empleado ya era confiable para usarla antes de eso. Si tiene un empleado que ataca maliciosamente a su red, ya ha tenido una gran oportunidad de hacer de la limpieza de su máquina una táctica ineficaz. - jpmc26
Recibí una computadora portátil de antiguos compañeros de trabajo en mi último lugar de trabajo. No hicieron reinstalaciones ni tienen una "compilación estándar". Tuve una experiencia similar pero no del tipo de pornografía. Terminé teniendo que hacer un formato y volver a instalarme ya que NADA funcionó correctamente. El ex empleado había suspendido completamente el sistema tratando de modificar las cosas de la manera más incomprensible. - Mike McMahon
@ jpmc26 No completamente. Hemos tenido terminaciones donde sospechamos que podrían hacer algo vengativo. después Dándoles la noticia. Por lo tanto, revocaríamos de forma proactiva los permisos de nuestras aplicaciones y nuestra red. Por lo tanto, si bien es posible que no tengan acceso activo, aún podrían incorporar malware o keyloggers que podrían usarse una vez que la computadora o el dispositivo fuera utilizado por otro empleado. Además, nuestra preocupación no era que atacaran maliciosamente nuestra red tanto como pudieran conseguir un trabajo con un competidor y aún tener acceso a información confidencial de la compañía. - Bacon Brad


No soy administrador de TI, pero tengo la sensación de que deberías reinstalarlo por un par de razones:

  • Los administradores locales pueden tomar posesión de los archivos del usuario anterior.

  • Es menos probable que tenga que lidiar con los problemas que surgen de los cambios en el sistema realizados por el usuario anterior.

  • Las aplicaciones personales del usuario anterior todavía estarían disponibles en Archivos de programa.

Si no tiene administradores locales y realmente no pueden cambiar o acceder a nada fuera de su carpeta de inicio, entonces me preocuparía menos, pero siempre hay espacio en el disco para considerar.

¿Ha considerado usar Ghost u otro sistema de imágenes en lugar de instalar manualmente todo el software?


27
2018-06-13 06:19



En realidad lo hice, pero esa es también una de las cosas, que se hizo manualmente antes y nadie parece querer cambiar eso. Está en la lista de Tareas pendientes una vez que haya terminado mi período de prácticas;) - ExNought
Puede llevar algún tiempo convencer a las personas de que hay mejores formas, especialmente si se percibe poco o nada de dolor. :) - axl


Si todas las máquinas que maneja son idénticas (o existen grupos de máquinas idénticas), realice una instalación limpia una vez, actualice el sistema operativo e instale el software básico que los usuarios necesitarán. Luego cree una imagen de HDD, desde la cual puede restaurar el sistema en caso de reasignar la máquina a otro usuario, falla de HDD, infección de virus, etc.

Todo lo que tiene que hacer es simplemente restaurar los contenidos del disco duro de la "instalación limpia" de la imagen del disco y cambiar la clave del producto de Windows si es necesario.

Si desea proteger las unidades de disco duro contra los usuarios que utilizan herramientas forenses, use una herramienta de destrucción de datos (por ejemplo, triturar, disponible en la mayoría de las distribuciones de linux) en la unidad de disco duro antes de restaurar los datos de la imagen. Con aproximadamente una hora de trabajo, incluso puede preparar un USB en vivo que destruya el disco duro y luego vuelva a llenarlo con los datos de la imagen.

De esta manera, puede ahorrarse bastante trabajo a la vez que protege los datos de los usuarios y de la compañía.


9
2018-06-13 12:49



Hacer una imagen de unidad directa de una instalación de Windows y aplicarla a muchas máquinas diferentes puede causar problemas, debido a algo llamado SID de la máquina. Para hacer esto correctamente, antes de crear la imagen de la unidad, debe ejecutar una utilidad de Windows llamada sysprep y " generalizar "el sistema operativo instalado. También tenga en cuenta que debe realizar un seguimiento del número de activaciones de Windows, ya que algunas versiones solo permiten tantas activaciones, a veces tan poco como cinco, y cuando se agotan, no puede volver a sysprep o crear imágenes. slmgr / dlv muestra las activaciones restantes. - Dale Mahalko
@DaleMahalko Aunque se requiere SysPrep y la forma compatible de duplicar instalaciones, no es por la duplicación de SID. - TessellatingHeckler
Incluso si no son idénticos, es fácil hacer un script de instalación de PC en estos días. Entonces no tienes el dolor de las imágenes desactualizadas. - James Snell


A esto le falta la mejor respuesta ... anote su hardware como un costo comercial, y cuando alguien se vaya, déles la computadora portátil y compre una nueva limpia; esto ahorra el mayor tiempo posible y es una manera positiva de abordar el equilibrio entre la vida laboral y la personal. Por supuesto, si solo han estado allí unas pocas semanas, entonces es mejor reiniciar.


5
2018-06-15 16:03



"Anote su hardware como un costo de negocio" no hace que el costo desaparezca. Esta mentalidad es como comprar un teléfono nuevo cada vez que el suyo se queda sin batería. - Nex Terren
No es la "mejor" idea; mala idea por todos lados Debe anotar no solo el costo del hardware, sino también todas las licencias del otro software instalado allí (algunas licencias técnicamente pueden no ser transferibles). No sé sobre su lugar de trabajo, pero en el mío, casi todo tiene una designación de "Confidencial de la compañía". ¿Quieres esa valiosa información saliendo por la puerta o también la escribes? Supone que se está separando en términos amistosos. Si es antiguo HW y en buenos términos, "tal vez" re-imagen y luego regala; Tal vez a la caridad vs empleado (crédito fiscal! $$). - Ian W
@Ian W puede desactivar algunos programas, liberando la licencia para otro trabajador de la empresa (la mayoría de los programas que he visto tienen esta opción para usuarios corporativos). La confidencialidad de los datos almacenados en el disco duro de la máquina, por otro lado, es un problema. Debes borrar / triturar / el contenido del disco. Eso, por supuesto, hace que escribir hardware sea una mala manera de deshacerse del problema (porque de todos modos tiene que resolver el problema primero). - Jakub
Las empresas ya usan todos los gastos posibles como gastos de empresa, "cancelarlo" no hace lo que probablemente creas: no es como dinero gratis, la empresa todavía tiene que comprar un nuevo equipo (computadora portátil) y un centavo ahorrado es un centavo ganado. Tal vez Kramer puede explicarlo mejor (probablemente no) - Xen2050


Tengo experiencia personal con PC no reimaged pasando virus a nuevos usuarios. (Y con archivos no deseados que duran más que el empleo de un usuario, pero esa es otra historia.)

Como señaló Ushuru, la mejor práctica es volver a crear imágenes en lugar de reinstalar. (Y sí, necesita sysprep, pero no debido a los SID, como dijo TesselatingHector). No tienen que ser hardware idéntico; Puede incluir una amplia variedad de controladores en su imagen e incluso agregar nuevos controladores fuera de línea (Si tu imagen es un .wim).

Hay una todo  mercado  sector de escritorio  despliegue  software, y también he visto personas que realizan su propio proceso con un software de copia de seguridad y restaurando una imagen de "copia de seguridad" especializada.

O bien, puede reconstruir el sistema si le encanta instalar el sistema operativo. ;) Me aburro fácilmente y prefiero automatizar.


5
2018-06-16 20:58





La respuesta a esto realmente depende de si permite que los empleados sean administradores locales de su propia máquina.

En general, una cuenta de grupo de usuarios solo tiene permiso de escritura en su propio directorio de perfil y en ninguna otra parte del disco duro.

En este caso, el usuario no puede realizar cambios en el sistema, incluida la instalación o eliminación de aplicaciones, o la creación de archivos o directorios ocultos fuera de su directorio de perfil.

El malware puede potencialmente instalarse, pero nuevamente solo dentro del perfil de ese usuario, generalmente en AppData o Temp.

Para estos usuarios restringidos, una nueva cuenta está completamente desconectada de lo que estaba en el perfil de usuario anterior.


3
2018-06-13 10:17



"El malware puede potencialmente instalarse, pero nuevamente solo dentro del perfil de ese usuario", a menos que explote una vulnerabilidad de escalada de privilegios. Así que incluso sin derechos de administrador local, queda un cierto riesgo. - user149408
Esto es irrelevante porque este tipo de problema puede afectar a cualquier persona en cualquier momento. Como administrador de aproximadamente 500 escritorios, no borro periódicamente el escritorio de cada persona cada 6 meses debido a una pequeña preocupación sobre un posible malware que podría escapar al grupo de seguridad del usuario. Si descubres que ha sucedido, tratas con él, pero de lo contrario no te preocupes por esto y deja que el antivirus lo maneje. - Dale Mahalko
Los empleados tienen el control físico de la computadora portátil, hasta el punto de llevarla con ellos mientras viajan. Si quieren acceso de administrador, lo obtendrán. - Andrew Henle
Supongamos que cualquier persona con acceso físico a una PC puede hacer cualquier cosa que pueda hacer un administrador. - Bill K


Ni siquiera soñaría con darle una PC usada a un empleado nuevo sin al menos una limpieza del disco duro. Si quería estar bastante seguro, reemplace el disco duro por completo.

Los kits de raíces son extremadamente poderosos. El OS y los analizadores de virus desconocen un kit de raíz porque están instalados en un nivel inferior (en realidad, cargan el sistema operativo y le proporcionan al sistema información básica, como la que se encuentra en el disco duro, para que puedan ocultarse de la manera más efectiva posible). OS). Algunos incluso se instalan en el BIOS del disco duro, lo que los hace extremadamente difíciles de eliminar.

Algunos pueden instalarse en el BIOS de su PC y volver a infectar los nuevos discos duros a medida que se instalan.

Si cualquier empleado descontento con habilidades de piratería incluso leves quisiera devolverle una computadora en un estado que devastaría su red repetidamente, incluso después de un "Reformateo" del disco duro. Una buena podría hacerlo para que incluso reemplazar el disco duro no ayudara.

Un hacker-empleado realmente talentoso podría usar una de estas técnicas para obtener acceso ilimitado a sus datos y sistemas de red interna. En cualquier momento en el futuro, podría volver a conectarse desde el exterior, de una manera que le resultaría casi imposible detenerse (ya que es probable que la computadora infectada se active de vez en cuando y evite toda la seguridad del firewall).

Por suerte, los que tienen más talento probablemente tengan mejores cosas que hacer que trabajar para su empresa.

La respuesta de James en la que dice: "Dale la computadora al empleado cuando se vaya" debería estar sonando bastante bien ahora, pero en realidad, solo tira y destruye el disco duro.


3
2018-06-16 21:42



Creo que tiene razón, sus pasos y los de James son los que tienen menos riesgo de sufrir una brecha de seguridad, pero es difícil de entender en algunas personas, especialmente porque no están dispuestos a hacer una instalación limpia para los nuevos empleados en primer lugar;) que sigue siendo un largo camino por recorrer ... - ExNought
Tal vez la gente podría ser atraída a tomar un seminario de seguridad. Hay serias ramificaciones para no tomar en serio la seguridad. ¿Cuántos ejecutivos de su empresa apreciarían que los contenidos de las computadoras de su trabajo se carguen en Internet? Solo menciono esto porque le sucedió a la compañía de un amigo recientemente. Mi red de trabajo está completamente separada de Internet y los piratas informáticos contratados aún podían ingresar a través de computadoras portátiles que estaban infectadas cuando estaban conectadas a Internet y luego ingresadas a nuestra red desconectada. ¡Sucede! - Bill K
@ BillK +1! Estoy totalmente de acuerdo. La mejor ruta para la seguridad es basura las unidades, vuelva a flashear el BIOS e instale uno nuevo. Aparte de la seguridad, sigue existiendo el problema de la privacidad de sus colegas, que es una consideración muy diferente y que no debería estar sujeta a un análisis de costo-beneficio. Es por eso que mantengo que una reimagen, o limpieza y reinstalación debe ser una Mejores prácticasy destruyendo la parte del disco de una política de seguridad robusta (y ese Puede evaluarse contra el costo). - Ryder
@Ryder estuvo de acuerdo. Además, si la gente de su compañía está preocupada por el costo de destruir una unidad de disco o una nueva imagen, salga rápido. O bien, hay un volumen de negocios asombrosamente alto o se van a la quiebra, de cualquier manera no va a ser un gran lugar para quedarse a largo plazo. (Las startups básicas pueden ser una excepción, pero tal vez no). - Bill K