Meilleure pratique: Devrais-je toujours installer un nouveau système d'exploitation pour les nouveaux employés?

112

J'ai eu une dispute avec un supérieur à ce sujet. Bien qu'à première vue, l'utilisateur précédent d'un ordinateur portable ne travaille que dans ses propres dossiers de documents, dois-je toujours installer un nouveau système d'exploitation pour le prochain utilisateur ou la suppression de l'ancien profil suffit-elle? Le logiciel installé est surtout utilisé par le prochain utilisateur.

Je pense qu’une installation est nécessaire, mais à part mes propres arguments concernant les virus et les données privées, quelles sont les raisons de le faire?

Dans notre société, il est autorisé d'utiliser le PC pour le courrier privé, par exemple, sur certains PC, des jeux sont même installés. Nous avons des utilisateurs un peu mobiles, qui sont souvent sur site chez un client, alors je ne les en blâme pas vraiment.

Aussi, à cause de cela, nous avons beaucoup d'administrateurs locaux.

Je sais que l'utilisation privée et la disponibilité des comptes d'administrateur locaux ne sont pas de bonnes idées, mais c'est comme ça que c'était géré avant de travailler ici et je ne peux changer cela qu'une fois mon stage terminé;)

Edit : Je pense que toutes les réponses postées sont pertinentes et je sais aussi que certaines des pratiques de notre entreprise ne sont pas les meilleures pour commencer (administrateur local pour trop de personnes, par exemple;).

Pour le moment, je pense que la réponse la plus utile pour une discussion serait celle de Ryder. Bien que l’exemple qu’il a donné dans sa réponse puisse être exagéré, il est déjà arrivé qu’un ancien employé ait oublié des données privées. J'ai récemment trouvé une copie du jeu Runaway dans un vieux ordinateur portable et nous avons eu quelques cas d'images privées restantes.

windows installation best-practices operating-system ExNought
la source
31
Vous ne voulez pas risquer de ne pas le faire. Trop de choses peuvent mal se passer si vous ne le faites pas (et éventuellement, elles le feront).
Mât
4
Vous ne blâmez pas vos employés de jouer à des jeux dans les locaux de l'entreprise ... parce qu'ils le font quand ils sont avec vos clients? WTF?
Courses de légèreté en orbite
24
@ LightnessRacesinOrbit Eh bien, si vous êtes dans un hôtel pendant des semaines (parfois même les week-ends), et qu'il n'y a absolument rien à faire en dehors du travail, oui, je pense que c'est acceptable. Bien sûr, il y a des préoccupations, mais au moins, cela maintient le moral. De plus, mes soupers et moi-même sommes à peu près certains que de forcer les gens à acheter un ordinateur portable ou une tablette pour leur voyage nous fera du tort. Il y a un certain nombre de raisons qui expliquent
cela
3
@ExoWork: Oh, en dehors du travail, bien sûr. En général, je suis moi-même en voyage d’affaires plusieurs jours et plusieurs nuits par semaine et je fais bon usage de mon ordinateur portable de travail dans ces hôtels! Mais vous avez dit "sur site chez un client", ce qui est très différent.
Courses de légèreté en orbite
8
Je dirais certainement pour toutes les raisons énumérées ici, mais il y en a une autre: si l'ordinateur peut être utilisé à des fins privées, il peut être illégal de donner à quelqu'un d'autre l'accès à ces données en raison des lois sur la protection des données problématique en Allemagne pour autant que je sache). Le formatage du disque garantit qu'aucun tiers ne reçoit de données privées.
DetlevCM

Réponses:

217

Absolument vous devriez. Ce n’est pas seulement du bon sens pour un point de vue de sécurité, cela doit également être une pratique en matière d’éthique des affaires.

Imaginons le scénario suivant: Alice s'en va et son ordinateur est transféré à Bob. Bob ne le savait pas, mais Alice était dans le tournage illégal de pornographie et a laissé plusieurs fichiers en marge de son profil. Elle nettoie son profil et rien d’autre, y compris son historique de navigation et ses fichiers locaux.

Un jour, Bob vérifie les cloches et les sifflets de sa nouvelle machine de travail brillante, assis devant un Starbucks ™ et sirotant un café au lait. Il tombe dans le cache d'Alice et clique innocemment sur un fichier qui a l'air étrange. Soudainement, chaque tête dans le magasin fouille pour regarder avec horreur le PC de Bob bafouer plusieurs réglementations étatiques et fédérales à plein volume. Une petite fille dans le coin se met à pleurer.

Bob est mortifié. Après six mois de dépression et après avoir été congédié pour son indécence publique involontaire (et d'éventuelles accusations criminelles), il se trouve être une véritable équipe de juristes et licencie son ancien employeur par un procès scandaleusement dommageable. Alice est en Thaïlande et échappe à l'extradition.

Tout cela est peut-être un peu au-delà de tout, mais cela pourrait arriver si vous ne prenez pas le temps de parcourir toutes les actions d'un ancien employé. Ou vous pourriez gagner du temps et réinstaller à partir de zéro.

Ryder
la source
30
@gerrit Réinstaller Windows à partir de zéro implique généralement un format complet du disque. La seule façon pour Bob de récupérer les fichiers après cela est d'utiliser des outils d'investigation, ce que vous ne faites généralement pas sans une très bonne raison.
Nzall
10
Alice en Thaïlande n'aide pas. Il y a la loi d'extradiction TH-US . Essayez de choisir un pays Notch Corée est mon candidat;)
vasin1987
37
@ vasin1987 l'avocat d'Alice vient d'appeler. En fait, elle aurait préféré passer le reste de sa vie dans une prison fédérale plutôt que de rester à Pyongyang. Pouvez-vous organiser quelque chose?
David Richerby le
40
Qu'est-ce qui se passe ensuite? J'ai besoin de savoir!
FuriousFolder
13
Cette réponse gagnerait à un petit addendum traitant du coût peu coûteux d’une opération d’effacement complète en tant que procédure standard, par opposition à 1. consacrer du temps à déterminer s’il est nécessaire que chaque machine change de main, puis 2. déterminer si le risque de quelque chose du genre: cela vaut le temps gagné. En pratique, il est probablement plus rapide (temps = argent) de l'effacer que d'essayer de traquer et d'effacer les données de l'utilisateur précédent, même en négligeant le risque.
jpmc26
43

Vous devez absolument réinitialiser / réinstaller les ordinateurs. Il pourrait y avoir des programmes malveillants qui mettraient l’entreprise en danger. Il peut s'agir de virus ou de chevaux de Troie ou de quelque chose que l'ancien employé a quitté là intentionnellement (tout le monde ne part pas en bons termes). Toutes les raisons de la réponse de @ axl sont également valables.

Pour vous simplifier la vie, créez un instantané / une image / une sauvegarde d'un ordinateur fraîchement installé avec tous vos logiciels habituels déjà installés, puis insérez-le simplement sur chaque ordinateur neuf ou recyclé. Aucune réinstallation manuelle nécessaire.

Silent-Bob
la source
"Il pourrait y avoir des programmes malveillants qui mettraient l’entreprise en danger." S'il s'agit d'un ordinateur portable de l'entreprise, on avait déjà fait confiance à un employé avant de l'utiliser. Si un de vos employés s’attaque de manière malveillante à votre réseau, il a déjà eu amplement l’occasion de faire de l’essuyage de sa machine une tactique inefficace.
jpmc26
4
J'ai reçu un ancien ordinateur portable de collègues de travail à mon dernier emploi. Ils n'ont pas réinstallé ni ont une "version standard". J'ai eu une expérience similaire mais pas du genre pornographie. J'ai fini par avoir à faire un format et à me réinstaller car rien ne fonctionnait correctement. L'ancien employé avait complètement arrêté le système en essayant de régler les choses de la manière la plus incompréhensible.
Mike McMahon
@ jpmc26 Pas complètement. Nous avons eu des licenciements où nous soupçonnions qu'ils pouvaient faire quelque chose de vindicatif après leur avoir donné la nouvelle. Nous révoquerions donc de manière proactive leurs autorisations de nos applications et de notre réseau. Ainsi, même s’ils n’avaient peut-être pas un accès actif, ils pouvaient néanmoins incorporer des programmes malveillants ou des enregistreurs de frappe qui pourraient être utilisés une fois l’ordinateur ou le périphérique utilisé par un autre employé. De plus, notre préoccupation n'était pas qu'ils attaquent notre réseau avec malveillance, autant qu'ils pourraient obtenir un emploi chez un concurrent tout en ayant accès aux informations confidentielles de l'entreprise.
Bacon Brad
27

Je ne suis pas un administrateur informatique, mais j’ai le sentiment que vous devriez le réinstaller pour deux raisons:

  • Les administrateurs locaux peuvent s'approprier les fichiers de l'utilisateur précédent.

  • Vous êtes moins susceptible de devoir faire face à des problèmes résultant de modifications apportées au système par l'ancien utilisateur.

  • Les applications personnelles de l'ancien utilisateur seraient toujours disponibles dans Program Files.

Si vous n'avez pas d'administrateurs locaux et qu'ils ne peuvent vraiment pas modifier ou accéder à quoi que ce soit en dehors de leur dossier de départ, je serais moins inquiet, mais alors il y a toujours de l'espace disque à considérer.

Avez-vous envisagé d'utiliser Ghost ou un autre système d'imagerie au lieu d'installer manuellement tous les logiciels?

axl
la source
1
En fait, je l’ai fait, mais c’est aussi l’une des choses qui a été faite manuellement auparavant et personne ne semble vouloir changer cela. Il est sur la liste des tâches une fois mon stage terminé;)
ExNought le
1
Il peut falloir un certain temps pour convaincre les gens qu'il existe de meilleures méthodes, en particulier si la douleur perçue est faible ou nulle. :)
Axl
9

Si toutes les machines que vous manipulez sont identiques (ou s'il existe des groupes de machines identiques), effectuez une nouvelle installation, mettez à jour le système d'exploitation et installez les logiciels de base dont les utilisateurs auront besoin. Créez ensuite une image de disque dur, à partir de laquelle vous pourrez restaurer le système en cas de réaffectation de la machine à un autre utilisateur, de défaillance du disque dur, d’infection virale, etc.

Tout ce que vous avez à faire est simplement de restaurer le contenu du disque dur "d'installation propre" à partir d'une image disque et de modifier la clé de produit Windows si nécessaire.

Si vous souhaitez protéger les disques durs contre les utilisateurs utilisant des outils d'investigation, utilisez un outil de déchiquetage de données (par exemple, shred, disponible dans la plupart des distributions Linux) sur le disque dur avant de restaurer les données de l'image. Avec environ une heure de travail, vous pouvez même préparer une clé USB qui déchiquetera le disque dur, puis le remplira de nouveau avec les données de l'image.

De cette façon, vous épargnerez beaucoup de travail tout en protégeant les données des utilisateurs et de l'entreprise.

Jakub
la source
1
Créer une image de lecteur directe d’une installation Windows et l’appliquer à de nombreuses machines différentes peut être source de problèmes, dus à un nom appelé SID de la machine. Pour le faire correctement, avant de créer l’image de lecteur, vous devez exécuter un utilitaire Windows appelé sysprep et " généraliser "le système d'exploitation installé. Veuillez également noter que vous devez suivre le nombre d'activations de Windows, car certaines versions n'autorisent que de nombreuses activations, parfois même moins de cinq, et lorsque vous manquez, vous ne pouvez plus utiliser sysprep ou une image. slmgr / dlv affiche les activations restantes.
Dale Mahalko
3
@DaleMahalko Bien que SysPrep soit requis et que la façon prise en charge de dupliquer les installations installe, ce n'est pas à cause de la duplication SID .
TessellatingHeckler
Même si elles ne sont pas identiques, il est facile d’écrire l’installation d’un ordinateur de nos jours. Ensuite, vous n'avez pas la douleur des images obsolètes.
James Snell
5

Il manque la meilleure réponse ... écrivez votre matériel en tant que coût professionnel, et lorsque quelqu'un quitte, donnez-lui l'ordinateur portable et achetez-en un nouveau; cela permet de gagner le plus de temps possible et constitue une manière positive d'aborder l'équilibre travail-vie personnelle. Bien sûr, s'ils ne sont là que depuis quelques semaines, une réinitialisation est probablement préférable.

James 'Fluffy' Burton
la source
5
"Notez votre matériel en tant que coût commercial" ne fait pas disparaître le coût. Cet état d’esprit revient à acheter un nouveau téléphone chaque fois que votre batterie est à court de batterie.
Ranger
7
Pas la "meilleure" idée; mauvaise idée tout autour. Vous devez noter non seulement le coût du matériel, mais également toutes les licences des autres logiciels installés à cet emplacement (certaines licences peuvent techniquement ne pas être transférables). Je ne connais pas votre lieu de travail mais chez moi, presque tout porte la désignation "Société confidentielle". Souhaitez-vous que cette information précieuse passe la porte ou l'écrivez-vous aussi? Suppose que vous vous séparez en termes amicaux. Si c'est du vieux hard et en bons termes, "peut-être" re-image puis donner; peut-être à la charité vs employé (crédit d'impôt! $$).
Ian W
@Ian W, certains logiciels peuvent être désactivés, ce qui libère la licence pour un autre employé de l'entreprise (la plupart des logiciels que j'ai vus offrent cette option aux utilisateurs professionnels). La confidentialité des données stockées sur le disque dur de la machine est en revanche un problème. Vous devriez effacer / déchiqueter / le contenu du disque. Cela fait bien sûr que l’écriture de matériel est un mauvais moyen de se débarrasser du problème (car il faut d’abord résoudre le problème).
Jakub
Les entreprises utilisent déjà toutes les dépenses possibles en tant que dépense d'entreprise; "le dédommager" ne fait pas ce que vous pensez probablement - ce n'est pas comme de l'argent gratuit, l'entreprise doit toujours acheter un nouvel équipement (ordinateur portable) et un sou économisé est un centime gagné. Peut-être que Kramer peut mieux l'expliquer (probablement pas)
Xen2050
5

J'ai une expérience personnelle avec des PC non réimagés transmettant des virus à de nouveaux utilisateurs. (Et avec des fichiers indésirables perdant la vie d'un utilisateur, mais c'est une toute autre histoire.)

Comme Ushuru l'a souligné, la meilleure pratique consiste à réimager plutôt qu'à réinstaller. (Et oui, vous avez besoin de sysprep, mais pas à cause des SID, comme l'a dit TesselatingHector.) Ils ne doivent pas nécessairement être du même matériel; vous pouvez inclure une grande variété de pilotes dans votre image et même ajouter de nouveaux pilotes hors ligne (si votre image est un .wim).

Il y a un ensemble du marché du secteur du bureau de déploiement des logiciels , et je l' ai vu aussi des gens roulent leur propre processus avec le logiciel de sauvegarde et de restauration d' une image « de sauvegarde » spécialisée.

Vous pouvez également reconstruire le système si vous aimez installer le système d'exploitation. ;) Je m'ennuie facilement et préfère automatiser.

Katherine Villyard
la source
3

La réponse à cette question dépend vraiment de savoir si vous autorisez les employés à être les administrateurs locaux de leur propre ordinateur.

En général, un compte de groupe d'utilisateurs n'a le droit d'écriture que dans son propre répertoire de profil et nulle part ailleurs sur le disque dur.

Dans ce cas, aucune modification ne peut être apportée au système par l'utilisateur, y compris l'installation ou la suppression d'applications, ou la création de fichiers ou de répertoires cachés en dehors de leur répertoire de profil.

Un logiciel malveillant peut potentiellement s'installer lui-même, mais encore une fois uniquement dans le profil de cet utilisateur, généralement dans AppData ou Temp.

Pour ces utilisateurs restreints, un nouveau compte est complètement déconnecté de l'ancien profil de l'utilisateur.

Dale Mahalko
la source
7
"Les logiciels malveillants peuvent éventuellement s'installer eux-mêmes, mais encore une fois uniquement dans le profil de cet utilisateur", sauf s'il exploite une vulnérabilité d'élévation de privilèges. Ainsi, même sans droits d'administrateur local, un certain risque demeure.
user149408
Ce n'est pas pertinent, car ce type de problème peut toucher n'importe qui à tout moment. En tant qu'administrateur pour environ 500 postes de travail, je n'efface pas périodiquement le poste de travail de chaque personne tous les six mois en raison d'un problème mineur lié à un éventuel programme malveillant pouvant éventuellement échapper au groupe de sécurité des utilisateurs. Si vous découvrez que cela est arrivé, vous vous en occuperez, mais sinon, ne vous inquiétez pas et laissez l’antivirus le gérer.
Dale Mahalko
1
Les employés ont le contrôle physique de l'ordinateur portable, au point de l'apporter avec eux lors de leurs déplacements. S'ils veulent un accès administrateur, ils l'obtiendront.
Andrew Henle
1
Supposons que toute personne ayant un accès physique à un PC puisse faire tout ce qu'un administrateur peut faire.
Bill K
3

Je ne rêverais même jamais de donner un ordinateur usagé à un nouvel employé sans au moins un disque dur. Si vous voulez être assez sûr, remplacez complètement le disque dur.

Les kits de racines sont extrêmement puissants. Le système d'exploitation et les antivirus ne connaissent pas de kit racine car ils sont installés à un niveau inférieur (ils chargent en fait le système d'exploitation et lui donnent des informations de base telles que celles qui se trouvent sur le disque dur, de sorte qu'ils peuvent très efficacement se cacher du OS). Certains s'installent même dans le BIOS du disque dur, ce qui les rend extrêmement difficiles à éliminer.

Quelques-uns peuvent s'installer dans le BIOS de votre PC et réinfecter les nouveaux disques durs à mesure qu'ils sont installés.

Si un employé mécontent, même doué en compétences de piratage informatique, le souhaitait vraiment, il pourrait vous restituer un ordinateur dans un état dévastateur, même après un disque dur "Reformat". Une bonne solution pourrait faire en sorte que même le remplacement du disque dur ne soit d'aucun secours.

Un pirate-employé très talentueux pourrait utiliser l'une de ces techniques pour obtenir un accès illimité à vos systèmes de réseau interne et à vos données. À tout moment dans le futur, il pourrait se reconnecter de l'extérieur - d'une manière qu'il serait presque impossible pour vous de vous arrêter (car l'ordinateur infecté est susceptible d'appeler de temps en temps et de contourner toute la sécurité du pare-feu).

Heureusement, les plus talentueux ont probablement de meilleures choses à faire que de travailler pour votre entreprise.

La réponse de James dans laquelle il disait "Donnez l'ordinateur à l'employé quand il partira" devrait sonner plutôt bien maintenant, mais vraiment, tirez et déchiquetez la HD.

Bill K
la source
Je pense que vous avez raison, vos démarches et celles de James sont celles qui présentent le moins de risque d'infraction à la sécurité, mais il est difficile d'inscrire certaines personnes dans la tête, d'autant qu'elles ne sont pas disposées à effectuer une nouvelle installation pour les nouveaux employés. en premier lieu;) C'est encore un long chemin à parcourir ...
ExNought
4
Peut-être que les gens pourraient être incités à prendre un séminaire sur la sécurité. Il y a de graves conséquences à ne pas prendre la sécurité au sérieux. Combien de cadres de votre entreprise apprécieraient que le contenu de leur ordinateur de travail soit téléchargé sur Internet? Je viens de mentionner cela parce que c'est arrivé à la compagnie d'un ami récemment. Mon réseau de travail est complètement déconnecté d’Internet et les pirates embauchés étaient toujours en mesure d’entrer via des ordinateurs portables infectés lorsqu’ils étaient connectés à Internet, puis intégrés dans notre réseau déconnecté. Ça arrive!
Bill K
@ BillK +1! Je suis entièrement d'accord. Le meilleur moyen de sécurité consiste à jeter les disques, à relancer le BIOS et à en installer un nouveau. Outre la sécurité, il reste encore la question de la vie privée de vos collègues, qui est une considération très différente et qui ne devrait pas être soumise à une analyse coûts-avantages. Quelle est la raison pour laquelle je maintiens qu'un reimage ou wipe et réinstalle devrait être une meilleure pratique et déchiqueter la partie de disque d'une politique de sécurité solide (et qui peut être évaluée par rapport au coût).
Ryder
1
@ Ryder a accepté. De plus, si les gens de votre entreprise s’inquiètent du coût de la destruction d’un lecteur par rapport à une nouvelle imagerie, sortez rapidement. Soit il ya un roulement étonnamment élevé, soit ils font faillite, de toute façon ce ne sera pas un bon endroit pour rester à long terme. (les startups nues peuvent être une exception, mais peut-être pas).
Bill K