ベストプラクティス：新しい従業員用に常に新しいOSをインストールする必要がありますか？

112

私はこれについて上司と議論しました。一見、ラップトップの前のユーザーは自分のドキュメントフォルダーでしか動作しませんでしたが、次のユーザーに常に新しいOSをインストールする必要がありますか、それとも古いプロファイルを十分に削除する必要がありますか？インストールされているソフトウェアは、ほとんどの場合、次のユーザーにも必要です。

インストールが必要だと思いますが、ウイルスと個人データに関する私自身の主張を除いて、そうする理由は何ですか？

当社では、PCをプライベートメールなどに使用することが許可されています。一部のPCにはゲームがインストールされています。私たちにはちょっとしたモバイルユーザーがいますが、それはしばしば顧客のサイトにいるので、私は彼らを非難しません。

また、そのため、多くのローカル管理者がいます。

私は個人使用とローカル管理者アカウントの利用可能性の両方が良いアイデアではないことを知っていますが、それは私がここで働く前にそれがどのように扱われたか、そして私は訓練生を終えた後にのみこれを変更できます;）

編集：投稿された回答はすべて関連があると思います。また、私たちの会社で行っているいくつかの慣行は、最初から始めるのが最善ではないことも知っています（たとえば、多すぎる人のローカル管理;）。

今のところ、議論に最も役立つ答えはRyderからのものだと思います。彼が答えで与えた例は誇張されているかもしれませんが、以前の従業員が個人データを忘れる前に起こりました。私は最近、古いラップトップでゲームRunawayの小売コピーを見つけましたが、プライベートイメージが残っているケースもいくつかありました。

— ExNought
ソース

31

あなたはそれをしないことを恐れたくありません。あなたがそうしなければ、あまりにも多くのものがうまくいかない可能性があります（そして最終的にはそうなります）。

— マスト

4

会社の敷地内でゲームをプレイしたことを従業員のせいにしないでください...顧客と一緒にゲームをしているからですか？WTF？

— 軌道上の明るさレース

24

@LightnessRacesinOrbitええと、もしあなたがホテルに数週間（週末も含めて）滞在していて、仕事以外では絶対に何もすることがないなら、それは受け入れられると思います。懸念はありますが、少なくともそれは士気を維持します。また、私と私の上司は、人々が旅行のためにラップトップやタブレットを購入することを余儀なくされることで、私たちに害を与えることは確かです。ここにはいくつかの理由があり、それらすべてに時間がかかるだけでなく、雇用主の見た目も悪くなります;）

— ExNought

3

@ExoWork：ああ、仕事以外では、もちろん。私自身は、通常、毎週数日、夜は仕事で離れており、これらのホテルで仕事用のラップトップを活用しています。しかし、あなたは「顧客の現場で」と言ったが、これは非常に異なっている。

— オービットのライトネスレース

8

ここに挙げたすべての理由のために私は間違いなく言うでしょうが、別の理由があります：コンピュータが私的使用に使用できる場合、データ保護法のために他の誰かにそのデータへのアクセスを与えることは違法かもしれません（これは間違いなく可能性があります私の知る限り、ドイツでは問題があります）。ドライブをフォーマットすると、第三者に個人データが与えられなくなります。

— DetlevCM

217

絶対にすべきです。セキュリティPOVの常識であるだけでなく、ビジネス倫理の問題としても実践する必要があります。

次のシナリオを想像してみましょう。アリスが去り、彼女のコンピューターがボブに転送されます。ボブはそれを知りませんでしたが、アリスは違法なショタポルノに夢中になり、いくつかのファイルを彼女のプロフィールの外に残しました。ITは、閲覧履歴とローカルファイルのみを含むプロファイルを消去します。

ある日、ボブはスターバックス™に座ってラテをすすりながら、彼の光沢のある新しい作業機械でベルとホイッスルをチェックしています。彼はアリスのキャッシュを偶然見つけ、奇妙に見えるファイルを無邪気にクリックします。突然、ボブのPCが州および連邦の複数の規制を大量に暴走するので、店のすべての頭が恐怖で見守るために鞭打ちます。角の小さな女の子が泣き始めます。

ボブは悔しいです。6か月のうつ病の後、彼の意図しない公然わいせつ行為（および可能性のある刑事告発）で解雇された後、彼は自分が本当にひどい法的チームであることに気付き、法外な損害を与えた訴訟で彼の元雇用主に浪費します。アリスはタイにいて、引き渡しを免れます。

たぶん、これはほんの少しを超えているかもしれませんが、元従業員のあらゆる行動を精査するために時間をかけなければ絶対に起こり得ます。または、時間を節約し、ゼロから再インストールすることもできます。

— ライダー
ソース

30

@gerrit通常、Windowsを最初から再インストールすることは、ディスクの完全なフォーマットも意味します。その後、Bobがファイルを取り戻す唯一の方法は、フォレンジックツールを実行することです。通常は、非常に正当な理由がない限りそれを行いません。

— -Nzall

10

タイのアリスは助けにはなりません。TH-USの禁酒法があります。他の国を選んでみてください。Notch Koreaは私の候補です;）

— vasin1987

37

@ vasin1987アリスの弁護士が電話をかけました。彼女は、実際には、平壌に滞在するよりも、残りの人生を連邦刑務所で過ごすことを好むと言いました。何か手配できますか？

— デビッドリチャービー

40

次は何が起こる？私は知る必要がある！

— -FuriousFolder

13

この答えは、1。各マシンで手を交換する必要があるかどうかを判断するのに時間を費やし、次に2。これは時間を節約する価値があります。実際には、リスクを無視して、前のユーザーのデータを探し出して消去しようとするよりも、単に消去する方が時間（お金）のほうが早いでしょう。

— jpmc26

43

必ずコンピューターをリセット/再インストールする必要があります。ビジネスを危険にさらす悪質なプログラムが存在する可能性があります。それらは、ウイルスやトロイの木馬、または元従業員が意図的にそこに残したものである可能性があります（誰もが良い条件で去るわけではありません）。@axlの返信のすべての理由も有効です。

生活を楽にするために、新しくインストールしたコンピューターのスナップショット/イメージ/バックアップを作成し、通常のソフトウェアをすべてインストールして、新しいコンピューターまたはリサイクルしたコンピューターすべてにプッシュします。手動で再インストールする必要はありません。

— サイレントボブ
ソース

「ビジネスを危険にさらす悪意のあるプログラムが存在する可能性があります。」会社のラップトップの場合、従業員はそれより前にそれを使用することをすでに信頼されていました。悪意を持ってネットワークを攻撃している従業員がいる場合、彼らはすでに自分のマシンだけを拭くことを非効率的な戦術にする十分な機会を得ています。

— jpmc26

4

私は最後の職場で同僚のラップトップを受け取りました。再インストールも「標準ビルド」もありませんでした。私は似たような経験をしましたが、ポルノのような経験はありませんでした。何も正常に機能しなかったため、フォーマットを実行して自分を再インストールする必要がありました。元従業員は、最もわかりにくい方法で物事を微調整しようとして、システムを完全に使い果たしていました。

— マイクマクマホン

@ jpmc26完全ではありません。私たちは、彼らにニュースを与えた後、彼らが立派な何かをすることができると疑った終了をした。そのため、アプリケーションとネットワークからアクセス許可を事前に取り消すことになります。したがって、彼らはアクティブなアクセス権を持っていなかったかもしれませんが、コンピューターまたはデバイスが別の従業員によって使用されると使用できるマルウェアまたはキーロガーを組み込むことができました。また、私たちの懸念は、彼らが競合他社と仕事をすることができ、なおかつ企業の機密情報にアクセスできる限り、悪意を持ってネットワークを攻撃することではありませんでした。

— ベーコンブラッド

27

私はIT管理者ではありませんが、いくつかの理由で再インストールする必要があると感じています。

ローカル管理者は、前のユーザーのファイルの所有権を取得できます。
古いユーザーが行ったシステムの変更に起因する問題に対処する必要はほとんどありません。
古いユーザーの個人用アプリケーションは、引き続きProgram Filesで利用できます。

ローカル管理者がいなくて、彼らが本当に自分のホームフォルダの外にあるものを変更したりアクセスしたりすることができない場合、私はそれほど心配しませんが、それから考慮すべきディスクスペースが常にあります。

すべてのソフトウェアを手動でインストールする代わりに、Ghostまたは別のイメージングシステムを使用することを検討しましたか？

— axl
ソース

1

実際にやったこともありますが、それは以前にも手作業で行われていたことの1つであり、NOONEはそれを変更したいようです。それは私が私の研修生で終わったらToDoのリストに載っています;）

— ExNought

1

特に、痛みがほとんどまたはまったく感じられない場合は、より良い方法があることを人々に納得させるのに時間がかかることがあります。:)

— axl

9

処理するすべてのマシンが同一（または同一マシンのグループがある）の場合は、クリーンインストールを1回行い、OSを更新して、ユーザーが必要とする基本ソフトウェアをインストールします。次に、マシンを別のユーザーに再割り当てする場合、HDDの障害、ウイルス感染などの場合にシステムを復元できるHDDイメージを作成します。

必要なことは、ディスクイメージから「クリーンインストール」HDDの内容を復元し、これが必要な場合はWindowsプロダクトキーを変更するだけです。

フォレンジックツールを使用するユーザーからHDDを保護する場合は、イメージからデータを復元する前に、HDDでデータシュレッドツール（たとえば、ほとんどのLinuxディストリビューションで利用可能なシュレッド）を使用します。約1時間の作業で、HDDを細断処理するライブUSBを準備し、イメージからのデータを再充填することもできます。

この方法により、ユーザーと会社のデータを保護しながら、かなりの労力を節約できます。

— ヤクブ
ソース

1

Windowsインストールのダイレクトドライブイメージを作成し、それを多くの異なるマシンに適用すると、マシンSIDと呼ばれるものが原因で問題が発生する可能性があります。これを正しく行うには、ドライブイメージを作成する前に、sysprepと呼ばれるWindowsユーティリティを実行し、インストールされたOSを一般化します。また、一部のバージョンでは非常に多くのアクティベーションしか許可されない場合があり、場合によっては5回程度しか許可されないため、Windowsアクティベーションの数を追跡する必要があります。slmgr / dlvは、残りのアクティベーションを表示します。

— デールマハルコ

3

@DaleMahalko SysPrepは必須であり、インストールを複製するためのサポートされている方法ですが、SIDの重複のためではありません。

— TessellatingHeckler

それらが同一でなくても、最近のPCインストールのスクリプトを作成するのは簡単です。そうすれば、古いイメージの痛みはありません。

— ジェームズスネル

5

これは最良の答えを欠いています...ビジネスコストとしてハードウェアを書き留めて、誰かが去ったらラップトップを渡してきれいな新しいものを買ってください。これにより、すべての時間を節約でき、ワークライフバランスにアプローチするための前向きな方法です。もちろん、数週間しか行っていない場合は、おそらくリセットが最適です。

— ジェームズ「ふわふわ」バートン
ソース

5

「ハードウェアをビジネスコストとして書き留める」ことで、コストは消えません。この考え方は、バッテリーが切れるたびに新しい電話を購入するようなものです。

— レンジャー

7

「最高の」アイデアではありません。周りの悪い考え。ハードウェアのコストだけでなく、そこにインストールされている他のソフトウェアのライセンスもすべて書き留める必要があります（技術的には譲渡できないライセンスもあります）。私はあなたの職場については知りませんが、私の職場では、ほとんどすべてに「企業機密」の指定があります。あなたはその貴重な情報をドアから出して行きたいですか、それとも書き留めますか？友好的な条件で別れをしていると仮定します。それが古いハードウェアであり、良い条件であれば、「多分」イメージを変更してから配る。多分慈善団体対従業員（税額控除！$$）に。

— イアンW

@Ian W一部のソフトウェアを非アクティブ化して、社内の別の従業員にライセンスを解放することができます（私が見たほとんどのソフトウェアには、企業ユーザー向けのこのオプションがあります）。一方、マシンのハードディスクに保存されているデータの機密性は問題です。ディスクの内容を/ shred /ワイプする必要があります。もちろん、ハードウェアを書き留めることは問題を取り除くための悪い方法になります（とにかく最初に問題を解決する必要があるため）。

— ヤクブ

企業は既にすべての可能な費用を事業費として使用しているため、「それを償却する」ことはおそらくあなたが思うことをしません-それは無料のお金のようではなく、ビジネスはまだ新しい機器（ラップトップ）を購入しなければならず、節約されたペニーはペニーが稼いだ。多分クレイマーはそれをもっとよく説明できるでしょう（おそらくそうではない）

— Xen2050

5

イメージを再作成していないPCがウイルスを新しいユーザーに渡すという個人的な経験があります。（そして、不要なファイルがユーザーの雇用より長持ちすることもありますが、それはまったく別の話です。）

Ushuruが指摘したように、ベストプラクティスは再インストールではなくイメージの再作成です。（そして、はい、sysprepが必要ですが、TesselatingHectorが言ったようにSIDのためではありません。）これらは同一のハードウェアである必要はありません。イメージにさまざまなドライバーを含めることができ、新しいドライバーをオフラインで追加することもできます（イメージが.wimの場合）。

あります全体の市場部門のデスクトップ展開ソフトウェアは、と私はまた、人々はバックアップソフトウェアや専門「バックアップ」イメージを復元すると、独自のプロセスをロール見てきました。

または、OSのインストールが好きな場合は、システムを再構築できます。;）私は簡単に退屈し、自動化することを好みます。

— キャサリン・ビリヤード
ソース

3

これに対する答えは、従業員が自分のマシンのローカル管理者になることを許可するかどうかによって異なります。

一般に、ユーザーグループアカウントは、自身のプロファイルディレクトリへの書き込み権限のみを持ち、ハードドライブ上の他の場所には持ちません。

この場合、ユーザーは、アプリケーションのインストールや削除、またはプロファイルディレクトリ外の隠しファイルやディレクトリの作成など、ユーザーがシステムに変更を加えることはできません。

マルウェアはそれ自体をインストールする可能性がありますが、やはりユーザーのプロファイル内（通常はAppDataまたはTemp）にのみインストールされます。

これらの制限されたユーザーの場合、新しいアカウントは古いユーザープロファイルにあったものから完全に切断されます。

— デール・マハルコ
ソース

7

「マルウェアは潜在的に自分自身をインストールできますが、再びそのユーザーのプロファイル内でのみ」-特権昇格の脆弱性を利用しない限り。したがって、ローカル管理者権限がなくても、一定のリスクが残ります。

— user149408

この種の問題はいつでも誰にでも影響を与える可能性があるため、これは無関係です。約500台のデスクトップの管理者として、ユーザーセキュリティグループから逃れる可能性のあるマルウェアに関する軽微な懸念で、6か月ごとにすべての個人のデスクトップを定期的に消去するわけではありません。発生したことがわかった場合は対処しますが、それ以外の場合は心配せずに、ウイルス対策に処理させます。

— デールマハルコ

1

従業員はラップトップを物理的に制御します-旅行中にラップトップを持ち込むという点まで。管理者アクセスが必要な場合は、取得します。

— アンドリューヘンレ

1

PCに物理的にアクセスできる人なら誰でも、管理者ができることは何でもできると想定してください。

— ビルK

3

少なくともハードディスクをワイプすることなく、使用済みのPCを新しい従業員に渡すなんて夢にも思いません。かなり安全にしたい場合は、ハードドライブを完全に交換してください。

ルートキットは非常に強力です。ルートキットは、OSとウイルススキャナーによって低いレベルでインストールされるため不明です（これらは実際にOSをロードし、OSにハードドライブの内容などの基本情報を提供します。 OS）。ハードドライブのBIOSに自分でインストールするものもあり、それらを取り除くのは非常に困難です。

いくつかは、PCのBIOSに自分自身をインストールし、インストール時に新しいハードドライブを再感染させることができます。

軽度のハッキングスキルさえある不満を持つ従業員が本当に望んでいた場合、ハードディスクを「再フォーマット」した後でも、ネットワークを繰り返し破壊するような状態でコンピュータを返すことができます。良いものは、ハードドライブを交換しても役に立たないようにすることができます。

本当に才能のあるハッカー従業員は、これらの手法のいずれかを使用して、内部ネットワークシステムとデータに無制限にアクセスする可能性があります。将来の任意の時点で、彼は外部から再接続することができます-あなたが停止することはほとんど不可能な方法で（感染したコンピューターは時々呼び出され、すべてのファイアウォールセキュリティをバイパスする可能性が高いため）。

幸いなことに、本当に才能のある人はおそらくあなたの会社で働くよりもやるべきことがあるでしょう。

「退社時に従業員にコンピューターを渡す」と言ったジェームズの答えは、今のところかなり良いように聞こえますが、実際には、HDをヤンクしてシュレッドします。

— ビル・K
ソース

私はあなたが正しいと思います、あなたとジェームズのステップはセキュリティ侵害のリスクが最も少ないものですが、特に新入社員のためにクリーンインストールをする気がないので、これは一部の人々の頭の中に入るのは難しいですそもそも;）それはまだ

— 長い道のり

4

おそらく、人々はセキュリティセミナーに参加するよう誘惑される可能性があります。セキュリティを真剣に受け止めないことには深刻な影響があります。あなたの会社の何人の幹部が、職場のコンピューターのコンテンツがインターネットにアップロードされていることに感謝しますか？友人の会社に最近起こったので、私はちょうどこれに言及します。私の職場のネットワークはインターネットから完全に切り離されており、雇われたハッカーは、インターネットに接続したときに感染したラップトップを介して侵入し、切断されたネットワークに持ち込むことができました。それが起こる！

— ビルK

@BillK +1！全くもって同じ意見です。セキュリティを確保する最善の方法は、ドライブを破棄し、BIOSを再フラッシュして、新しいものをインストールすることです。セキュリティは別として、同僚のプライバシーの問題がまだあります。これは非常に異なる考慮事項であり、費用便益分析の対象とすべきではありません。これは私がイメージの再作成、またはワイプして再インストールがなければならないことを維持したい理由はベストプラクティス、および堅牢なセキュリティポリシーのディスク部分を破砕（そしてそれはコストに照らして評価することができます）。

— ライダー

1

@Ryderは同意しました。また、あなたの会社の人々がドライブの破壊と再イメージングのコストを心配しているなら、早く出てください。驚くほど高い離職率があるか、彼らが破産するかのどちらかです。いずれにしても、長期的に滞在するのに最適な場所とはなりません。（ベアボーンのスタートアップは例外かもしれませんが、そうでないかもしれません）。

— ビルK