web-dev-qa-db-ja.com

ベストプラクティス:新入社員のために常に新しいOSをインストールする必要がありますか?

私はこれについて上司と議論しました。一見すると、ラップトップの以前のユーザーは自分のドキュメントフォルダーでしか機能しませんでしたが、次のユーザーのために常に新しいOSをインストールする必要がありますか、それとも古いプロファイルを十分に削除していますか?インストールされているソフトウェアは、主に次のユーザーも必要としています。

インストールが必要だと思いますが、ウイルスと個人データについての私自身の主張を除いて、そうする理由は何ですか?

弊社ではパソコン等の使用を許可しております。プライベートメール、一部のPCではゲームもインストールされています。私たちにはモバイルユーザーがいるので、顧客のサイトにいることが多いので、私は彼らを非難しません。

また、そのため、多くのローカル管理者がいます。

私はローカル管理者アカウントの私的使用と可用性の両方が良いアイデアではないことを知っていますが、それは私がここで働く前にそれが処理された方法であり、私が訓練を受けていないときにのみこれを変更できます;)

編集:投稿されたすべての回答は関連性があると思います。また、私たちの会社で行っているいくつかの実践は、最初は最善ではないことも知っています(ローカル管理者が多すぎるため、例;)。

今のところ、ディスカッションで最も有効な答えはライダーの答えだと思います。彼が彼の回答で与えた例は誇張されているかもしれませんが、元の従業員が個人データを忘れる前に、それはありました。私は最近、古いラップトップでゲームRunawayのリテールコピーを見つけました。プライベートイメージが残っているケースもいくつかありました。

112
ExNought

絶対にすべきです。これは、セキュリティの視点からの常識であるだけでなく、ビジネス倫理の問題として実践する必要もあります。

次のシナリオを想像してみましょう:アリスが去り、彼女のコンピューターがボブに転送されます。ボブはそれを知りませんでしたが、アリスは違法なショタポルノに巻き込まれ、いくつかのファイルをプロファイルの外に隠してしまいました。 ITは彼女のプロファイルのみを消去します。これには彼女の閲覧履歴とローカルファイルのみが含まれます。

ある日、ボブは、スターバックス™に座ってラテを飲みながら、彼のピカピカの新しい作業機で鐘と笛をチェックしています。彼はアリスのキャッシュを偶然見つけ、奇妙に見えるファイルを無邪気にクリックします。突然、ボブのPCがいくつかの州および連邦の規制を大音量で流し出すと、店内のすべての店長が恐怖を振り回して動き回ります。隅の一人の少女が泣き始めます。

ボブは非難されます。 6か月の不況の後、彼の意図しない公序良俗に反する行為(および刑事責任の可能性)のために解雇された後、彼は自分が本当にひどい法的チームであることに気付き、法外に損害を与える訴訟で以前の雇用主に無駄を投げかけました。アリスはタイにいて、引き渡しを逃れます。


たぶん、これは見劣りすることを少し超えているかもしれませんが、元従業員のあらゆる行動を精査する時間をかけないと、絶対に起こる可能性があります。または、時間を節約し、ゼロから再インストールする

217
Ryder

あなたは間違いなくコンピュータをリセット/再インストールする必要があります。その上にビジネスを危険にさらす悪意のあるプログラムが存在する可能性があります。それらは、ウイルスやトロイの木馬、あるいは元従業員が故意にそこに残したものである可能性があります(誰もが良い条件で去るわけではありません)。 @axlの返信のすべての理由も有効です。

作業を簡単にするために、通常のソフトウェアがすべてインストールされた、新しくインストールされたコンピューターのスナップショット/イメージ/バックアップを作成し、すべての新しいコンピューターまたはリサイクルされたコンピューターにこれをプッシュします。手動で再インストールする必要はありません。

43
Silent-Bob

私はIT管理者ではありませんが、いくつかの理由で再インストールする必要があると感じています。

  • ローカル管理者は、以前のユーザーのファイルの所有権を取得できます。

  • 古いユーザーが行ったシステム変更に起因する問題に対処する必要はほとんどありません。

  • 古いユーザーの個人用アプリケーションは、引き続きProgram Filesで使用できます。

ローカル管理者がおらず、ホーム管理者がホームフォルダーの外にあるものを変更またはアクセスできない場合は、心配する必要はありませんが、考慮すべきディスク領域が常にあります。

すべてのソフトウェアを手動でインストールする代わりに、Ghostまたは別のイメージングシステムの使用を検討しましたか?

27
axl

処理するすべてのマシンが同一である(または同一のマシンのグループがある)場合は、一度クリーンインストールを行い、OSを更新して、ユーザーが必要とする基本的なソフトウェアをインストールします。次に、マシンを別のユーザーに再割り当てした場合、HDD障害、ウイルス感染などの場合にシステムを復元できるHDDイメージを作成します。

必要なのは、ディスクイメージから「クリーンインストール」HDDの内容を復元し、必要に応じてWindowsのプロダクトキーを変更することだけです。

フォレンジックツールを使用してユーザーからHDDを保護する場合は、イメージからデータを復元する前に、HDDでデータ細断ツール(たとえば、ほとんどのLinuxディストリビューションで利用可能なシュレッド)を使用します。約1時間分の作業で、HDDを細断処理す​​るライブUSBを準備して、イメージからのデータで再び満たすことができます。

このようにして、ユーザーと会社のデータを保護しながら、かなりの労力を節約できます。

9
Jakub

これには最良の答えがありません...ハードウェアをビジネスコストとして書き留めておき、誰かが去った後にラップトップを渡して新しいクリーンなものを購入します。これにより、最も時間を節約でき、ワークライフバランスに取り組むための前向きな方法になります。もちろん、彼らが数週間しか行っていない場合は、リセットがおそらく最善です。

再イメージングされていないPCで、ウイルスを新しいユーザーに感染させた個人的な経験があります。 (そして、不要なファイルがユーザーの雇用を長持ちさせますが、それはまったく別の話です。)

Ushuruが指摘したように、ベストプラクティスは再インストールではなく再イメージ化することです。 (そしてはい、TesselatingHectorが言ったように、SIDのためではなく、sysprepが必要です。)それらは同一のハードウェアである必要はありません。イメージにさまざまなドライバーを含めることができます 新しいドライバーをオフラインで追加する (イメージが.wimの場合)。

wholemarketsector of desktopdeploymentsoftware があります=また、人々がバックアップソフトウェアを使用して独自のプロセスを実行し、専用の「バックアップ」イメージを復元することも確認しました。

または、OSのインストールが好きな場合は、システムを再構築できます。 ;)私は退屈しやすく、自動化することを好みます。

5

少なくともハードディスクを拭かずに、中古のPCを新入社員に渡すことさえ夢にも思いませんでした。かなり安全にしたい場合は、ハードドライブを完全に交換してください。

ルートキットは非常に強力です。ルートキットは、下位レベルにインストールされているため、OSとウイルススキャナーには認識されません(実際にはOSをロードし、ハードドライブ上の内容などの基本情報をOSに提供します。 OS)。中には、ハードドライブのBIOSに自分自身をインストールするものさえあり、それを取り除くのは非常に困難です。

いくつかは、自分のPCのBIOSに自分自身をインストールし、インストールされた新しいハードドライブに再感染させることができます。

軽度のハッキングスキルさえも備えた不満を持っている従業員が本当に望んでいた場合、ハードディスクを「再フォーマット」した後でも、ネットワークを何度も破壊するような状態のコンピュータを返却することができます。良いものはそれを作ることができるので、ハードドライブを交換しても役に立たないでしょう。

本当に才能のあるハッカーの従業員は、これらの手法のいずれかを使用して、内部ネットワークシステムとデータに無制限にアクセスする可能性があります。将来、いつでも彼は外部から再接続する可能性があります-停止することはほとんど不可能です(感染したコンピュータが時々呼び出され、すべてのファイアウォールセキュリティをバイパスする可能性があるため)。

幸いなことに、本当に才能のある人はおそらくあなたの会社で働くよりも良いことをするでしょう。

ジェームズの「退職時に従業員にコンピューターを渡す」という答えは、今のところかなり良いように聞こえるはずです。

3
Bill K

これに対する答えは、従業員が自分のマシンのローカル管理者になることを許可するかどうかに本当に依存します。

一般に、ユーザーグループアカウントは、それ自体のプロファイルディレクトリにのみ書き込み権限を持ち、ハードドライブの他の場所にはありません。

この場合、アプリケーションのインストールや削除、プロファイルディレクトリ外の隠しファイルやディレクトリの作成など、ユーザーがシステムに変更を加えることはできません。

マルウェアはそれ自体をインストールする可能性がありますが、やはりそのユーザーのプロファイル内のみで、通常はAppDataまたはTempにあります。

これらの制限されたユーザーの場合、新しいアカウントは古いユーザープロファイルにあったものから完全に切断されます。

3
Dale Mahalko