Mejor práctica: ¿Debería instalar siempre un SO nuevo para los nuevos empleados?

112

Tuve una discusión con un superior sobre esto. Aunque a primera vista el usuario anterior de una computadora portátil solo funcionaba en sus propias carpetas de documentos, ¿debería instalar siempre un nuevo sistema operativo para el siguiente usuario o está eliminando el perfil anterior lo suficiente? El siguiente usuario también necesita el software que está instalado.

Creo que se necesita una instalación, pero excepto mi propio argumento de virus y datos privados, ¿qué razones hay para hacerlo?

En nuestra empresa está permitido usar la PC para, por ejemplo, correo privado, en algunas PC incluso hay juegos instalados. Tenemos usuarios móviles, que a menudo están en el sitio de un cliente, por lo que realmente no los culpo.

Además, por eso tenemos muchos administradores locales.

Sé que tanto el uso privado como la disponibilidad de cuentas de administrador locales no son buenas ideas, pero así es como se manejó antes de trabajar aquí y solo puedo cambiar esto una vez que me quede sin prácticas;)

Editar : Creo que todas las respuestas publicadas son relevantes, y también sé que algunas de las prácticas que tenemos en mi empresa no son las mejores para empezar (administrador local para demasiadas personas, por ejemplo).

A partir de ahora, creo que la respuesta más útil para una discusión sería la de Ryder. Aunque el ejemplo que dio en su respuesta puede ser exagerado, ha sucedido antes que un ex empleado olvidó los datos privados. Recientemente encontré una copia minorista del juego Runaway en una vieja computadora portátil y también tuvimos un par de casos de imágenes privadas restantes.

windows installation best-practices operating-system ExNought
fuente
31
No quieres arriesgarte a no hacerlo. Demasiadas cosas pueden salir mal si no lo haces (y eventualmente, lo harán).
Mástil
44
¿No culpas a tus empleados por jugar juegos en la propiedad de la empresa ... porque lo hacen cuando están con tus clientes? WTF?
Carreras de ligereza en órbita
24
@LightnessRacesinOrbit Bueno, si estás en un hotel durante semanas (incluso a veces incluso los fines de semana) y, fuera del trabajo, no hay absolutamente nada que hacer, sí, creo que eso es aceptable. Ofc hay preocupaciones, pero al menos mantiene la moral. También yo y mis superiores estamos bastante seguros de que obligar a las personas a comprar una computadora portátil o tableta para sus viajes nos perjudicará. Hay varias razones aquí, entrar en todas ellas no solo tomaría demasiado tiempo, sino que también haría que mi empleador se viera mal;)
ExNought
3
@ExoWork: Oh, fuera del trabajo, claro. Por lo general, yo mismo estoy fuera por negocios durante varios días y noches cada semana, ¡y ciertamente hago un buen uso de mi computadora portátil de trabajo en esos hoteles! Pero usted dijo "en el sitio de un cliente", que es muy diferente.
ligereza corre en órbita el
8
Definitivamente, diría que debido a todas las razones enumeradas aquí, pero hay otra: si la computadora se puede usar para uso privado, entonces puede ser ilegal otorgar a otra persona acceso a esos datos debido a las leyes de protección de datos (esto definitivamente podría ser problemático en Alemania por lo que yo sé). Formatear la unidad asegura que ningún tercero reciba datos privados.
DetlevCM

Respuestas:

217

Absolutamente deberías. No es solo sentido común de un punto de vista de seguridad, sino que también debe ser una cuestión de ética empresarial.

Imaginemos el siguiente escenario: Alice se va y su computadora se transfiere a Bob. Bob no lo sabía, pero Alice estaba metida en porno ilegal de shota y dejó varios archivos escondidos fuera de su perfil. TI borra su perfil y nada más, lo que incluye solo su historial de navegación y archivos locales.

Un día, Bob está revisando las campanas y los silbatos en su nueva y brillante máquina de trabajo, mientras está sentado en un Starbucks ™ y bebe un café con leche. Se topa con el caché de Alice e inocentemente hace clic en un archivo que parece extraño. De repente, todos los jefes de la tienda se giran para mirar con horror cómo la PC de Bob incumple varias regulaciones estatales y federales a todo volumen. Una niña pequeña en la esquina comienza a llorar.

Bob está mortificado. Después de seis meses de depresión y después de haber sido despedido por su acto involuntario de indecencia pública (y posibles cargos penales), se encuentra a sí mismo como un equipo legal realmente agrietado y arruina a su antiguo empleador con una demanda escandalosamente perjudicial. Alice está en Tailandia y escapa a la extradición.

Tal vez todo esto esté un poco más allá de la palidez, pero podría suceder absolutamente si no se toma el tiempo de explorar cada acción de un ex empleado. O podría ahorrar tiempo y volver a instalar desde cero.

Ryder
fuente
30
@gerrit Reinstalar Windows desde cero generalmente también implica un formato completo del disco. La única forma en que Bob recuperará los archivos después de eso es mediante la ejecución de herramientas forenses, y generalmente no lo hace sin una muy buena razón.
Nzall
10
Alicia en Tailandia no ayuda. Existe la ley de extradición TH-US . Intenta elegir otro país. Notch Korea es mi candidato;)
vasin1987
37
@ vasin1987 El abogado de Alice acaba de llamar. Ella dijo que, en realidad, preferiría pasar el resto de su vida en una prisión federal que quedarse en Pyongyang. ¿Puedes arreglar algo?
David Richerby
40
¿Qué pasa después? ¡Necesito saber!
FuriousFolder
13
Esta respuesta se beneficiaría de una pequeña adición que discute el costo económico de realizar una limpieza completa como procedimiento operativo estándar en lugar de 1. pasar tiempo determinando si es necesario en cada máquina cambiar de manos, y luego 2. determinar si el riesgo de algo así Esto vale el tiempo ahorrado. En la práctica, probablemente sea más rápido (tiempo = dinero) simplemente borrarlo que tratar de cazar y borrar los datos del usuario anterior, incluso sin tener en cuenta el riesgo.
jpmc26
43

Definitivamente debe reiniciar / reinstalar las computadoras. Podría haber programas maliciosos que pondrían en riesgo el negocio. Esos podrían ser virus o troyanos o algo que el ex empleado dejó allí intencionalmente (no todos se van en buenos términos). Todas las razones en la respuesta de @ axl también son válidas.

Para facilitarle la vida, cree una instantánea / imagen / copia de seguridad de una computadora recién instalada con todo su software habitual ya instalado y simplemente presione esto en cada computadora nueva o reciclada. No se necesita reinstalación manual.

Silent-Bob
fuente
"Podría haber programas maliciosos que pondrían en riesgo el negocio". Si se trata de una computadora portátil de la compañía, entonces un empleado ya tenía confianza para usarla antes de eso. Si tiene un empleado que ataca maliciosamente su red, ya ha tenido una amplia oportunidad de hacer que limpiar solo su máquina sea una táctica ineficaz.
jpmc26
44
Recibí una computadora portátil de mis antiguos compañeros de trabajo en mi último lugar de trabajo. No hicieron reinstalaciones ni tenían una "compilación estándar". Tuve una experiencia similar pero no del tipo de pornografía. Terminé teniendo que hacer un formato y reinstalarme ya que NADA funcionó correctamente. El ex empleado había manchado completamente el sistema tratando de modificar las cosas de la manera más incomprensible.
Mike McMahon
@ jpmc26 No completamente. Hemos tenido terminaciones donde sospechamos que podrían hacer algo vengativo después de darles la noticia. Por lo tanto, revocaríamos de manera proactiva sus permisos de nuestras aplicaciones y nuestra red. Por lo tanto, si bien es posible que no tuvieran acceso activo, aún podrían incorporar malware o keyloggers que podrían usarse una vez que la computadora o dispositivo fuera utilizado por otro empleado. Además, nuestra preocupación no era que atacaran maliciosamente nuestra red tanto como pudieran conseguir un trabajo con un competidor y aún así tener acceso a información confidencial de la compañía.
Bacon Brad
27

No soy administrador de TI, pero creo que debe reinstalarlo por un par de razones:

  • Los administradores locales pueden tomar posesión de los archivos del usuario anterior.

  • Es menos probable que tenga que lidiar con problemas derivados de cambios en el sistema realizados por el usuario anterior.

  • Las aplicaciones personales del antiguo usuario seguirían estando disponibles en Archivos de programa.

Si no tiene administradores locales y realmente no pueden cambiar ni acceder a nada fuera de su carpeta de inicio, entonces estaría menos preocupado, pero siempre hay espacio en el disco para considerar.

¿Ha considerado usar Ghost u otro sistema de imágenes en lugar de instalar manualmente todo el software?

axl
fuente
1
En realidad lo hice, pero esa es también una de las cosas, que se hizo manualmente antes y NADIE parece querer cambiar eso. Está en la lista de tareas pendientes una vez que haya terminado con mi pasantía;)
ExNought
1
Puede llevar algún tiempo convencer a las personas de que hay mejores formas, especialmente si hay poco o ningún dolor percibido. :)
axl
9

Si todas las máquinas que maneja son idénticas (o hay grupos de máquinas idénticas), realice una instalación limpia una vez, actualice el sistema operativo e instale el software básico que los usuarios necesitarán. Luego, cree una imagen de HDD, desde la cual puede restaurar el sistema en caso de reasignar la máquina a otro usuario, falla de HDD, infección de virus, etc.

Todo lo que tiene que hacer es restaurar el contenido del disco duro "instalación limpia" de la imagen del disco y cambiar la clave del producto de Windows si es necesario.

Si desea proteger los discos duros contra los usuarios que usan herramientas forenses, use una herramienta de trituración de datos (p. Ej. Trituración, disponible en la mayoría de las distribuciones de Linux) en el disco duro antes de restaurar los datos de la imagen. Con aproximadamente una hora de trabajo, incluso puede preparar un USB en vivo que destruirá el HDD y luego volver a llenarlo con datos de la imagen.

De esta forma, puede ahorrarse bastante trabajo mientras protege los datos de los usuarios y de la empresa.

Jakub
fuente
1
Hacer una imagen de unidad directa de una instalación de Windows y aplicarla a muchas máquinas diferentes puede causar problemas, debido a algo llamado SID de la máquina. Para hacer esto correctamente, antes de crear la imagen de unidad, debe ejecutar una utilidad de Windows llamada sysprep y " generalizar "el sistema operativo instalado. Además, tenga en cuenta que debe realizar un seguimiento de la cantidad de activaciones de Windows, ya que algunas versiones solo permiten tantas activaciones, a veces tan solo cinco, y cuando se agota, ya no puede usar sysprep ni crear imágenes. slmgr / dlv muestra las activaciones restantes.
Dale Mahalko
3
@DaleMahalko Si bien se requiere SysPrep y la forma admitida de duplicar instalaciones, no se debe a la duplicación de SID .
TessellatingHeckler
Incluso si no son idénticos, es fácil escribir la instalación de la PC en estos días. Entonces no tienes el dolor de las imágenes desactualizadas.
James Snell
5

Esta es la mejor respuesta ... anote su hardware como un costo comercial, y cuando alguien se vaya, entréguele la computadora portátil y compre una nueva y limpia; Esto ahorra la mayor parte del tiempo y es una forma positiva de abordar el equilibrio entre el trabajo y la vida. Por supuesto, si solo han estado allí unas pocas semanas, entonces un reinicio probablemente sea lo mejor.

James 'Fluffy' Burton
fuente
55
"Anote su hardware como un costo comercial" no hace que el costo desaparezca. Esta mentalidad es como comprar un nuevo teléfono cada vez que el suyo se queda sin batería.
Guardabosques el
77
No es la "mejor" idea; mala idea por todas partes. Debe anotar no solo el costo del hardware sino también todas las licencias del otro software instalado allí (algunas licencias técnicamente pueden no ser transferibles). No sé sobre su lugar de trabajo, pero en el mío, casi todo tiene una designación de "Confidencial de la empresa". ¿Desea que esa valiosa información salga por la puerta o la descarta también? Asume que te estás separando en términos amigables. Si es viejo HW y en buenos términos, "tal vez" re-imagen y luego regalar; quizás a caridad vs empleado (¡crédito fiscal! $$).
Ian W
@Ian W se puede desactivar algún software, liberando la licencia para otro trabajador de la empresa (la mayoría del software que he visto tiene esta opción para usuarios corporativos). La confidencialidad de los datos almacenados en el disco duro de la máquina, por otro lado, es un problema. Debe borrar / destruir / el contenido del disco. Eso, por supuesto, hace que escribir hardware sea una mala manera de deshacerse del problema (porque de todos modos tiene que resolver el problema primero).
Jakub
Las empresas ya usan todos los gastos posibles como un gasto comercial, "cancelarlo" no hace lo que probablemente piensas que hace: no es como dinero gratis, la empresa todavía tiene que comprar equipo nuevo (computadora portátil) y un centavo ahorrado es un centavo ganado. Quizás Kramer pueda explicarlo mejor (probablemente no)
Xen2050
5

Tengo experiencia personal con PC no reimpresas que transmiten virus a nuevos usuarios. (Y con archivos no deseados que duran más que el empleo de un usuario, pero esa es otra historia).

Como Ushuru señaló, la mejor práctica es volver a crear imágenes en lugar de reinstalar. (Y sí, necesita sysprep, pero no debido a los SID, como dijo TesselatingHector). No tienen que ser hardware idéntico; puede incluir una amplia variedad de controladores en su imagen e incluso agregar nuevos controladores sin conexión (si su imagen es un .wim).

Hay un sector de mercado completo de software de implementación de escritorio , y también he visto personas desarrollar su propio proceso con software de respaldo y restaurar una imagen especializada de "respaldo".

O bien, puede reconstruir el sistema si le encanta instalar el sistema operativo. ;) Me aburro fácilmente y prefiero automatizar.

Katherine Villyard
fuente
3

La respuesta a esto realmente depende de si permite que los empleados sean administradores locales de su propia máquina.

En general, una cuenta de grupo de usuarios solo tiene permiso de escritura en su propio directorio de perfil y en ningún otro lugar del disco duro.

En este caso, el usuario no puede realizar cambios en el sistema, incluida la instalación o eliminación de aplicaciones, o la creación de archivos o directorios ocultos fuera de su directorio de perfil.

Potencialmente, el malware puede instalarse, pero nuevamente solo dentro del perfil de ese usuario, generalmente en AppData o Temp.

Para estos usuarios restringidos, una nueva cuenta está completamente desconectada de lo que estaba en el antiguo perfil de usuario.

Dale Mahalko
fuente
77
"El malware puede instalarse potencialmente, pero de nuevo solo dentro del perfil de ese usuario", a menos que explote una vulnerabilidad de escalada de privilegios. Por lo tanto, incluso sin derechos de administrador local, persiste un cierto riesgo.
user149408
Esto es irrelevante porque este tipo de problema puede afectar a cualquier persona en cualquier momento. Como administrador de alrededor de 500 escritorios, no borro periódicamente el escritorio de cada persona cada 6 meses por alguna preocupación menor de un posible malware que podría escapar del grupo de seguridad del usuario. Si descubres que sucedió, lo enfrentas, pero de lo contrario no te preocupes por esto y deja que el antivirus lo maneje.
Dale Mahalko
1
Los empleados tienen control físico de la computadora portátil, hasta el punto de llevarla consigo mientras viajan. Si quieren acceso de administrador, lo obtendrán.
Andrew Henle
1
Suponga que cualquier persona con acceso físico a una PC puede hacer cualquier cosa que un administrador pueda hacer.
Bill K
3

Ni siquiera soñaría con darle una PC usada a un nuevo empleado sin al menos un borrado del disco duro. Si desea estar bastante seguro, reemplace el disco duro por completo.

Los kits de raíz son extremadamente poderosos. El sistema operativo y los escáneres de virus no conocen un kit raíz porque están instalados en un nivel inferior (en realidad cargan el sistema operativo y le proporcionan información básica, como lo que hay en el disco duro, para que puedan ocultarse muy eficazmente del OS). Algunos incluso se instalan en el BIOS del disco duro, lo que los hace extremadamente difíciles de eliminar.

Algunos pueden instalarse en el BIOS de su PC y volver a infectar los nuevos discos duros a medida que se instalan.

Si algún empleado descontento con habilidades leves de piratería realmente quisiera, podría devolverle una computadora en un estado que devastaría su red repetidamente incluso después de un "Reformateo" del disco duro. Una buena podría hacerlo para que incluso reemplazar el disco duro no ayudara.

Un hacker-empleado realmente talentoso podría usar una de estas técnicas para obtener acceso ilimitado a sus sistemas y datos de red interna. En cualquier momento en el futuro, podría volver a conectarse desde el exterior, de una manera que sería casi imposible para usted (ya que es probable que la computadora infectada llame de vez en cuando y omita toda la seguridad del firewall).

Afortunadamente, los realmente talentosos probablemente tengan mejores cosas que hacer que trabajar para su empresa.

La respuesta de James donde dice "Entregue la computadora al empleado cuando se vaya" debería sonar bastante bien en este momento, pero en realidad, simplemente tire y triture la HD.

Bill K
fuente
Creo que estás en lo correcto, tus pasos y los de James son los que tienen el menor riesgo de una violación de seguridad, pero esto es difícil de entender para algunas personas, especialmente porque no están dispuestos a hacer una instalación limpia para los nuevos empleados en primer lugar;) Eso todavía es un largo camino por recorrer ...
ExNought
44
Tal vez la gente podría ser atraída a tomar un seminario de seguridad. Existen graves consecuencias para no tomarse en serio la seguridad. ¿Cuántos ejecutivos de su empresa apreciarían que los contenidos de la computadora de su trabajo se carguen en Internet? Solo menciono esto porque le sucedió a la compañía de un amigo recientemente. Mi red de trabajo está completamente desconectada de Internet y los piratas informáticos contratados todavía pudieron ingresar a través de computadoras portátiles que se infectaron cuando se conectaron a Internet y luego se introdujeron en nuestra red desconectada. ¡Sucede!
Bill K
@BillK +1! Estoy totalmente de acuerdo. La mejor ruta para la seguridad es tirar a la basura los discos, volver a flashear el BIOS e instalar uno nuevo. Además de la seguridad, todavía existe el problema de la privacidad de sus colegas, que es una consideración muy diferente y que no debería tener que someterse a un análisis de costo-beneficio. Es por ello que me mantengo que un reimage, o limpiar y volver a instalar debe ser una mejor práctica , y triturar la parte de disco de una política de seguridad sólida (y que pueden evaluarse frente a los costes).
Ryder
1
@Ryder estuvo de acuerdo. Además, si la gente de su empresa está preocupada por el costo de destruir una unidad o volver a crear una imagen, salga RÁPIDO. O hay una rotación increíblemente alta o se están yendo a la quiebra, de cualquier manera ese no será un gran lugar para quedarse a largo plazo. (las startups básicas pueden ser una excepción, pero tal vez no).
Bill K