为此,我和上级发生了争执。虽然乍一看笔记本电脑的先前用户只在他自己的文档文件夹中工作,但我应该总是为下一个用户安装新的操作系统还是删除旧的配置文件就足够了?安装的软件大多也是下一个用户需要的。
我认为需要安装,但除了我自己关于病毒和私人数据的论点之外,这样做的原因是什么?
在我们公司,允许将 PC 用于私人邮件等,在某些 PC 上甚至安装了游戏。我们有一些移动用户,他们经常在客户的现场,所以我真的不怪他们。
也正因为如此,我们有很多本地管理员。
我知道私人使用和本地管理员帐户的可用性都不是好主意,但这就是我在这里工作之前的处理方式,只有在我结束实习期后我才能改变它;)
编辑:我认为发布的所有答案都是相关的,而且我也知道我们公司的一些做法并不是最好的开始(例如,太多人的本地管理员;)。
到目前为止,我认为最有用的讨论答案是来自 Ryder 的答案。虽然他在回答中给出的例子可能有些夸大其词,但在此之前曾发生过一位前员工忘记私人数据的情况。我最近在一台旧笔记本电脑中发现了游戏 Runaway 的零售副本,我们也有几箱剩余的私人图像。
你绝对应该。这不仅是安全 POV 的常识,还应该作为商业道德的实践。
让我们想象以下场景:Alice 离开,她的计算机被转移给 Bob。鲍勃不知道,但爱丽丝陷入了非法的色情片,并在她的个人资料之外留下了几个文件。IT 清除了她的个人资料,仅包括她的浏览历史记录和本地文件。
有一天,Bob 坐在 Starbucks™ 旁,一边喝着拿铁咖啡,一边检查他闪亮的新工作机器上的花里胡哨。他偶然发现了爱丽丝的缓存,并无辜地点击了一个看起来很奇怪的文件。突然,商店里的每个人都惊恐地转过头来,惊恐地看着 Bob 的 PC 无视多项州和联邦法规。角落里的一个小女孩开始哭泣。
鲍勃感到羞愧。在经历了六个月的抑郁症并因无意的公开猥亵行为(以及可能的刑事指控)而被解雇之后,他发现自己是一个非常出色的法律团队,并以一场极具破坏性的诉讼浪费了他的前雇主。爱丽丝在泰国并逃脱了引渡。
也许这一切都有些出人意料,但如果你不花时间仔细检查前雇员的一举一动,那绝对有可能发生。或者您可以节省时间,然后从头开始重新安装。
您绝对应该重置/重新安装计算机。上面可能存在恶意程序,会使企业面临风险。这些可能是病毒或特洛伊木马或前雇员故意留在那里的东西(不是每个人都以良好的条件离开)。@axl 回复中的所有理由也是有效的。
为了让您的生活更轻松,请为已安装所有常用软件的新安装的计算机创建快照/映像/备份,然后将其推送到每台新的或回收的计算机上。无需手动重新安装。
我不是 IT 管理员,但我的感觉是您应该重新安装有几个原因:
本地管理员可以拥有以前用户的文件的所有权。
您不太可能不得不处理由旧用户进行的系统更改引起的问题。
旧用户的个人应用程序仍可在 Program Files 中使用。
如果您没有本地管理员并且他们真的无法更改或访问其主文件夹之外的任何内容,那么我就不会那么担心,但总会有磁盘空间需要考虑。
您是否考虑过使用 Ghost 或其他映像系统而不是手动安装所有软件?
如果您处理的所有机器都是相同的(或有一组相同的机器),请进行一次全新安装,更新操作系统并安装用户需要的基本软件。然后创建一个 HDD 映像,您可以从该映像恢复系统,以防将机器重新分配给另一个用户、HDD 故障、病毒感染等。
您所要做的就是从磁盘映像中恢复“全新安装”硬盘内容,并在需要时更改 Windows 产品密钥。
如果您想保护 HDD 免受使用取证工具的用户的侵害 - 在将数据从映像恢复到 HDD 之前,请在 HDD 上使用数据粉碎工具(例如,shred,在大多数 linux 发行版中可用)。通过大约一个小时的工作,您甚至可以准备一个实时 USB,它会切碎 HDD,然后用图像中的数据重新填充它。
这样,您可以在保护用户和公司数据的同时节省大量工作。
我曾亲身经历过未重新映像的 PC 将病毒传播给新用户。(并且不需要的文件比用户的工作时间更长,但那是另一回事了。)
正如 Ushuru 指出的那样,最佳做法是重新映像而不是重新安装。(是的,您需要 sysprep,但不是因为 SID,正如 TesselatingHector 所说。)它们不必是相同的硬件;它们不必是相同的硬件。您可以在映像中包含多种驱动程序,甚至可以离线添加新驱动程序(如果您的映像是 .wim)。
桌面部署软件有一个完整的 市场 领域,我还看到人们使用备份软件推出自己的流程并恢复专门的“备份”映像。
或者,如果您碰巧喜欢安装操作系统,您可以重建系统。;) 我很容易感到无聊,更喜欢自动化。
这缺少最佳答案……将您的硬件记为业务成本,当有人离开时,给他们笔记本电脑并购买一台干净的新笔记本电脑;这节省了最多的时间,是实现工作与生活平衡的积极方式。当然,如果他们只在那里呆了几周,那么重置可能是最好的。
这个问题的答案实际上取决于您是否允许员工成为他们自己机器的本地管理员。
通常,用户组帐户仅在其自己的配置文件目录中具有写入权限,而在硬盘驱动器上的其他任何地方都没有。
在这种情况下,用户不能对系统进行任何更改,包括安装或删除应用程序,或者在其配置文件目录之外创建隐藏文件或目录。
恶意软件可能会自行安装,但同样只能安装在该用户的配置文件中,通常在 AppData 或 Temp 中。
对于这些受限用户,新帐户与旧用户配置文件中的任何内容完全断开。
我什至做梦都不会想把一台旧电脑送给一个新员工,而至少要擦一次硬盘。如果您想相当安全,请完全更换硬盘。
根套件非常强大。操作系统和病毒扫描程序不知道 root 工具包,因为它们安装在较低级别(它们实际上加载操作系统并向操作系统提供基本信息,例如硬盘驱动器上的内容,因此它们可以非常有效地将自己隐藏在操作系统)。有些甚至将自己安装到硬盘驱动器的 BIOS 中,这使得它们极难摆脱。
少数人可以将自己安装在 PC 的 BIOS 中,并在安装新硬盘时重新感染它们。
如果有任何心怀不满的员工,即使只有轻微的黑客技能,他们也可以将一台计算机退回给您,即使在硬盘“重新格式化”之后,这种状态也会反复破坏您的网络。一个好的可以做到,即使更换硬盘也无济于事。
真正有才华的黑客员工可能会使用其中一种技术来无限制地访问您的内部网络系统和数据。在未来的任何时候,他都可以从外部重新连接 - 以一种您几乎不可能停止的方式(因为受感染的计算机可能偶尔会调用并绕过所有防火墙安全性)。
幸运的是,真正有才华的人可能有比为您的公司工作更好的事情要做。
詹姆斯的回答是“他离开时把电脑交给员工”现在听起来应该很不错——但实际上,只是拉扯并撕碎高清。