Bonne pratique: dois-je toujours installer un nouveau système d'exploitation pour les nouveaux employés?
J'ai eu une discussion avec un supérieur à ce sujet. Bien qu'à première vue, l'utilisateur précédent d'un ordinateur portable ne fonctionnait que dans ses propres dossiers de documents, dois-je toujours installer un nouveau système d'exploitation pour le prochain utilisateur ou supprimer suffisamment l'ancien profil? Le logiciel installé est généralement également nécessaire au prochain utilisateur.
Je pense qu'une installation est nécessaire, mais à part mon propre argument concernant les virus et les données privées, quelles sont les raisons pour cela?
Dans notre entreprise, il est autorisé d'utiliser le PC, par exemple messagerie privée, sur certains PC sont même installés des jeux. Nous avons un peu d'utilisateurs mobiles, qui sont souvent sur place chez un client, donc je ne leur en veux pas vraiment.
Aussi à cause de cela, nous avons beaucoup d'administrateurs locaux.
Je sais que l'utilisation privée et la disponibilité des comptes d'administrateur locaux ne sont pas de bonnes idées, mais c'est ainsi que cela a été géré avant de travailler ici et je ne peux changer cela qu'une fois que je suis en fin de stage;)
Modifier: Je pense que toutes les réponses publiées sont pertinentes, et je sais aussi que quelques-unes des pratiques que nous avons dans mon entreprise ne sont pas les meilleures pour commencer (administrateur local pour trop de personnes) les gens par exemple;).
Pour l'instant, je pense que la réponse la plus utilisable pour une discussion serait celle de Ryder. Bien que l'exemple qu'il a donné dans sa réponse puisse être exagéré, cela s'est produit avant qu'un ancien employé n'oublie les données privées. J'ai récemment trouvé une copie commerciale du jeu Runaway dans un vieil ordinateur portable et nous avions également quelques cas d'images privées restantes.
Vous devez absolument. Ce n'est pas seulement du bon sens d'un PDV de sécurité, cela devrait aussi être une pratique d'éthique commerciale.
Imaginons le scénario suivant: Alice part et son ordinateur est transféré à Bob. Bob ne le savait pas, mais Alice était dans le porno shota illégal et a laissé plusieurs fichiers cachés en dehors de son profil. Le service informatique efface son profil et rien d'autre, qui ne comprend que son historique de navigation et ses fichiers locaux.
Un jour, Bob vérifie les cloches et les sifflets sur sa nouvelle machine de travail brillante, assis à un Starbucks ™ et sirotant un café au lait. Il tombe sur le cache d'Alice et clique innocemment sur un fichier qui a l'air étrange. Soudain, chaque tête du magasin se retourne pour regarder avec horreur le PC de Bob bafouer plusieurs réglementations étatiques et fédérales à plein volume. Une petite fille dans le coin se met à pleurer.
Bob est mortifié. Après six mois de dépression et après avoir été licencié pour son acte non intentionnel d'indécence publique (et d'éventuelles accusations criminelles), il se retrouve dans une équipe juridique vraiment foutue et jette des déchets à son ancien employeur avec une poursuite scandaleusement dommageable. Alice est en Thaïlande et échappe à l'extradition.
Peut-être que tout cela est un peu au-delà de la pâleur, mais cela pourrait absolument arriver si vous ne prenez pas le temps de parcourir chaque action d'un ancien employé. Ou vous pourriez gagner du temps, et réinstaller à partir de zéro.
Vous devez absolument réinitialiser/réinstaller les ordinateurs. Il pourrait y avoir des programmes malveillants qui mettraient l'entreprise en danger. Il peut s'agir de virus ou de chevaux de Troie ou de quelque chose que l'ancien employé a laissé là intentionnellement (tout le monde ne part pas en bons termes). Toutes les raisons de la réponse de @ axl sont également valables.
Pour vous faciliter la vie, créez un instantané/image/sauvegarde d'un ordinateur fraîchement installé avec tous vos logiciels habituels déjà installés et appuyez simplement sur chaque ordinateur nouveau ou recyclé. Aucune réinstallation manuelle n'est nécessaire.
Je ne suis pas un administrateur informatique, mais j'ai le sentiment que vous devez réinstaller pour plusieurs raisons:
Les administrateurs locaux peuvent s'approprier les fichiers de l'utilisateur précédent.
Vous êtes moins susceptible d'avoir à faire face à des problèmes résultant de modifications du système apportées par l'ancien utilisateur.
Les applications personnelles de l'ancien utilisateur seraient toujours disponibles dans Program Files.
Si vous n'avez pas d'administrateurs locaux et qu'ils ne peuvent vraiment pas modifier ou accéder à quoi que ce soit en dehors de leur dossier d'accueil, alors je serais moins inquiet, mais il y a toujours de l'espace disque à considérer.
Avez-vous envisagé d'utiliser Ghost ou un autre système d'imagerie au lieu d'installer manuellement tous les logiciels?
Si toutes les machines que vous gérez sont identiques (ou s'il existe des groupes de machines identiques), effectuez une nouvelle installation, mettez à jour le système d'exploitation et installez le logiciel de base dont les utilisateurs auront besoin. Créez ensuite une image de disque dur à partir de laquelle vous pouvez restaurer le système en cas de réaffectation de la machine à un autre utilisateur, de défaillance du disque dur, d'infection virale, etc.
Tout ce que vous avez à faire est simplement de restaurer le contenu du disque dur "installation propre" à partir de l'image disque et de modifier la clé de produit Windows si cela est nécessaire.
Si vous souhaitez protéger les disques durs contre les utilisateurs à l'aide d'outils médico-légaux - utilisez un outil de destruction de données (par exemple, shred, disponible dans la plupart des distributions Linux) sur le disque dur avant de restaurer les données de l'image. Avec environ une heure de travail, vous pouvez même préparer une clé USB en direct qui déchiquetera le disque dur, puis le remplira à nouveau avec les données de l'image.
De cette façon, vous pouvez vous épargner beaucoup de travail tout en protégeant les données des utilisateurs et de l'entreprise.
Il manque la meilleure réponse ... notez votre matériel comme un coût d'entreprise, et quand quelqu'un part, donnez-lui l'ordinateur portable et achetez-en un neuf; cela permet d'économiser le plus de temps possible et constitue une manière positive d'approcher l'équilibre entre vie professionnelle et vie privée. Bien sûr, s'ils ne sont là que depuis quelques semaines, une réinitialisation est probablement la meilleure.
J'ai une expérience personnelle avec des PC non réimaginés transmettant des virus à de nouveaux utilisateurs. (Et avec des fichiers indésirables qui survivent à l'emploi d'un utilisateur, mais c'est une toute autre histoire.)
Comme l'a souligné Ushuru, la meilleure pratique consiste à réimaginer plutôt qu'à réinstaller. (Et oui, vous avez besoin de sysprep, mais pas à cause des SID, comme l'a dit TesselatingHector.) Ils ne doivent pas nécessairement être du matériel identique; vous pouvez inclure une grande variété de pilotes dans votre image et même ajouter de nouveaux pilotes hors ligne (si votre image est un .wim).
Il y a un entiermarchésecteur de bureadéploiementlogiciel =, et j'ai également vu des gens lancer leur propre processus avec un logiciel de sauvegarde et restaurer une image de "sauvegarde" spécialisée.
Ou, vous pouvez reconstruire le système si vous aimez installer le système d'exploitation. ;) Je m'ennuie facilement et je préfère automatiser.
Je ne rêverais même pas de donner un PC d'occasion à un nouvel employé sans au moins un effacement du disque dur. Si vous voulez être assez sûr, remplacez complètement le disque dur.
Les kits de racine sont extrêmement puissants. Un kit racine est inconnu du système d'exploitation et des analyseurs de virus car ils sont installés à un niveau inférieur (ils chargent en fait le système d'exploitation et donnent au système d'exploitation ses informations de base telles que ce qui se trouve sur le disque dur, afin qu'ils puissent se cacher très efficacement des OS). Certains s'installent même dans le BIOS du disque dur, ce qui les rend extrêmement difficiles à éliminer.
Quelques-uns peuvent s'installer dans le BIOS de votre PC et réinfecter les nouveaux disques durs au fur et à mesure de leur installation.
Si un employé mécontent avec des compétences de piratage, même légères, le voulait vraiment, il pourrait vous rendre un ordinateur dans un état qui dévasterait votre réseau à plusieurs reprises même après un "reformatage" du disque dur. Un bon pourrait faire en sorte que même le remplacement du disque dur ne soit pas utile.
Un hacker-employé vraiment talentueux pourrait utiliser l'une de ces techniques pour obtenir un accès illimité à vos systèmes et données de réseau internes. À tout moment dans le futur, il pourrait se reconnecter de l'extérieur - d'une manière qu'il serait presque impossible pour vous d'arrêter (car l'ordinateur infecté est susceptible d'appeler de temps en temps et de contourner toute la sécurité du pare-feu).
Heureusement, les personnes vraiment talentueuses ont probablement mieux à faire que de travailler pour votre entreprise.
La réponse de James où il dit "Donnez l'ordinateur à l'employé quand il part" devrait sembler assez bonne en ce moment - mais vraiment, tirez et déchiquetez la HD.
La réponse à cette question dépend vraiment si vous autorisez les employés à être des administrateurs locaux de leur propre machine.
En général, un compte de groupe d'utilisateurs ne dispose que d'une autorisation d'écriture dans son propre répertoire de profils, et nulle part ailleurs sur le disque dur.
Dans ce cas, aucune modification ne peut être apportée au système par l'utilisateur, y compris l'installation ou la suppression d'applications, ou la création de fichiers ou de répertoires cachés en dehors de leur répertoire de profil.
Les logiciels malveillants peuvent potentiellement s'installer, mais encore une fois uniquement dans le profil de cet utilisateur, généralement dans AppData ou Temp.
Pour ces utilisateurs restreints, un nouveau compte est complètement déconnecté de tout ce qui se trouvait dans l'ancien profil utilisateur.