我认为还需要安装该软件,但是我个人认为不是病毒和私有数据,那么出于什么原因呢?
我们公司允许将PC用于例如私人邮件,在某些PC上甚至安装了游戏。我们有一些移动用户,通常在客户现场,所以我并没有真正责怪他们。
此外,由于我们有很多本地管理员,所以我们也没有。
我知道私人使用和提供本地管理员帐户都不是一个好主意,但这就是我在这里工作之前的处理方式,只有当我离开培训班后才可以更改;)
编辑:我认为发布的所有答案都是相关的,而且我也知道我们公司的一些实践并不是一开始的最佳做法(例如,对于太多人而言,本地管理员;)。
到目前为止,我认为讨论中最有用的答案是莱德的答案。尽管他在回答中所举的例子可能被夸大了,但这是在前雇员忘记私人数据之前发生的。我最近在旧笔记本电脑上找到了《逃亡》游戏的零售版,我们也有几箱剩余的私人图片。
#1 楼
绝对应该。这不仅是安全POV的常识,还应作为商业道德问题加以实践。让我们想象以下情况:爱丽丝离开,她的计算机被转移到鲍勃。鲍勃不知道,但是爱丽丝陷入了非法的Shota色情之中,并在她的个人资料之外留下了一些文件。 IT会抹去她的个人资料,而不会删除其他任何内容,其中仅包括她的浏览历史记录和本地文件。
一天,鲍勃坐在星巴克(Starbucks™)上,正在检查他闪亮的新工作机上的铃声和口哨声然后喝一杯拿铁他偶然发现Alice的缓存,无辜地点击了一个看起来很奇怪的文件。突然,当鲍勃的PC满载所有州和联邦法规时,商店里的每个人都在惊慌地看着。角落里的一个小女孩开始哭泣。
鲍勃死了。在经历了六个月的沮丧之后,他因无意的公共public亵行为(以及可能的刑事指控)而被解雇,他发现自己是一个真正的法律团队,并以残酷的破坏性诉讼向他的前任雇主造成浪费。爱丽丝在泰国逃避引渡。
也许这一切都超出了苍白的面目,但如果您不花时间在前雇员的家中搜寻,这绝对有可能发生行动。或者您可以节省时间,然后从头开始重新安装。
评论
@gerrit从头开始重新安装Windows通常也意味着磁盘的完整格式。之后,Bob唯一可以通过运行取证工具来取回文件的方法,通常您没有充分的理由就不要这样做。
– Nzall
16年6月13日在9:52
爱丽丝在泰国没有帮助。有TH-US引渡法。尝试选择一个国家。 Notch Korea是我的候选人;)
–vasin1987
16年6月13日在12:07
@ vasin1987爱丽丝的律师刚刚打电话。她说,实际上,她宁愿在联邦监狱度过余生,也不愿留在平壤。你可以安排点什么吗?
–David Richerby
16年6月13日在14:30
接下来发生什么?我需要知道!
– FuriousFolder
16年6月13日在19:39
这个答案将受益于一些附录,该附录讨论了作为标准操作程序进行完全擦拭的廉价成本,而不是1.花时间确定每台机器上是否有必要换手,然后2.确定是否存在类似风险。这值得节省时间。实际上,擦除它(时间=金钱)可能比尝试搜寻并擦除先前用户的数据更快,甚至不考虑风险。
– jpmc26
16 Jun 13'23:09
#2 楼
您绝对应该重置/重新安装计算机。上面可能存在恶意程序,这会使企业面临风险。这些可能是病毒或特洛伊木马,或者是前员工故意留在这里的东西(不是每个人都留下良好的条件)。 @axl答复中的所有原因也都是有效的。为了使您的生活更轻松,请为已经全新安装的计算机创建快照/图像/备份,其中已经安装了所有常用软件,并将其推送到每个新的或回收的计算机。无需手动重新安装。
评论
“上面可能存在恶意程序,这将使企业面临风险。”如果它是公司的笔记本电脑,那么在此之前已经有一个雇员可以使用它。如果您有一个员工恶意攻击您的网络,那么他们已经有足够的机会将仅擦除计算机作为无效策略。
– jpmc26
16年6月13日在23:07
我在上一个工作地点收到了一位前同事笔记本电脑。他们没有重新安装,也没有“标准版本”。我也有类似的经历,但没有色情内容。我最终不得不格式化并重新安装自己,因为“一切正常”。这位前雇员已经完全用系统弄乱了系统,试图以最不可理解的方式调整事物。
–麦克·麦克马洪(Mike McMahon)
16年6月15日在14:59
@ jpmc26不完全是。我们已经终止了,我们怀疑他们在给他们消息后可以做些报复性的事情。因此,我们将主动从我们的应用程序和网络中撤消他们的权限。因此,尽管他们可能没有主动访问权限,但他们仍然可以合并恶意软件或键盘记录程序,一旦另一位员工使用该计算机或设备,便可以使用它们。同样,我们关注的不是他们是否恶意地攻击我们的网络,以至于他们无法找到竞争对手并仍然可以访问公司的敏感信息。
–培根·布拉德
16年6月16日在4:03
#3 楼
我不是IT管理员,但我的感觉是,您应该出于以下几个原因而重新安装:本地管理员可以拥有先前用户文件的所有权。
您不太可能解决由旧用户进行的系统更改引起的问题。
旧用户的个人应用程序仍将在程序文件中可用。
如果不这样做有本地管理员,他们真的无法更改或访问其主文件夹之外的任何内容,那么我不必担心,但是总有磁盘空间需要考虑。
您是否考虑过使用Ghost或其他映像系统,而不是手动安装所有软件?
评论
我确实做到了,但这也是其中之一,那是之前手动完成的,而且没有人似乎想要更改它。一旦完成培训,它就会列在待办事项列表中;)
– ExNought
16年6月13日在11:36
可能需要一些时间才能说服人们有更好的方法,尤其是在很少或没有痛苦的情况下。 :)
–axl
16年6月14日在15:03
#4 楼
如果您处理的所有计算机都是相同的(或有几组相同的计算机),请进行一次全新安装,更新操作系统并安装用户所需的基本软件。然后创建一个HDD映像,如果将计算机重新分配给其他用户,HDD故障,病毒感染等,您可以从中还原系统。您要做的就是还原“清除磁盘映像中的HDD内容,并在需要时更改Windows产品密钥。
如果要使用取证工具保护HDD使其免受用户攻击,请在HDD上使用数据粉碎工具(例如,大多数Linux发行版中提供的shred),然后再将数据从映像还原到其中。花费大约一个小时的时间,您甚至可以准备一个活动的USB,该USB将切碎HDD,然后用图像中的数据重新填充它。
这样,您可以节省很多工作,同时又可以保护用户和公司的数据。
评论
制作Windows安装的直接驱动器映像并将其应用到许多不同的机器上,可能会引起问题,这是由于机器SID引起的。要正确执行此操作,在创建驱动器映像之前,必须运行Windows实用程序sysprep和“概括”已安装的操作系统。还请注意,您必须跟踪Windows激活的次数,因为某些版本只允许这么多的激活,有时少到五次,并且用完后无法再进行sysprep或映像处理。 slmgr / dlv显示剩余的激活。
–戴尔·马哈尔科(Dale Mahalko)
16年6月14日在1:06
@DaleMahalko虽然SysPrep是必需的,并且是支持重复安装的支持方式,但这不是因为SID复制。
– TessellatingHeckler
16 Jun 15'在2:10
即使它们不相同,如今也很容易编写PC安装脚本。这样您就不必担心图像过时了。
–詹姆斯·斯内尔(James Snell)
16年6月16日在20:33
#5 楼
这错过了最佳答案……写下您的硬件作为业务成本,然后当有人离开时给他们笔记本电脑并购买一台新的干净笔记本电脑;这可以节省最多的时间,并且是一种实现工作与生活平衡的积极方式。当然,如果他们只在那里呆了几周,那么最好重新设置一下。评论
“将硬件缩减为业务成本”不会使成本消失。这种心态就像每次电池用完时都要购买新手机一样。
–游侠
16年6月15日在17:29
不是“最好的”想法;到处都是坏主意。您不仅必须记下硬件成本,还必须记下安装在此处的其他软件的所有许可证(某些许可证在技术上可能是不可转让的)。我不了解您的工作场所,但在我的工作场所,大多数情况下都带有“ Company Confidential”字样。您是否想让有价值的信息走出家门,还是将其注销?假设您正在以友好的态度分道扬.。如果它是旧硬件,并且条件良好,则“也许”重新形象,然后放弃;也许是慈善与员工(税收抵免!$$)。
–伊恩W
16年6月15日在21:17
@Ian W可以停用某些软件,从而释放许可证供公司中的另一名工作人员使用(我见过的大多数软件都为企业用户提供了此选项)。另一方面,存储在机器硬盘上的数据的机密性是一个问题。您应该擦除/ shred /磁盘的内容。当然,这使写下硬件成为摆脱该问题的不好方法(因为无论如何您必须首先解决该问题)。
–雅各布
16年6月16日在6:47
企业已经将所有可能的支出都用作商业支出,“注销”并不能像您想象的那样做-就像免费的钱一样,企业仍然必须购买新设备(笔记本电脑),节省的一分钱是一分钱。也许克莱默可以更好地解释它(可能不是)
– Xen2050
16年6月18日在16:14
#6 楼
我在未重新映像的PC上将病毒传播给新用户方面有个人经验。 (并且不需要的文件会延长用户的工作时间,但这完全是另外一回事了。)正如Ushuru指出的那样,最佳做法是重新映像而不是重新安装。 (是的,您需要sysprep,但并非像TesselatingHector所说的那样是因为SID。)它们不必是相同的硬件;它可以是硬件。您可以在映像中包含各种驱动程序,甚至可以离线添加新的驱动程序(如果映像是.wim)。
整个桌面部署软件市场均存在,而且我还看到人们使用备份软件来滚动自己的过程并还原专门的“备份”映像。
或者,如果您碰巧喜欢安装操作系统,则可以重建系统。 ;)我很容易感到无聊,更喜欢自动化。
#7 楼
答案实际上取决于您是否允许员工成为自己计算机的本地管理员。通常,用户组帐户仅在其自己的配置文件目录中具有写权限,而在硬目录中则没有其他权限驱动器。
在这种情况下,用户无法对系统进行任何更改,包括安装或删除应用程序,或者在其配置文件目录之外创建隐藏文件或目录。
恶意软件可能会自行安装,但只能再次在该用户的配置文件中安装,通常是在AppData或Temp中。
对于这些受限用户,新帐户将完全与旧用户配置文件中的内容断开连接。
评论
“恶意软件可能会自行安装,但只能在该用户的配置文件中再次安装” –除非它利用特权升级漏洞。因此,即使没有本地管理员权限,仍然存在一定风险。
–user149408
16年6月13日在21:26
这是无关紧要的,因为这种问题可以随时影响任何人。作为大约500个台式机的管理员,我并不是每隔6个月定期删除每个人的台式机,因为对可能会导致用户安全组逃脱的恶意软件有些担心。如果发现它已发生,请对其进行处理,否则,请不要担心,让防病毒软件对其进行处理。
–戴尔·马哈尔科(Dale Mahalko)
16年6月14日在3:04
员工可以对笔记本电脑进行物理控制-以便在旅行时随身携带笔记本电脑。如果他们想要管理员访问权限,他们将获得此权限。
–安德鲁·亨利(Andrew Henle)
16 Jun 14'19:01
假定对PC具有物理访问权限的任何人都可以执行管理员可以执行的任何操作。
– Bill K
16年6月16日在21:54
#8 楼
我什至从未梦想过在没有硬盘擦除的情况下将二手PC交给新员工。如果您想相当安全,请完全更换硬盘驱动器。根套件非常强大。操作系统和病毒扫描程序不知道根工具包,因为它们安装在较低级别(它们实际上是在加载操作系统并向操作系统提供基本信息(例如硬盘驱动器上的内容),因此它们可以非常有效地对自己隐藏。操作系统)。有些人甚至将自己安装到硬盘驱动器的BIOS中,这使其很难摆脱。
一些人可以将自己安装在PC的BIOS中,并在感染新的硬盘驱动器时对其进行重新感染已安装。
如果有一点心怀不满的技能,即使他们具有轻微的黑客技能,他们真的想要他们将计算机归还给您,即使在使用硬盘“重新格式化”之后,该状态也会反复破坏您的网络。一个好的人可以做到这一点,以至于即使更换硬盘也无济于事。
一个真正有才华的黑客雇员可能会使用这些技术之一来无限次访问您的内部网络系统和数据。在将来的任何时候,他都可以从外部重新连接-几乎无法停止(因为受感染的计算机可能偶尔会弹出并绕过所有防火墙安全性)。
幸运的是,真正有才华的人可能要做的事比为您的公司工作还要好。
詹姆斯的回答是:“离职时将计算机交给员工”应该听起来不错。现在-但实际上,只需拉动并切碎HD。
评论
我认为您的做法是正确的,您和James的步骤是安全漏洞风险最小的步骤,但这在某些人的头脑中很难理解,尤其是因为他们不愿意为新员工进行全新安装首先;)这仍然是漫长的路要走...
– ExNought
16年6月17日在6:22
也许人们会被诱使参加安全研讨会。不认真对待安全性存在严重后果。贵公司有多少高管希望将工作计算机的内容上传到Internet?我之所以提及,是因为它最近发生在一个朋友的公司。我的工作网络与互联网完全分离,雇用的黑客仍然能够通过笔记本电脑进入互联网,这些笔记本电脑在连接到互联网后被感染,然后带入断开连接的网络。它发生了!
– Bill K
16年6月17日在6:31
@BillK +1!我完全同意。最好的安全性方法是丢弃驱动器,重新刷新BIOS并安装新的驱动器。除了安全性外,仍然存在同事隐私的问题-这是一个非常不同的考虑因素,因此不必进行成本效益分析。这就是为什么我坚持认为重新映像或擦除并重新安装应该是一种最佳实践,并将碎纸片切碎成一个可靠的安全策略(可以根据成本进行评估)的原因。
–莱德
16年6月17日在7:26
@莱德同意。另外,如果与您公司有关的人员担心销毁驱动器与重新映像驱动器的成本有关,请快走出去。要么营业额高得惊人,要么破产了,从长远来看,这都不是一个好地方。 (准入门级创业公司可能是个例外,但也许不是)。
– Bill K
16年6月18日在0:00
评论
您不想冒险不这样做。如果不这样做,太多的事情可能会出错(最终,它们会出错)。您不会责怪员工在公司财产上玩游戏……因为当他们与客户一起时会这样做吗? WTF?
@LightnessRacesinOrbit好吧,如果您在酒店呆了几个星期(有时甚至包括周末),而且在工作之外绝对无事可做,是的,我认为这是可以接受的。官方存在担忧,但至少可以保持士气。我和我的晚餐者也都非常肯定,强迫人们购买可能会伤害我们的笔记本电脑或平板电脑。这里有很多原因,进入所有这些原因不仅会花费太长时间,还会使我的老板看起来很糟糕;)
@ExoWork:当然,在工作之外。我本人通常每周会出差几天和晚上,并且肯定会在这些酒店中充分利用我的工作笔记本电脑!但是您说的“在客户现场”是非常不同的。
我绝对会因为这里列出的所有原因而说,但还有另外一个原因:如果计算机可以用于私人用途,那么由于数据保护法的原因,将数据访问权授予他人可能是非法的(这肯定是据我所知在德国有问题)。格式化驱动器可确保不会向第三方提供私有数据。