Mejor práctica: ¿Debería instalar siempre un SO nuevo para los nuevos empleados?

Tuve una discusión con un superior sobre esto. Aunque a primera vista el usuario anterior de una computadora portátil solo funcionaba en sus propias carpetas de documentos, ¿debería instalar siempre un nuevo sistema operativo para el siguiente usuario o está eliminando el perfil anterior lo suficiente? El siguiente usuario también necesita el software que está instalado.

Creo que se necesita una instalación, pero excepto mi propio argumento de virus y datos privados, ¿qué razones hay para hacerlo?

En nuestra empresa está permitido usar la PC para, por ejemplo, correo privado, en algunas PC incluso hay juegos instalados. Tenemos usuarios móviles, que a menudo están en el sitio de un cliente, por lo que realmente no los culpo.

Además, por eso tenemos muchos administradores locales.

Sé que tanto el uso privado como la disponibilidad de cuentas de administrador locales no son buenas ideas, pero así es como se manejó antes de trabajar aquí y solo puedo cambiar esto una vez que me quede sin prácticas;)

Editar : Creo que todas las respuestas publicadas son relevantes, y también sé que algunas de las prácticas que tenemos en mi empresa no son las mejores para empezar (administrador local para demasiadas personas, por ejemplo).

A partir de ahora, creo que la respuesta más útil para una discusión sería la de Ryder. Aunque el ejemplo que dio en su respuesta puede ser exagerado, ha sucedido antes que un ex empleado olvidó los datos privados. Recientemente encontré una copia minorista del juego Runaway en una vieja computadora portátil y también tuvimos un par de casos de imágenes privadas restantes.

Absolutamente deberías. No es solo sentido común de un punto de vista de seguridad, sino que también debe ser una cuestión de ética empresarial.

Imaginemos el siguiente escenario: Alice se va y su computadora se transfiere a Bob. Bob no lo sabía, pero Alice estaba metida en porno ilegal de shota y dejó varios archivos escondidos fuera de su perfil. TI borra su perfil y nada más, lo que incluye solo su historial de navegación y archivos locales.

Un día, Bob está revisando las campanas y los silbatos en su nueva y brillante máquina de trabajo, mientras está sentado en un Starbucks ™ y bebe un café con leche. Se topa con el caché de Alice e inocentemente hace clic en un archivo que parece extraño. De repente, todos los jefes de la tienda se giran para mirar con horror cómo la PC de Bob incumple varias regulaciones estatales y federales a todo volumen. Una niña pequeña en la esquina comienza a llorar.

Bob está mortificado. Después de seis meses de depresión y después de haber sido despedido por su acto involuntario de indecencia pública (y posibles cargos penales), se encuentra a sí mismo como un equipo legal realmente agrietado y arruina a su antiguo empleador con una demanda escandalosamente perjudicial. Alice está en Tailandia y escapa a la extradición.

Tal vez todo esto esté un poco más allá de la palidez, pero podría suceder absolutamente si no se toma el tiempo de explorar cada acción de un ex empleado. O podría ahorrar tiempo y volver a instalar desde cero.

Definitivamente debe reiniciar / reinstalar las computadoras. Podría haber programas maliciosos que pondrían en riesgo el negocio. Esos podrían ser virus o troyanos o algo que el ex empleado dejó allí intencionalmente (no todos se van en buenos términos). Todas las razones en la respuesta de @ axl también son válidas.

Para facilitarle la vida, cree una instantánea / imagen / copia de seguridad de una computadora recién instalada con todo su software habitual ya instalado y simplemente presione esto en cada computadora nueva o reciclada. No se necesita reinstalación manual.

No soy administrador de TI, pero creo que debe reinstalarlo por un par de razones:

• Los administradores locales pueden tomar posesión de los archivos del usuario anterior.

• Es menos probable que tenga que lidiar con problemas derivados de cambios en el sistema realizados por el usuario anterior.

• Las aplicaciones personales del antiguo usuario seguirían estando disponibles en Archivos de programa.

Si no tiene administradores locales y realmente no pueden cambiar ni acceder a nada fuera de su carpeta de inicio, entonces estaría menos preocupado, pero siempre hay espacio en el disco para considerar.

¿Ha considerado usar Ghost u otro sistema de imágenes en lugar de instalar manualmente todo el software?

Si todas las máquinas que maneja son idénticas (o hay grupos de máquinas idénticas), realice una instalación limpia una vez, actualice el sistema operativo e instale el software básico que los usuarios necesitarán. Luego, cree una imagen de HDD, desde la cual puede restaurar el sistema en caso de reasignar la máquina a otro usuario, falla de HDD, infección de virus, etc.

Todo lo que tiene que hacer es restaurar el contenido del disco duro "instalación limpia" de la imagen del disco y cambiar la clave del producto de Windows si es necesario.

Si desea proteger los discos duros contra los usuarios que usan herramientas forenses, use una herramienta de trituración de datos (p. Ej. Trituración, disponible en la mayoría de las distribuciones de Linux) en el disco duro antes de restaurar los datos de la imagen. Con aproximadamente una hora de trabajo, incluso puede preparar un USB en vivo que destruirá el HDD y luego volver a llenarlo con datos de la imagen.

De esta forma, puede ahorrarse bastante trabajo mientras protege los datos de los usuarios y de la empresa.

Esta es la mejor respuesta ... anote su hardware como un costo comercial, y cuando alguien se vaya, entréguele la computadora portátil y compre una nueva y limpia; Esto ahorra la mayor parte del tiempo y es una forma positiva de abordar el equilibrio entre el trabajo y la vida. Por supuesto, si solo han estado allí unas pocas semanas, entonces un reinicio probablemente sea lo mejor.

Tengo experiencia personal con PC no reimpresas que transmiten virus a nuevos usuarios. (Y con archivos no deseados que duran más que el empleo de un usuario, pero esa es otra historia).

Como Ushuru señaló, la mejor práctica es volver a crear imágenes en lugar de reinstalar. (Y sí, necesita sysprep, pero no debido a los SID, como dijo TesselatingHector). No tienen que ser hardware idéntico; puede incluir una amplia variedad de controladores en su imagen e incluso agregar nuevos controladores sin conexión (si su imagen es un .wim).

Hay un sector de mercado completo de software de implementación de escritorio , y también he visto personas desarrollar su propio proceso con software de respaldo y restaurar una imagen especializada de "respaldo".

O bien, puede reconstruir el sistema si le encanta instalar el sistema operativo. ;) Me aburro fácilmente y prefiero automatizar.

La respuesta a esto realmente depende de si permite que los empleados sean administradores locales de su propia máquina.

En general, una cuenta de grupo de usuarios solo tiene permiso de escritura en su propio directorio de perfil y en ningún otro lugar del disco duro.

En este caso, el usuario no puede realizar cambios en el sistema, incluida la instalación o eliminación de aplicaciones, o la creación de archivos o directorios ocultos fuera de su directorio de perfil.

Potencialmente, el malware puede instalarse, pero nuevamente solo dentro del perfil de ese usuario, generalmente en AppData o Temp.

Para estos usuarios restringidos, una nueva cuenta está completamente desconectada de lo que estaba en el antiguo perfil de usuario.

Ni siquiera soñaría con darle una PC usada a un nuevo empleado sin al menos un borrado del disco duro. Si desea estar bastante seguro, reemplace el disco duro por completo.

Los kits de raíz son extremadamente poderosos. El sistema operativo y los escáneres de virus no conocen un kit raíz porque están instalados en un nivel inferior (en realidad cargan el sistema operativo y le proporcionan información básica, como lo que hay en el disco duro, para que puedan ocultarse muy eficazmente del OS). Algunos incluso se instalan en el BIOS del disco duro, lo que los hace extremadamente difíciles de eliminar.

Algunos pueden instalarse en el BIOS de su PC y volver a infectar los nuevos discos duros a medida que se instalan.

Si algún empleado descontento con habilidades leves de piratería realmente quisiera, podría devolverle una computadora en un estado que devastaría su red repetidamente incluso después de un "Reformateo" del disco duro. Una buena podría hacerlo para que incluso reemplazar el disco duro no ayudara.

Un hacker-empleado realmente talentoso podría usar una de estas técnicas para obtener acceso ilimitado a sus sistemas y datos de red interna. En cualquier momento en el futuro, podría volver a conectarse desde el exterior, de una manera que sería casi imposible para usted (ya que es probable que la computadora infectada llame de vez en cuando y omita toda la seguridad del firewall).

Afortunadamente, los realmente talentosos probablemente tengan mejores cosas que hacer que trabajar para su empresa.

La respuesta de James donde dice "Entregue la computadora al empleado cuando se vaya" debería sonar bastante bien en este momento, pero en realidad, simplemente tire y triture la HD.