Meilleure pratique: Devrais-je toujours installer un nouveau système d'exploitation pour les nouveaux employés?

J'ai eu une dispute avec un supérieur à ce sujet. Bien qu'à première vue, l'utilisateur précédent d'un ordinateur portable ne travaille que dans ses propres dossiers de documents, dois-je toujours installer un nouveau système d'exploitation pour le prochain utilisateur ou la suppression de l'ancien profil suffit-elle? Le logiciel installé est surtout utilisé par le prochain utilisateur.

Je pense qu’une installation est nécessaire, mais à part mes propres arguments concernant les virus et les données privées, quelles sont les raisons de le faire?

Dans notre société, il est autorisé d'utiliser le PC pour le courrier privé, par exemple, sur certains PC, des jeux sont même installés. Nous avons des utilisateurs un peu mobiles, qui sont souvent sur site chez un client, alors je ne les en blâme pas vraiment.

Aussi, à cause de cela, nous avons beaucoup d'administrateurs locaux.

Je sais que l'utilisation privée et la disponibilité des comptes d'administrateur locaux ne sont pas de bonnes idées, mais c'est comme ça que c'était géré avant de travailler ici et je ne peux changer cela qu'une fois mon stage terminé;)

Edit : Je pense que toutes les réponses postées sont pertinentes et je sais aussi que certaines des pratiques de notre entreprise ne sont pas les meilleures pour commencer (administrateur local pour trop de personnes, par exemple;).

Pour le moment, je pense que la réponse la plus utile pour une discussion serait celle de Ryder. Bien que l’exemple qu’il a donné dans sa réponse puisse être exagéré, il est déjà arrivé qu’un ancien employé ait oublié des données privées. J'ai récemment trouvé une copie du jeu Runaway dans un vieux ordinateur portable et nous avons eu quelques cas d'images privées restantes.

Absolument vous devriez. Ce n’est pas seulement du bon sens pour un point de vue de sécurité, cela doit également être une pratique en matière d’éthique des affaires.

Imaginons le scénario suivant: Alice s'en va et son ordinateur est transféré à Bob. Bob ne le savait pas, mais Alice était dans le tournage illégal de pornographie et a laissé plusieurs fichiers en marge de son profil. Elle nettoie son profil et rien d’autre, y compris son historique de navigation et ses fichiers locaux.

Un jour, Bob vérifie les cloches et les sifflets de sa nouvelle machine de travail brillante, assis devant un Starbucks ™ et sirotant un café au lait. Il tombe dans le cache d'Alice et clique innocemment sur un fichier qui a l'air étrange. Soudainement, chaque tête dans le magasin fouille pour regarder avec horreur le PC de Bob bafouer plusieurs réglementations étatiques et fédérales à plein volume. Une petite fille dans le coin se met à pleurer.

Bob est mortifié. Après six mois de dépression et après avoir été congédié pour son indécence publique involontaire (et d'éventuelles accusations criminelles), il se trouve être une véritable équipe de juristes et licencie son ancien employeur par un procès scandaleusement dommageable. Alice est en Thaïlande et échappe à l'extradition.

Tout cela est peut-être un peu au-delà de tout, mais cela pourrait arriver si vous ne prenez pas le temps de parcourir toutes les actions d'un ancien employé. Ou vous pourriez gagner du temps et réinstaller à partir de zéro.

Vous devez absolument réinitialiser / réinstaller les ordinateurs. Il pourrait y avoir des programmes malveillants qui mettraient l’entreprise en danger. Il peut s'agir de virus ou de chevaux de Troie ou de quelque chose que l'ancien employé a quitté là intentionnellement (tout le monde ne part pas en bons termes). Toutes les raisons de la réponse de @ axl sont également valables.

Pour vous simplifier la vie, créez un instantané / une image / une sauvegarde d'un ordinateur fraîchement installé avec tous vos logiciels habituels déjà installés, puis insérez-le simplement sur chaque ordinateur neuf ou recyclé. Aucune réinstallation manuelle nécessaire.

Je ne suis pas un administrateur informatique, mais j’ai le sentiment que vous devriez le réinstaller pour deux raisons:

• Les administrateurs locaux peuvent s'approprier les fichiers de l'utilisateur précédent.

• Vous êtes moins susceptible de devoir faire face à des problèmes résultant de modifications apportées au système par l'ancien utilisateur.

• Les applications personnelles de l'ancien utilisateur seraient toujours disponibles dans Program Files.

Si vous n'avez pas d'administrateurs locaux et qu'ils ne peuvent vraiment pas modifier ou accéder à quoi que ce soit en dehors de leur dossier de départ, je serais moins inquiet, mais alors il y a toujours de l'espace disque à considérer.

Avez-vous envisagé d'utiliser Ghost ou un autre système d'imagerie au lieu d'installer manuellement tous les logiciels?

Si toutes les machines que vous manipulez sont identiques (ou s'il existe des groupes de machines identiques), effectuez une nouvelle installation, mettez à jour le système d'exploitation et installez les logiciels de base dont les utilisateurs auront besoin. Créez ensuite une image de disque dur, à partir de laquelle vous pourrez restaurer le système en cas de réaffectation de la machine à un autre utilisateur, de défaillance du disque dur, d’infection virale, etc.

Tout ce que vous avez à faire est simplement de restaurer le contenu du disque dur "d'installation propre" à partir d'une image disque et de modifier la clé de produit Windows si nécessaire.

Si vous souhaitez protéger les disques durs contre les utilisateurs utilisant des outils d'investigation, utilisez un outil de déchiquetage de données (par exemple, shred, disponible dans la plupart des distributions Linux) sur le disque dur avant de restaurer les données de l'image. Avec environ une heure de travail, vous pouvez même préparer une clé USB qui déchiquetera le disque dur, puis le remplira de nouveau avec les données de l'image.

De cette façon, vous épargnerez beaucoup de travail tout en protégeant les données des utilisateurs et de l'entreprise.

Il manque la meilleure réponse ... écrivez votre matériel en tant que coût professionnel, et lorsque quelqu'un quitte, donnez-lui l'ordinateur portable et achetez-en un nouveau; cela permet de gagner le plus de temps possible et constitue une manière positive d'aborder l'équilibre travail-vie personnelle. Bien sûr, s'ils ne sont là que depuis quelques semaines, une réinitialisation est probablement préférable.

J'ai une expérience personnelle avec des PC non réimagés transmettant des virus à de nouveaux utilisateurs. (Et avec des fichiers indésirables perdant la vie d'un utilisateur, mais c'est une toute autre histoire.)

Comme Ushuru l'a souligné, la meilleure pratique consiste à réimager plutôt qu'à réinstaller. (Et oui, vous avez besoin de sysprep, mais pas à cause des SID, comme l'a dit TesselatingHector.) Ils ne doivent pas nécessairement être du même matériel; vous pouvez inclure une grande variété de pilotes dans votre image et même ajouter de nouveaux pilotes hors ligne (si votre image est un .wim).

Il y a un ensemble du marché du secteur du bureau de déploiement des logiciels , et je l' ai vu aussi des gens roulent leur propre processus avec le logiciel de sauvegarde et de restauration d' une image « de sauvegarde » spécialisée.

Vous pouvez également reconstruire le système si vous aimez installer le système d'exploitation. ;) Je m'ennuie facilement et préfère automatiser.

La réponse à cette question dépend vraiment de savoir si vous autorisez les employés à être les administrateurs locaux de leur propre ordinateur.

En général, un compte de groupe d'utilisateurs n'a le droit d'écriture que dans son propre répertoire de profil et nulle part ailleurs sur le disque dur.

Dans ce cas, aucune modification ne peut être apportée au système par l'utilisateur, y compris l'installation ou la suppression d'applications, ou la création de fichiers ou de répertoires cachés en dehors de leur répertoire de profil.

Un logiciel malveillant peut potentiellement s'installer lui-même, mais encore une fois uniquement dans le profil de cet utilisateur, généralement dans AppData ou Temp.

Pour ces utilisateurs restreints, un nouveau compte est complètement déconnecté de l'ancien profil de l'utilisateur.

Je ne rêverais même jamais de donner un ordinateur usagé à un nouvel employé sans au moins un disque dur. Si vous voulez être assez sûr, remplacez complètement le disque dur.

Les kits de racines sont extrêmement puissants. Le système d'exploitation et les antivirus ne connaissent pas de kit racine car ils sont installés à un niveau inférieur (ils chargent en fait le système d'exploitation et lui donnent des informations de base telles que celles qui se trouvent sur le disque dur, de sorte qu'ils peuvent très efficacement se cacher du OS). Certains s'installent même dans le BIOS du disque dur, ce qui les rend extrêmement difficiles à éliminer.

Quelques-uns peuvent s'installer dans le BIOS de votre PC et réinfecter les nouveaux disques durs à mesure qu'ils sont installés.

Si un employé mécontent, même doué en compétences de piratage informatique, le souhaitait vraiment, il pourrait vous restituer un ordinateur dans un état dévastateur, même après un disque dur "Reformat". Une bonne solution pourrait faire en sorte que même le remplacement du disque dur ne soit d'aucun secours.

Un pirate-employé très talentueux pourrait utiliser l'une de ces techniques pour obtenir un accès illimité à vos systèmes de réseau interne et à vos données. À tout moment dans le futur, il pourrait se reconnecter de l'extérieur - d'une manière qu'il serait presque impossible pour vous de vous arrêter (car l'ordinateur infecté est susceptible d'appeler de temps en temps et de contourner toute la sécurité du pare-feu).

Heureusement, les plus talentueux ont probablement de meilleures choses à faire que de travailler pour votre entreprise.

La réponse de James dans laquelle il disait "Donnez l'ordinateur à l'employé quand il partira" devrait sonner plutôt bien maintenant, mais vraiment, tirez et déchiquetez la HD.