모범 사례 : 새로운 직원을 위해 항상 새로운 OS를 설치해야합니까?


112

나는 이것에 대해 우월한 주장을했다. 언뜻보기에 랩톱의 이전 사용자는 자신의 문서 폴더에서만 작동했지만 항상 다음 사용자를 위해 새 OS를 설치해야합니까 아니면 이전 프로파일을 충분히 삭제해야합니까? 설치된 소프트웨어는 대부분 다음 사용자에게도 필요합니다.

설치가 필요하다고 생각하지만 바이러스 및 개인 데이터에 대한 내 주장을 제외하고는 어떤 이유가 있습니까?

우리 회사에서는 개인 메일과 같은 PC를 사용할 수 있으며 일부 PC에는 게임이 설치되어 있습니다. 우리는 종종 고객의 사이트에있는 일종의 모바일 사용자를 가지고 있기 때문에 나는 그들을 탓하지 않습니다.

또한 그 때문에 많은 로컬 관리자가 있습니다.

개인 사용과 로컬 관리자 계정의 가용성이 모두 좋은 아이디어는 아니라는 것을 알고 있지만 여기서 일하기 전에 처리 된 방식이며 훈련을 마치면이를 변경할 수 있습니다.)

편집 : 나는 게시 된 모든 답변이 관련이 있다고 생각하며, 우리 회사에서 우리가 가지고있는 몇 가지 관행이 시작하기에 가장 좋지 않다는 것을 알고 있습니다 (예 : 너무 많은 사람들의 로컬 관리자).

현재로서는 토론에 가장 유용한 답변은 Ryder의 답변이라고 생각합니다. 그는 그의 대답에 준 예는 과장 될 수 있지만, 전 직원이 개인 데이터를 잊었 전에 일어났다. 나는 최근에 오래된 노트북에서 게임 런 어웨이의 소매 복사본을 발견했으며 개인 이미지도 남는 경우가 몇 가지있었습니다.


31
그렇게하지 않을 위험을 감수하고 싶지 않습니다. 당신이하지 않으면 너무 많은 일이 잘못 될 수 있습니다.
마스트

4
직원들이 회사 자산에서 게임을하는 것에 대해 직원을 비난하지 않습니다. 고객과 함께 할 때 그렇게했기 때문입니까? 이런 씨발?
궤도에서 가벼움 레이스

24
@LightnessRacesinOrbit 글쎄, 당신이 몇 주 동안 (주말을 포함하여) 호텔에 있고 직장 밖에서 절대로 할 일이 없다면, 그래도 괜찮습니다. 종종 우려가 있지만 최소한 사기를 유지합니다. 또한 저와 제 상사는 확실히 사람들이 여행을 위해 랩톱이나 태블릿을 사도록 강요하면 우리를 해칠 것입니다. 여기에 여러 가지 이유가 있습니다. 모두 들어가는 데 너무 오래 걸릴뿐만 아니라 고용주가 나빠 보이게 만들 것입니다.)
ExNought

3
@ExoWork : 아, 직장 밖입니다. 나 자신은 일반적으로 매주 며칠 밤낮으로 사업을하러 가고 있으며 그 호텔에서 내 업무용 노트북을 잘 활용합니다! 그러나 "고객의 현장" 이라고 말한 것은 매우 다릅니다.
궤도에서 가벼움 레이스

8
여기에 나열된 모든 이유 때문에 분명히 말하지만 다른 이유가 있습니다. 컴퓨터를 개인 용도로 사용할 수 있다면 데이터 보호법으로 인해 다른 사람이 해당 데이터에 액세스하는 것은 불법 일 수 있습니다. 내가 아는 한 독일에서는 문제가 있습니다). 드라이브를 포맷하면 타사에 개인 데이터가 제공되지 않습니다.
DetlevCM 2016 년

답변:


217

물론 그렇습니다. 그것은 보안 POV의 상식 일뿐만 아니라 비즈니스 윤리의 문제로도 실천되어야합니다.

다음 시나리오를 상상해보십시오. Alice가 떠나서 컴퓨터가 Bob으로 전송되었습니다. 밥은 그것을 알지 못했지만 앨리스는 불법 쇼타 포르노에 빠져 여러 파일을 그녀의 프로필 외부에 남겨 두었습니다. IT는 인터넷 사용 기록 및 로컬 파일 만 포함하여 프로필과 그 밖의 다른 내용을 삭제합니다.

어느 날 Bob은 Starbucks ™에 앉아서 라떼를 마시면서 빛나는 새 작업 기계에서 종과 휘파람을 확인하고 있습니다. 그는 Alice의 캐시를 우연히 발견하고 이상하게 보이는 파일을 순진하게 클릭합니다. 갑자기 Bob의 PC가 여러 주 및 연방 규정을 대량으로 넘기면서 상점의 모든 직원들이 공포에 휩싸였습니다. 모퉁이에있는 한 소녀가 울기 시작합니다.

밥은 죽었다 6 개월 동안 우울증을 앓은 후 의도하지 않은 공공 무죄 행위 (및 형사 고발)로 해고 된 후, 그는 자신을 실제로 해킹하는 법무 팀을 찾아 엄청나게 해로운 소송으로 전 고용주에게 낭비를 안겨줍니다. 앨리스는 태국에 있으며 인도에서 탈출합니다.


어쩌면이 모든 것이 창백한 것 이상일 수도 있지만 전 직원의 모든 행동을 훑어 보는 데 시간을 들이지 않으면 절대로 발생할 수 있습니다. 또는 시간을 절약 하고 처음부터 다시 설치할 수 있습니다.


30
@gerrit 스크래치에서 Windows를 다시 설치하면 일반적으로 디스크의 전체 형식도 포함됩니다. Bob이 파일을 복구 할 수있는 유일한 방법은 법의학 도구를 실행하는 것입니다. 일반적으로 정당한 이유 없이는 그렇게하지 않습니다.
Nzall

10
태국의 앨리스는 도움이되지 않습니다. TH-US 추정법이 있습니다 . 해당 국가를 선택하십시오. 노치 코리아는 나의 후보입니다.)
vasin1987

37
@ vasin1987 Alice의 변호사가 방금 전화했습니다. 그녀는 실제로 평양에 머무르는 것보다 남은 평생을 연방 교도소에서 보내는 것을 선호한다고 말했다. 당신은 뭔가를 주선 할 수 있습니까?
David Richerby 2016 년

40
다음에는 어떻게 되나요? 내가 알 필요가!
FuriousFolder 2016 년

13
이 답변은 1. 표준 작동 절차로 전체 와이프를 수행하는 저렴한 비용에 대해 논의하는 작은 부록의 이점이 있습니다. 시간을 절약 할 가치가 있습니다. 실제로, 위험을 무시하고 이전 사용자의 데이터를 찾아 지우는 것보다 데이터를 지우는 것이 더 빠를 것입니다 (시간 = 돈).
jpmc26 2016 년

43

반드시 컴퓨터를 재설정 / 재설치해야합니다. 비즈니스를 위험에 빠뜨리는 악성 프로그램이있을 수 있습니다. 바이러스 나 트로이 목마 또는 전직 직원이 의도적으로 남겨둔 것일 수 있습니다 (모두가 좋은 말을하는 것은 아닙니다). @axl의 회신에있는 모든 이유도 유효합니다.

보다 쉽게 ​​작업 할 수 있도록, 모든 일반적인 소프트웨어가 이미 설치되어있는 새로 설치된 컴퓨터의 스냅 샷 / 이미지 / 백업을 생성하고 모든 새 컴퓨터 나 재활용 컴퓨터에이를 밀어 넣으십시오. 수동 재설치가 필요하지 않습니다.


"비즈니스를 위험에 빠뜨리는 악성 프로그램이있을 수 있습니다." 회사 랩톱 인 경우 직원은 이미 그 전에 사용하도록 신뢰했습니다. 직원이 네트워크를 악의적으로 공격하는 경우 이미 자신의 컴퓨터를 쓸모없는 전술로 만들 수있는 충분한 기회가있었습니다.
jpmc26

4
나는 마지막 직장에서 전직 동료 노트북을 받았습니다. 다시 설치하거나 "표준 빌드"를하지 않았습니다. 나는 비슷한 경험이 있었지만 외설물 종류는 아니었다. NOTHING이 제대로 작동했기 때문에 형식을 지정하고 다시 설치해야했습니다. 전직 직원은 가장 이해할 수없는 방식으로 물건을 조정하려고 시스템을 완전히 강화했습니다.
Mike McMahon 2016 년

@ jpmc26 완벽하지 않습니다. 우리는 그들이 뉴스를 낸 후에 그들이 뻔한 일을 할 수있을 것으로 의심되는 해고 를했습니다. 따라서 애플리케이션과 네트워크에서 권한을 사전에 철회합니다. 따라서 이들이 적극적으로 액세스 할 수는 없지만 컴퓨터 나 장치가 다른 직원에 의해 사용되면 멀웨어 나 키로거를 통합 할 수 있습니다. 또한 우리 회사의 우려는 경쟁 업체와 일을하고 민감한 회사 정보에 ​​여전히 액세스 할 수있는만큼 악의적으로 네트워크를 공격하는 것이 아니 었습니다.
베이컨 브래드

27

저는 IT 관리자는 아니지만 몇 가지 이유로 다시 설치해야한다는 느낌이 듭니다.

  • 로컬 관리자는 이전 사용자 파일의 소유권을 가질 수 있습니다.

  • 이전 사용자의 시스템 변경으로 인해 발생하는 문제를 해결할 필요가 없습니다.

  • 이전 사용자의 개인 응용 프로그램은 여전히 ​​프로그램 파일에서 사용할 수 있습니다.

로컬 관리자가없고 홈 폴더 외부의 항목을 변경하거나 액세스 할 수없는 경우 걱정할 필요가 없지만 항상 고려해야 할 디스크 공간이 있습니다.

모든 소프트웨어를 수동으로 설치하는 대신 Ghost 또는 다른 이미징 시스템 사용을 고려 했습니까?


1
나는 실제로했지만, 그것은 또한 수동으로 한 일 중 하나이며, 아무도 그것을 바꾸고 싶지 않은 것 같습니다. 내 견습 과정을
마치면

1
사람들이 더 나은 방법이 있다는 것을 확신시키는 데 시간이 걸릴 수 있습니다. 특히 통증이 거의 없거나 아예없는 경우. :)
axl

9

처리하는 모든 머신이 동일하거나 동일한 머신 그룹이있는 경우 새로 설치 한 후 OS를 업데이트하고 사용자에게 필요한 기본 소프트웨어를 설치하십시오. 그런 다음 머신을 다른 사용자에게 재 할당하거나 HDD 장애, 바이러스 감염 등의 경우 시스템을 복원 할 수있는 HDD 이미지를 만듭니다.

디스크 이미지에서 "새로 설치"HDD 내용을 복원하고 필요한 경우 Windows 제품 키를 변경하기 만하면됩니다.

법의학 도구를 사용하여 사용자로부터 HDD를 보호하려면 이미지에서 데이터를 복원하기 전에 HDD에서 데이터 분쇄 도구 (예 : 대부분의 Linux 배포판에서 사용 가능한 조각)를 사용하십시오. 약 1 시간 분량의 작업으로 HDD를 파쇄 한 라이브 USB를 준비한 다음 이미지의 데이터로 다시 채울 수 있습니다.

이렇게하면 사용자와 회사의 데이터를 계속 보호하면서 상당한 작업을 절약 할 수 있습니다.


1
Windows 설치의 직접 드라이브 이미지를 만들어 여러 다른 컴퓨터에 적용하면 컴퓨터 SID라는 문제로 인해 문제가 발생할 수 있습니다. 드라이브 이미지를 만들기 전에 sysprep 및 "Windows 유틸리티"를 실행해야합니다. 설치된 OS를 일반화하십시오. 또한 Windows 정품 인증 수를 추적해야합니다. 일부 버전의 경우 정품 인증을 허용하는 경우가 가끔 있습니다. 때로는 5 개 정도만 사용할 수 있기 때문에 더 이상 sysprep 또는 이미지를 만들 수 없습니다. slmgr / dlv는 나머지 활성화를 보여줍니다.
Dale Mahalko

3
@DaleMahalko SysPrep이 필요하고 지원되는 설치 복제 방법 은 SID 복제 때문이 아닙니다 .
TessellatingHeckler 2016 년

그것들이 동일하지 않더라도 요즘 PC 설치를 스크립팅하는 것은 쉽습니다. 그런 다음 오래 된 이미지의 고통이 없습니다.
제임스 스넬

5

이것은 최선의 대답이 없습니다 ... 사업 비용으로 하드웨어를 적어두고 누군가가 떠날 때 노트북을주고 새롭고 깨끗한 것을 구입하십시오. 이것은 대부분의 시간을 절약하고 일과 삶의 균형에 접근하는 긍정적 인 방법입니다. 물론, 그들이 몇 주 밖에 없었다면 리셋이 가장 좋습니다.


5
"사업 비용으로 하드웨어를 작성"한다고해서 비용이 사라지는 것은 아닙니다. 이 사고 방식은 배터리가 부족할 때마다 새 휴대 전화를 구입하는 것과 같습니다.
레인저

7
"최고의"아이디어가 아닙니다. 나쁜 생각은 도처에. 하드웨어 비용뿐만 아니라 여기에 설치된 다른 소프트웨어의 모든 라이센스도 기록해야합니다 (기술적으로 일부 라이센스는 양도 할 수 없음). 나는 당신의 직장에 대해 잘 모르지만 대부분의 경우 "회사 기밀"로 지정되어 있습니다. 귀중한 정보가 문 밖으로 나가기를 원하십니까? 우호적 인 용어로 이별을하고 있다고 가정하자. 그것이 오래된 HW이고 좋은 용어라면, "아마도"이미지를 다시 제공하십시오. 아마 자선 대 직원 (세금 공제! $$).
Ian W

@Ian W 일부 소프트웨어를 비활성화하여 회사의 다른 직원에 대한 라이센스를 확보 할 수 있습니다 (내가 본 대부분의 소프트웨어에는 회사 사용자에게이 옵션이 있습니다). 반면에 머신의 하드 디스크에 저장된 데이터의 기밀성은 문제입니다. 디스크 내용을 / shred /로 지워야합니다. 물론 문제를 해결하기 위해 하드웨어를 작성하는 것은 나쁜 방법입니다 (어쨌든 먼저 문제를 해결해야하기 때문에).
Jakub

사업체는 이미 가능한 모든 비용을 사업비로 사용하고 있는데, "제작"은 당신이 생각하는대로하지 않을 것입니다. 공짜 돈이 아니고, 사업은 여전히 ​​새로운 장비 (랩탑)를 구입해야하며 페니는 절약됩니다. 페니 적립. 어쩌면 Kramer는 더 나은 (아마)를 설명 할 수
Xen2050

5

재 이미징되지 않은 PC에서 새로운 사용자에게 바이러스를 전염시키는 개인적인 경험이 있습니다. (원치 않는 파일이 사용자의 고용보다 오래 지속되는 것은 다른 이야기입니다.)

Ushuru가 지적했듯이 가장 좋은 방법은 다시 설치하는 것이 아니라 이미지를 다시 작성하는 것입니다. TesselatingHector가 말했듯이 SID 때문에 sysprep이 필요합니다. 동일한 하드웨어 일 필요는 없습니다. 이미지에 다양한 드라이버를 포함시키고 오프라인에서 새 드라이버를 추가 할 수도 있습니다 (이미지가 .wim 인 경우).

데스크톱 배포 소프트웨어전체 시장 부문이 있으며 , 사람들이 백업 소프트웨어를 사용하여 고유 한 프로세스를 롤백하고 특수한 "백업"이미지를 복원하는 것을 보았습니다.

또는 OS 설치를 좋아하는 경우 시스템을 재 구축 할 수 있습니다. ;) 쉽게 지루해하고 자동화하는 것을 선호합니다.


3

이에 대한 대답은 실제로 직원이 자신의 컴퓨터의 로컬 관리자가 될 수 있는지 여부에 달려 있습니다.

일반적으로 사용자 그룹 계정은 자체 프로필 디렉토리 및 하드 드라이브의 다른 곳에서만 쓰기 권한을 갖습니다.

이 경우, 응용 프로그램 설치 또는 제거, 프로파일 디렉토리 외부의 숨겨진 파일 또는 디렉토리 작성을 포함하여 사용자가 시스템을 변경할 수 없습니다.

맬웨어는 잠재적으로 자체 설치 될 수 있지만 해당 사용자의 프로필 내부, 일반적으로 AppData 또는 Temp에서만 다시 설치할 수 있습니다.

이러한 제한된 사용자의 경우 새 계정이 이전 사용자 프로필에 있던 것과 완전히 분리됩니다.


7
"악성 프로그램은 권한 상승 취약점을 악용하지 않는 한 잠재적으로 자체 설치 될 수 있지만 해당 사용자의 프로필에만 다시 설치 될 수 있습니다." 따라서 로컬 관리자 권한이 없어도 특정 위험이 남아 있습니다.
user149408

이런 종류의 문제는 언제든지 누구에게나 영향을 줄 수 있기 때문에 관련이 없습니다. 약 500 대의 데스크톱 관리자로서 사용자 보안 그룹을 벗어날 수도있는 맬웨어에 대한 사소한 우려 때문에 6 개월마다 모든 개인 데스크톱을 주기적으로 지우지는 않습니다. 당신이 그것을 발견했다면 당신은 그것을 처리하지만, 그렇지 않으면 이것에 대해 걱정하지 말고 안티 바이러스가 처리하도록하십시오.
Dale Mahalko

1
직원들은 여행 중에 노트북을 가져갈 때까지 노트북을 물리적으로 제어 할 수 있습니다. 관리자 액세스 권한을 원하면 얻을 수 있습니다.
Andrew Henle

1
PC에 물리적으로 액세스 할 수있는 사람이라면 누구나 관리자가 할 수있는 일을 할 수 있다고 가정하십시오.
Bill K

3

나는 적어도 하드 디스크를 지우지 않고 새로운 직원에게 중고 PC를 제공하는 것을 꿈꾸지 않을 것입니다. 안전을 원한다면 하드 드라이브를 완전히 교체하십시오.

루트 키트는 매우 강력합니다. 루트 키트는 OS 및 바이러스 스캐너에서 낮은 수준으로 설치되므로 알 수 없습니다 (실제로 OS를로드하고 OS에 하드 드라이브에있는 것과 같은 기본 정보를 제공하므로 실제로는 OS). 일부는 하드 드라이브의 BIOS에 설치하기 때문에 제거하기가 매우 어렵습니다.

일부는 PC의 BIOS에 설치하여 새 하드 드라이브가 설치 될 때 다시 감염시킬 수 있습니다.

가벼운 해킹 기술을 가진 불만이있는 직원이 하드 디스크를 "재 포맷"한 후에도 네트워크를 반복적으로 파괴 할 수있는 상태로 컴퓨터를 반환 할 수 있습니다. 하드 드라이브를 교체해도 도움이되지 않는 것이 좋습니다.

정말 재능있는 해커 직원은 이러한 기술 중 하나를 사용하여 내부 네트워크 시스템 및 데이터에 무제한으로 액세스 할 수 있습니다. 나중에 언제든지 그는 외부에서 다시 연결할 수 있습니다. 감염된 컴퓨터는 때때로 전화를 걸어 모든 방화벽 보안을 우회 할 가능성이 있기 때문에 거의 중단 할 수 없습니다.

운 좋게도 재능이 뛰어난 직원은 회사에서 일하는 것보다 더 나은 일을해야 할 것입니다.

"직원에게 컴퓨터를 맡길 때"라고 말하는 James의 대답은 지금 당장 꽤 좋은 소리로 들릴 것입니다.


나는 당신의 말이 맞다고 생각합니다. 당신과 제임스의 발걸음은 보안 위반의 위험이 가장 적은 단계이지만, 특히 신입 사원을 위해 새로 설치하기를 원하지 않기 때문에 일부 사람들의 머리에 들어가기가 어렵습니다. 처음에;) 그것은 여전히 ​​갈 길이 멀다 ...
ExNought

4
아마도 사람들은 보안 세미나를 보도록 유혹받을 수 있습니다. 보안을 심각하게 고려하지 않으면 심각한 결과가 발생합니다. 회사의 임원 중 몇 명은 업무용 컴퓨터의 내용이 인터넷에 업로드되어 있는지 감사하게 생각합니까? 최근에 친구 회사에 이런 일이 있었기 때문에 이것을 언급했습니다. 내 업무 네트워크는 인터넷에서 완전히 분리되었으며 고용 된 해커는 여전히 인터넷에 연결되었을 때 감염된 랩톱을 통해 들어 와서 연결이 끊긴 네트워크로 가져 왔습니다. 일어난다!
Bill K

@BillK +1! 전적으로 동의합니다. 보안을 유지하는 가장 좋은 방법 은 드라이브 를 휴지통에 버리고 BIOS를 다시 플래시 한 다음 새로 설치하는 것입니다. 보안과는 별도로, 동료의 개인 정보 보호 문제는 여전히 매우 다른 고려 사항이며 비용-편익 분석을받을 필요가없는 문제입니다. 나는 이미지 다시 작성하는 것이 유지, 또는 닦아하고 있어야한다 다시 것입니다 이유는 모범 사례 및 강력한 보안 정책의 디스크 부분을 파쇄 (그리고 비용에 대해 평가 될 수있다).
라이더

1
@Ryder가 동의했다. 또한 회사 직원이 드라이브를 파괴하고 재 이미징하는 비용이 걱정된다면 FAST를 이용하십시오. 놀랍게도 높은 이직률이 있거나 파산하려고합니다. 어느 쪽이든 장기적으로 머무르기에 좋은 장소는 아닙니다. (베어 본 스타트 업은 예외 일 수도 있지만 아닐 수도 있습니다).
Bill K
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.