Prática recomendada: devo sempre instalar um SO novo para novos funcionários?

Eu tive uma discussão com um superior sobre isso. Embora, à primeira vista, o usuário anterior de um laptop só funcionasse em suas próprias pastas de documentos, devo sempre instalar um novo sistema operacional para o próximo usuário ou excluir o perfil antigo o suficiente? O software instalado também é principalmente necessário para o próximo usuário.

Acho que é necessária uma instalação, mas, exceto pelo meu próprio argumento de vírus e dados privados, que motivos existem para fazer isso?

Na nossa empresa, é permitido o uso do PC, por exemplo, correio privado, em alguns PCs existem jogos instalados. Temos meio que usuários móveis, que geralmente estão no local de um cliente, então eu realmente não os culpo.

Também por causa disso, temos muitos administradores locais por aí.

Sei que o uso privado e a disponibilidade de contas de administrador locais não são boas idéias, mas foi assim que foi tratado antes de eu trabalhar aqui e só posso mudar isso quando estiver fora do estágio;)

Editar : acho que todas as respostas postadas são relevantes e também sei que algumas das práticas que temos na minha empresa não são as melhores para começar (administrador local para muitas pessoas, por exemplo;).

A partir de agora, acho que a resposta mais útil para uma discussão seria a de Ryder. Embora o exemplo que ele deu em sua resposta pode ser exagerada, ele tem acontecido antes que um ex-funcionário esqueceu dados privados. Recentemente, eu encontrei uma cópia de varejo do jogo Runaway em um laptop antigo e também tivemos alguns casos de imagens privadas restantes.

Absolutamente você deveria. Não é apenas senso comum de um ponto de vista de segurança, também deve ser uma prática como questão de ética nos negócios.

Vamos imaginar o seguinte cenário: Alice sai e seu computador é transferido para Bob. Bob não sabia, mas Alice estava em um filme ilegal de pornografia e deixou vários arquivos escondidos fora de seu perfil. A TI limpa seu perfil e nada mais, o que inclui apenas seu histórico de navegação e arquivos locais.

Um dia, Bob está checando os sinos e assobios em sua nova e brilhante máquina de trabalho, sentado em uma Starbucks ™ e bebendo um café com leite. Ele tropeça no cache de Alice e clica inocentemente em um arquivo que parece estranho. De repente, todos os chefes da loja se voltam para assistir horrorizados, enquanto o PC de Bob desrespeita vários regulamentos estaduais e federais no volume máximo. Uma garotinha no canto começa a chorar.

Bob está mortificado. Depois de seis meses de depressão e depois de ter sido demitido por seu ato não intencional de indecência pública (e possíveis acusações criminais), ele se vê realmente uma equipe legal de rachar e desperdiça seu ex-empregador com um processo escandalosamente prejudicial. Alice está na Tailândia e escapa da extradição.

Talvez tudo isso esteja um pouco além do óbvio, mas absolutamente poderia acontecer se você não tomar tempo para vasculhar todas as ações de um ex-funcionário. Ou você pode economizar tempo e reinstalar do zero.

Você definitivamente deve redefinir / reinstalar os computadores. Poderia haver programas maliciosos que colocariam os negócios em risco. Podem ser vírus ou trojans ou algo que o ex-funcionário deixou lá intencionalmente (nem todo mundo sai em boas condições). Todos os motivos da resposta do @ axl também são válidos.

Para facilitar sua vida, crie uma captura instantânea / imagem / backup de um computador recém-instalado com todo o software usual já instalado e apenas empurre-o em todos os computadores novos ou reciclados. Não é necessário reinstalar manualmente.

Não sou administrador de TI, mas sinto que você deve reinstalar por alguns motivos:

• Os administradores locais podem se apropriar dos arquivos do usuário anterior.

• É menos provável que você tenha que lidar com problemas decorrentes de alterações no sistema feitas pelo usuário antigo.

• Os aplicativos pessoais do usuário antigo ainda estariam disponíveis em Arquivos de Programa.

Se você não tiver administradores locais e eles realmente não puderem alterar ou acessar qualquer coisa fora da pasta inicial, eu ficaria menos preocupado, mas sempre haverá espaço em disco a ser considerado.

Você já pensou em usar o Ghost ou outro sistema de imagem em vez de instalar manualmente todo o software?

Se todas as máquinas que você manipular forem idênticas (ou houver grupos de máquinas idênticas), faça uma instalação limpa uma vez, atualize o sistema operacional e instale o software básico de que os usuários precisarão. Em seguida, crie uma imagem de disco rígido, da qual você pode restaurar o sistema no caso de redesignar a máquina para outro usuário, falha no disco rígido, infecção por vírus etc.

Tudo o que você precisa fazer é apenas restaurar o conteúdo do disco rígido de "instalação limpa" da imagem do disco e alterar a chave do produto Windows, se necessário.

Se você deseja proteger os HDDs contra usuários que utilizam ferramentas forenses - use uma ferramenta de destruição de dados (por exemplo, fragmentação, disponível na maioria das distros Linux) no disco rígido antes de restaurar os dados da imagem para ele. Com cerca de uma hora de trabalho, você pode até preparar um USB ao vivo que destruirá o disco rígido e o preencherá com os dados da imagem.

Dessa forma, você pode economizar bastante trabalho e, ao mesmo tempo, proteger os dados dos usuários e da empresa.

Está faltando a melhor resposta ... anote seu hardware como um custo comercial e, quando alguém sair, forneça o laptop e compre um novo e limpo; isso economiza mais tempo e é uma maneira positiva de abordar o equilíbrio entre vida profissional e pessoal. Obviamente, se eles estiveram lá apenas algumas semanas, uma redefinição é provavelmente a melhor.

Tenho experiência pessoal com PCs sem imagem que transmitem vírus para novos usuários. (E com arquivos indesejados que duram mais que o emprego de um usuário, mas isso é outra história.)

Como Ushuru apontou, a melhor prática é reimaginar em vez de reinstalar. (E sim, você precisa de sysprep, mas não por causa dos SIDs, como disse o TesselatingHector.) Eles não precisam ser hardware idêntico; você pode incluir uma grande variedade de drivers em sua imagem e até adicionar novos drivers offline (se a imagem for .wim).

Há todo um setor de mercado de software de implantação de desktops , e também vi pessoas lançando seu próprio processo com software de backup e restaurando uma imagem especializada de "backup".

Ou, você pode reconstruir o sistema se você gosta de instalar o sistema operacional. ;) Fico entediado facilmente e prefiro automatizar.

A resposta para isso depende realmente de você permitir que os funcionários sejam administradores locais de sua própria máquina.

Em geral, uma conta de grupo de usuários tem apenas permissão de gravação em seu próprio diretório de perfil e em nenhum outro lugar no disco rígido.

Nesse caso, nenhuma alteração pode ser feita no sistema pelo usuário, incluindo a instalação ou remoção de aplicativos ou a criação de arquivos ou diretórios ocultos fora do diretório de perfil.

O malware pode se instalar potencialmente, mas novamente apenas dentro do perfil do usuário, normalmente em AppData ou Temp.

Para esses usuários restritos, uma nova conta é completamente desconectada do que estava no perfil de usuário antigo.

Eu nunca sonharia em dar um PC usado para um novo funcionário sem pelo menos uma limpeza no disco rígido. Se você queria ser bastante seguro, substitua o disco rígido completamente.

Os kits de raiz são extremamente poderosos. Um kit raiz é desconhecido pelo sistema operacional e pelos antivírus porque eles são instalados em um nível inferior (na verdade, eles carregam o sistema operacional e fornecem ao sistema operacional informações básicas, como o que está no disco rígido, para que eles possam se esconder com muita eficácia. OS). Alguns até se instalam no BIOS do disco rígido, o que os torna extremamente difíceis de se livrar.

Alguns podem se instalar no BIOS do seu PC e reinfectar novos discos rígidos à medida que são instalados.

Se algum funcionário insatisfeito, com habilidades de hacking moderadas, realmente quisesse, poderia devolver um computador para você em um estado que devastaria sua rede repetidamente, mesmo depois de um disco rígido "Reformatar". Um bom poderia fazê-lo para que mesmo substituir o disco rígido não ajudasse.

Um hacker-funcionário muito talentoso pode usar uma dessas técnicas para obter acesso ilimitado aos seus sistemas e dados de rede internos. Em qualquer ponto do futuro, ele poderá se reconectar do lado de fora - de uma maneira que seria quase impossível para você parar (já que o computador infectado provavelmente chamará ocasionalmente e ignorará toda a segurança do firewall).

Felizmente, os realmente talentosos provavelmente têm coisas melhores a fazer do que trabalhar para a sua empresa.

A resposta de James, onde ele diz "Entregue o computador ao funcionário quando ele sair" deve parecer muito bom agora - mas, na verdade, basta puxar e destruir o HD.