Creazione di un disco di ripristino personalizzato per impedire il data mining?

Ciò che descrivi è la peggiore pratica possibile, a parte la semplice consegna. Dal punto di vista della sicurezza, comporta rischi significativi per le parti precedenti e attuali.

Il modo più semplice per riformattare i PC è usare quella che viene chiamata una "immagine dorata" questa immagine è un'immagine di Windows:

• tieniti aggiornato
• installa solo il minimo indispensabile di programmi

Quindi ciò che puoi fare è impostare un server PXE. Invece di usare i DVD, basta caricare questo disco su un server DHCP centrale e agganciarlo alla macchina. Si avvia quindi in modalità PXE e si caricherà l'immagine dalla rete (se si utilizza Gigabit Ethernet può essere molto più veloce di un DVD comune). Il vantaggio di questo è che in pratica puoi installare molte macchine contemporaneamente senza dover utilizzare i DVD. La parte interessante è che Windows offre anche strumenti per automatizzare completamente questo tipo di distribuzione, inclusi gli script di post-installazione in esecuzione.

C'è comunque un piccolo problema, anche i dischi dovrebbero essere cancellati prima di reinstallare l'immagine di Windows. Windows offre questa possibilità utilizzando il loro ambiente Windows PE .

Implementerei la sostituzione del disco, la circolazione del disco o la pulizia del disco sicura, a seconda delle risorse / limiti di tempo.

Se possibile, prenderei l'approccio del grande datacenter e rimuoverò e sostituirò i dischi, distruggendo idealmente quelli che escono. Dato che queste saranno macchine di livello base, direi che sarebbe facile incorporare il costo della sostituzione di un disco rigido nel costo del leasing, ma se i tuoi manager saranno d'accordo con questa è la loro chiamata.

Se ciò dovesse rivelarsi eccessivo, proverei ad accumulare un surplus di dischi e rimuovere i dischi, sostituendoli con dischi cancellati in modo sicuro nel frattempo. È possibile eliminare i dischi non nelle macchine in preparazione per il prossimo lotto di macchine in arrivo. Non è l'ideale, principalmente perché la gestione, la rimozione, la reinstallazione ecc. Su base regolare probabilmente ridurranno notevolmente la durata del disco.

Terza opzione nella mia mente è quella di cancellare in modo sicuro i dischi in posizione quando le macchine tornano dentro, cosa che potrebbe essere ottenuta con una configurazione USB per fare ciò a qualsiasi standard di pulizia del disco scelto.

Dopo aver cancellato / sostituito le unità, è possibile reinstallare la versione di base di Windows, l'installazione come desiderato, probabilmente utilizzando il metodo indicato da Lucas di un server PXE. Ho usato i server PXE per amministrare le reti, ed è un modo molto soddisfacente per eseguire le reinstallazioni.

Oltre alla risposta di Lucas di cui sopra, potresti voler iniziare con la lettura delle varie EEPROM dalla scheda madre e rifarle con il firmware più recente scaricato e verificato dal sito Web dei produttori prima di ricatturarle.

Questi passaggi assicurerebbero che non ci sia firmware malevolo persistente presente nella confezione prima che venga spedito al cliente successivo.

Inoltre, non dimenticare di smaltire qualsiasi SSD esistente utilizzando metodi antincendio o chimici poiché la cancellazione dei dati potrebbe non riuscire, a seconda di come il produttore ha implementato il livellamento dell'usura su un particolare SSD.

Heasman, J. 2007. Implementazione e rilevamento di un rootkit PCI

Sacco, AL, Ortega, A. 2009. Infezione persistente del BIOS