Jak zabezpieczyć szkolne komputery

Nikt nie ma wątpliwości, że filtrowanie treści docierającej do uczniów z Internetu to konieczność. I nie chodzi wyłącznie o sferę obyczajowości. W Sieci można znaleźć treści propagujące przemoc, rasizm, sekty, terroryzm itd.

Zakazywanie młodym internautom dostępu do pewnych treści wywołuje jednak chęć ominięcia ograniczeń. Konieczne staje się więc nie tylko filtrowanie, ale także i zabezpieczenie komputerów przed nieuprawnionymi zmianami.

Przybliżamy zasady zabezpieczania komputerów, które mogą przydać się w szkolnych pracowniach. Pokazujemy, jak to zrobić w najpopularniejszych obecnie w szkołach systemach operacyjnych: Windows Server 2008 i Vista.

Ogólne zasady zabezpieczania

Klasyfikator treści IE to nieskuteczne narzędzie. Zabezpieczanie powinno odbywać się na kilku poziomach. Najpopularniejsze jest filtrowanie treści i ograniczanie dostępu do Internetu za pomocą programów zainstalowanych na komputerach uczniów. Należy jednak pamiętać, że równie ważne są ochrona systemu i ograniczenie uprawnień na stacji roboczej, choćby dlatego, że stanowią istotną przeszkodę przy próbach omijania działania programów filtrujących. Uczeń pracujący na koncie z ograniczeniami ma mniejszą szansę na uszkodzenie systemu (przypadkowe lub świadome), a komputer jest mniej podatny na działanie wirusów czy trojanów.

Istotne jest również takie rozmieszczenie komputerów w pracowni, które utrudni uczniom skryte manipulacje. Nie powinno się umieszczać komputerów w boksach czy niewidocznych miejscach. Z punktu widzenia jak najlepszej ochrony przed nieuprawnionymi działaniami uczniów, idealne jest ustawienie komputerów nie w rzędach, lecz w okręgu, tak aby nauczyciel zza swojego biurka widział, co dzieje się na ekranach wszystkich monitorów. Świadomość, że opiekun może nieustannie śledzić działania, studzi zapędy większości uczniów.

Domena to podstawa

Komputery w pracowni powinny być dołączone do domeny, a uczniowie powinni logować się wyłącznie do domeny. Takie rozwiązanie ma wiele zalet. Najważniejsza z nich, to możliwość centralnego zarządzania uprawnieniami. Przydatna jest również funkcja przekierowania folderów. Dzięki niej prywatne dokumenty czy ulubione adresy internetowe mogą być dostępne dla ucznia, niezależnie od tego, przy którym komputerze aktualnie pracuje.

Nie bez znaczenia jest wygoda archiwizacji i ewentualnej kontroli zawartości plików - łatwiej przeszukać zestaw katalogów macierzystych na serwerze, niż robić to na lokalnych dyskach komputerów. Logowanie uczniów do domeny i przynależność ich kont do grupy Domain Users (a w konsekwencji, także do grupy lokalnej Użytkownicy) ogranicza wstępnie ich prawa na komputerach. Mogą wykonywać tylko typowe zadania, na przykład uruchamiać aplikacje i korzystać z drukarek. Nie mają za to uprawnień m.in. do:

• instalowania programów,
• udostępniania folderów,
• instalowania drukarek lokalnych,
• wprowadzania zmian w katalogu systemowym
• Windows (chyba, że dostaną
• dodatkowe uprawnienia).

Ograniczenia te można oczywiście rozszerzyć.

Dostosowywanie zabezpieczeń krok po kroku

Tworzenie nowej jednostki organizacyjnej. Dążąc do maksymalnego bezpieczeństwa, trzeba pamiętać, że może być to okupione trudnościami i problemami z instalacją i działaniem niezbędnych programów. Dlatego poziom zabezpieczeń najlepiej dostosowywać do lokalnych warunków. W pracowni powinno być bezpiecznie, ale dbałość o bezpieczeństwo nie może paraliżować nauki z użyciem komputera. Konfigurację zasad grupy wykonuje się na serwerze obsługującym sieć - w naszym przykładzie Windows Server 2009.