Źle skonfigurowany komputer może posłużyć uczniom do pobierania z Internetu treści przeznaczonych dla dorosłych. Może być także zagrożeniem dla innych komputerów, ułatwiając włamanie do sieci czy zarażenie wirusami. Pokazujemy, jak zabezpieczyć PC w szkolnej pracowni.
Nikt nie ma wątpliwości, że filtrowanie treści docierającej do uczniów z Internetu to konieczność. I nie chodzi wyłącznie o sferę obyczajowości. W Sieci można znaleźć treści propagujące przemoc, rasizm, sekty, terroryzm itd.
Zakazywanie młodym internautom dostępu do pewnych treści wywołuje jednak chęć ominięcia ograniczeń. Konieczne staje się więc nie tylko filtrowanie, ale także i zabezpieczenie komputerów przed nieuprawnionymi zmianami.
Przybliżamy zasady zabezpieczania komputerów, które mogą przydać się w szkolnych pracowniach. Pokazujemy, jak to zrobić w najpopularniejszych obecnie w szkołach systemach operacyjnych: Windows Server 2008 i Vista.
Ogólne zasady zabezpieczania
Klasyfikator treści IE to nieskuteczne narzędzie. Zabezpieczanie powinno odbywać się na kilku poziomach. Najpopularniejsze jest filtrowanie treści i ograniczanie dostępu do Internetu za pomocą programów zainstalowanych na komputerach uczniów. Należy jednak pamiętać, że równie ważne są ochrona systemu i ograniczenie uprawnień na stacji roboczej, choćby dlatego, że stanowią istotną przeszkodę przy próbach omijania działania programów filtrujących. Uczeń pracujący na koncie z ograniczeniami ma mniejszą szansę na uszkodzenie systemu (przypadkowe lub świadome), a komputer jest mniej podatny na działanie wirusów czy trojanów.
Istotne jest również takie rozmieszczenie komputerów w pracowni, które utrudni uczniom skryte manipulacje. Nie powinno się umieszczać komputerów w boksach czy niewidocznych miejscach. Z punktu widzenia jak najlepszej ochrony przed nieuprawnionymi działaniami uczniów, idealne jest ustawienie komputerów nie w rzędach, lecz w okręgu, tak aby nauczyciel zza swojego biurka widział, co dzieje się na ekranach wszystkich monitorów. Świadomość, że opiekun może nieustannie śledzić działania, studzi zapędy większości uczniów.
Domena to podstawa
Konta podstawą bezpieczeństwa
Należy dążyć do tego, żeby każdy uczeń miał imienne konto, zabezpieczone unikalnym, znanym tylko jemu hasłem. Pozwoli to przydzielić każdemu uczniowi własny, bezpieczny folder macierzysty na serwerze, a także jednoznacznie identyfikować jego działania w sieci. Oczywiście po zakończeniu edukacji, takie konta trzeba usuwać.
Komputery w pracowni powinny być dołączone do domeny, a uczniowie powinni logować się wyłącznie do domeny. Takie rozwiązanie ma wiele zalet. Najważniejsza z nich, to możliwość centralnego zarządzania uprawnieniami. Przydatna jest również funkcja przekierowania folderów. Dzięki niej prywatne dokumenty czy ulubione adresy internetowe mogą być dostępne dla ucznia, niezależnie od tego, przy którym komputerze aktualnie pracuje.
Nie bez znaczenia jest wygoda archiwizacji i ewentualnej kontroli zawartości plików - łatwiej przeszukać zestaw katalogów macierzystych na serwerze, niż robić to na lokalnych dyskach komputerów. Logowanie uczniów do domeny i przynależność ich kont do grupy Domain Users (a w konsekwencji, także do grupy lokalnej Użytkownicy) ogranicza wstępnie ich prawa na komputerach. Mogą wykonywać tylko typowe zadania, na przykład uruchamiać aplikacje i korzystać z drukarek. Nie mają za to uprawnień m.in. do:
- instalowania programów,
- udostępniania folderów,
- instalowania drukarek lokalnych,
- wprowadzania zmian w katalogu systemowym
- Windows (chyba, że dostaną
- dodatkowe uprawnienia).
Ograniczenia te można oczywiście rozszerzyć.
Dostosowywanie zabezpieczeń krok po kroku
Tworzenie nowej jednostki organizacyjnej. Dążąc do maksymalnego bezpieczeństwa, trzeba pamiętać, że może być to okupione trudnościami i problemami z instalacją i działaniem niezbędnych programów. Dlatego poziom zabezpieczeń najlepiej dostosowywać do lokalnych warunków. W pracowni powinno być bezpiecznie, ale dbałość o bezpieczeństwo nie może paraliżować nauki z użyciem komputera. Konfigurację zasad grupy wykonuje się na serwerze obsługującym sieć - w naszym przykładzie Windows Server 2009.
Uwaga na Administratora!
Na stacjach roboczych w pracowni nie powinno być żadnych kont lokalnych, z wyjątkiem konta administratora. Lokalne konta użytkowników najlepiej usunąć. Absolutnie nie wolno dopuścić do tego, aby użytkownik miał choćby na chwilę możliwość działania z uprawnieniami administratora (na przykład, gdy opiekun w celach serwisowych zalogował się na komputerze ucznia i na moment opuścił stanowisko). W Internecie można znaleźć programy do wyłączania blokad, a także wskazówki, co można zrobić, gdy ma się odpowiednie uprawnienia. Na przykład polecenie
netsh winsock reset
uruchomione na koncie z uprawnieniami administratora domeny może pozwolić trwale ominąć działanie kontroli, mimo że program zabezpieczający pozostanie zainstalowany i będzie stwarzał pozory działania!
DVDFab to program, dzięki któremu wykonamy kopie zapasowe płyt DVD i Blu-ray. Umożliwia także...
