高校计算机教室学生机操作系统的管理

高校计算机教室学生机操作系统的管理

引言
　　大学校园的计算机教室担负着针对于计算机、网络相关课程的重要的教学任务，然而学生机操作系统的安全性问题及如何有效控制将影响到课程的质量和学生的积极性。针对学生机操作系统的管理，主要侧重于学生机上的病毒、学生上课游戏、随意上网等因素，为了节约各种购买相应软件的成本，处理这些问题要利用操作系统本身自带的计算机及网络相关技术去解决。
　　1 学生的u盘控制 
　　 安全性因素中的首要威胁就是病毒，病毒的来源主要来自学生自带的u盘。虽然现今学生机带有系统还原卡，重新启动后能够恢复至系统的原始受保护状态，但是在实际操作中发现有些病毒可以冲破还原卡，即使重新启动，保护卡也无法起到保护作用，病毒还是驻留在系统中进行破坏，所以首先要控制学生的u盘随意使用。 
　　1.1 通过注册表对u盘进行控制 
　　 u盘的管理一般都会给高校机房管理员带来不少技术上的麻烦，以往是通过修改bios将usb禁用可以取得效果，但是现今鼠标、键盘基本都是usb插口的，所以并不合适。经过多年的磨合，发现使用通过注册表的方式可以对u盘能够起到非常好的管理方式。
　　 具体的方法是：只要将除了计算机自身分区的盘符以外的盘符都隐藏掉，那么可以使得u盘的盘符看不见这样学生就无法使用u盘了，只需对注册表进行修改就可达到此效果，hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer在此路径下修改或者新建一个nodrives的dwor本文由论文联盟http://收集整理d值为fbfffffb，这个值根据具体的数值来对不同盘符进行隐藏控制，此处代表的意思是只显示c盘其他的都隐藏。然而在地址栏中还是能够通过输入盘符打开的，所以为了将其余磁盘禁止访问还需新建一个noviewondrive的dword值为fbfffffb，这样可以完全杜绝访问除了c盘以外的所有磁盘了。
　　 为了更加有效地控制u盘，还得对u盘的驱动进行控制，达到从源头杜绝u盘的启动。经测试发现控制u盘加载驱动的路径在注册表中是：hkey_local_machinesystemcontrolset001servicesusbstor 中imagepath的值就是驱动路径，只要将其路径改为随意的其他路径就解决问题了。通过以上2种方式的共同作用可以大大地减少由于无法控制u盘而导致的计算机中毒的可能性。
　　 接下来就是如何进行实际地控制了，整体思路是：准备好2个导入的注册表文件，一个是上面所述的禁用u盘的，还一个是启用u盘的，启用u盘的只需将禁用u盘的注册表项nodrives及noviewondrive的值改为0和imagepath的值设置为原始路径即可。然后将这2文件保存到学生机比较隐蔽的路径下，利用装有多媒体教学软件的教师机，可以远程运行来导入这2个注册表程序以此来对学生机的u盘进行有效控制。
　　1.2 通过组策略禁止u盘病毒的启动 
　　 虽然u盘的使用可以进行控制了，但是一旦教师给学生开启u盘进行作业的上传或者下载，那么此时的计算机就相当于又裸露在一个无法防御的状态了，虽然杀毒软件已经多数进入了免费时代，但是由于保护卡的存在及机房的计算机一般都要接近上千台，病毒库的更新是十分麻烦的事情，所以如何有效地组织u盘病毒的入侵将是研究的重点，根据常见的u盘病毒的特点：一般病毒都是些可执行文件，通过双击u盘磁盘打开后自动加载病毒来感染计算机，基于此特点，通过组策略的方式将u盘根目录下的可执行文件等禁止运行以此来防止病毒的入侵。
　　 具体过程：运行中输入进入组策略——计算机配置——windows设置——安全设置——其他规则中，新建一个“新建路径规则”，在路径中输入系统分配给u盘的盘符，一般会在系统盘符接下去的字母，假设是e盘，就输入e:*.exe、e:*.cmd、e:*.bat、等可执行程序以及等配置文件，这样仅仅能够禁止u盘所对应的盘符下一级目录的文件，还可以通过输入e:**.exe,类似利用通配符的方式对二级、三级目录下的可执行程序也禁用，然后在安全级别中选择不允许的。如图1通过对不同盘符和多级目录下进行多次设置后可以大大降低病毒的执行。
　　
　　2 学生的游戏软件控制 
　　 由于部分学生的自觉性比较差，某些人会在自己的u盘里存放大型游戏的安装程序，借教师打开u盘的上传作业等机会将游戏安装到系统里面后就进行游戏而不会认真听课了。通常多数大型游戏的使用的磁盘一般达到几十甚至几百兆，基于这个特点，可以对系统的磁盘进行配额来进行限制，经实际的经验来讲，一般教师布置作业的文件一般最多在10到20m以内。这样只要将学生可以操作的磁盘的大小限定在20m以内的话对于教学来讲完全不影响而对于游戏操作的可行性大大降低了。然而对于一些在u盘直接启动而无需安装的游戏来讲，由于1.2所述的组策略将一些可执行和批处理文件等已经禁用所以也是无法运行的。然而一旦如果c盘的容量确实太小而无法满足教学及作业的要求，那么系统一般在分区时会有一个d盘分区供学生放数据，不过一般是将d盘通过1.2所述的方式隐藏起来，由教师来控制d盘是否给予使用。这样双重保护可以完全阻隔大型游戏的运行。
　　 具体配额操作：利用管理员身份进入系统，新建一个用户，将该用户设定为受限用户（为了不允许调整磁盘配额），然后对c盘进行如图2所示的磁盘配额。
　　
　　 在配额项中选择使用该配额的用户为刚建立的受限用户。这样学生登录的时候使用受限用户，就无法安装和复制游戏了。然后将管理员账户利用密码将其保护，学生只能通过受限账户进入操作系统这样就会受到磁盘配额的控制而无法安装大型游戏了。
　　
　　3 学生的上网控制
　　 影响学生上课的又一因素是网络，一般校园网中机房的机器都直接连接到校园网，然后通过机房控制软件对学生机的上网进行控制，这样就大大地加大了支出成本，那么要想控制好网络又节约成本的话，可以利用教师机作为出口的网关，将教师机上配置2块网卡，一块网卡用作内部学生机的网关，另外一块网卡用作连接校园网，通过internet连接共享（ics）的方法来对内部学生机进行上网控制。
　　 具体操作：选择连接校园网的网卡，进入属性中的高级选项卡后按照如图3所示进行选择。
　　 通过设置后，教师机就成了一个机房的网关了，然后将所有的学生机的网关地址都指向教师机的地址，这样要想访问外网必须通过教师机来实现。于是教师可以在教师机上面只需通过打开或者关闭连接校园网的网卡便可以随心所欲地控制学生上网了。