Hyvää yötä kullekin.
Aloitan ensi viikon maanantaina työn harjoittelijana paikallisessa lukiossa, jossa oppilailla on omat henkilökohtaiset tunnuksensa koulun (ja kaiketi myös kunnan) verkon koneisiin, jotka taas käyttävät Windows XP:n Professional-mallia. Tunnukset ovat hyvin rajoitetut niin meillä opettajilla kuin oppilailla, mutta mm. järjestelmänvalvojat ja rehtori saavat tehdä isompiakin muutoksia järjestelmiin.
Haluaisinkin tietää, millaisia jälkiä jää tietokoneelle, kun henkilö X kirjautuu sisään omalla tunnuksellaan. Olen nimittäin selvillä koulun ATK-tuntien ja pakollisten verkkokurssien tuntityöskentelystä jo näin etukäteen: ainakin yksi kolmasosa pelaa verkkoräiskintöjä tai "irkkaa" IRC-Galleriassa läpi tuntien. Koska koulun järjestelmissä ei ole kunnon valvontalaitteistoja, mikä on ihan hyvä asia minunkin mielestäni, haluaisin pystyä valvomaan, ketkä oikein ovat niitä, jotka tekevät "hämärähommia" ilman jatkuvaa kiertelyä ja kyttäämistä.
Ideani on, että kun oppilas avaa tietokoneen luvatta (= kirjautuu sisään tunnuksellaan. Koneet ovat auki 07-18 joka päivä), häneltä jää jälkiä tietokoneen syövereihin. Tunnin loputtua välitunnilla kaivan koneiden tiedostoja ja poimin ylös nimet niiltä, jotka ovat rikkoneet tunnin sääntöjä.
Hieman fasistista, mutta minkäs teet.
Tarkastapa ihan ensin, mitä laki sanoo moisesta touhusta. Luokassa kiertämällä näkee ennen muuta sen, tekeekö oppilas mitä pitää, vai jotain muuta. Lokeja seuraamalla näkee, mitä oppilas tarkalleen teki. Tuo voi loukata yksityisyydensuojaa varsinkin, jos pengot lokitiedot systemaattisesti kaikilta.
No periaatteessa tarkoitukseni on vain tutkia, milloin tietyllä tunnuksella on kirjauduttu koneelle. Muita tietoja en kaivaisi esiin, mutta tämä tuskin on lieventävä seikka.
Alan taas viilaamaan pilkkua kun olen syssiadminin töitä tehnyt paljon ...
VNC Free/Radmin(maksullinen) on hyvä tapa pystyä näkemään mitä koneella tapahtuu. Molemmissa on vain yksi paha pulma: oppilaan ei tarvitse olla kovinkaan fiksu tajutakseen että häntä kytätään kun VNC:n kuvake muuttuu mustaksi yhteyden muodostuttua ja hiiren vikuroidessa (VNC Free ei tue pelkkää näköyhteyttä, vain täyden hallinnan) ja Radmin on maksullinen (ei kovinkaan halpa) ja sekin paljastaa heti kaikki yhteydet koneeseen kun kursorin laittaa kuvakkeen päälle mutta tukee myös pelkkää näköyhteyttä; näyttö välkähtää yhteyden muodostuttua joka paljastaa.
Toinen olisi NetOp School, joka vasta maksaakin suoraan sanotusti helvetisti, mutta on äärimmäisen järeä softa kun A: se ei hidasta pelaamistakaan; B: kyttäämistä ei pysty huomaamaan muullakaan tavalla; C: kaikkia koneita voi kytätä samaa aikaa softassa olevan "taulu"-toiminnon avulla.
En ole kovinkaan kova windows-fani joten en pysty sanomaan suoralta kädeltä että yhdestäkään windowsin tekemästä logista löytyisi jos joku olisi rukannut konetta (DOS-)komennolla, mutta epäilen vahvasti tuon mahdollisuutta. Toinen olisi että koneeseen laitetaan vartavasten tehty softa jota ei voi tappaa, valvomaan APIn kautta konetta ja printtaamaan johonkin tarkasti piilotettuun filuun kaikki suoritetut komennot ja ne suorittanut käyttäjä.
Laillisesti koko vaklaaminen on paha rikos.
Rauman Uotilan koulussa käytettiin jotain softaa lukitsemaan kaiken pääsyn koko järjestelmään joka voisi tehdä muuta kuin avata asennettu softa (itse olen käyttänyt ilmaista mutta melkein-pakkorekattavaa FreshUI:ta, mutta sillä ei saa kun osan järjestelmästä lukkoon, lähinnä Ohjauspaneeli) eli en tiedä enempiä softia järjestelmän arkojen paikkojen lukitsemiseksi. Muutosten peruuttamisesta huolehti lisäkortti joka koneen buutin aikana tuhosi/peruutti kaiken mitä oli jätetty muualle kuin työpöydälle tai D:\Tiedostot.
Yhdyn edellisiin kommentteihin: vakoilu on sikamaista. Mutta hei, eihän langan idea kuitenkaan ollut moisen asian moralisointi, vaan windowsin käyttäytyminen.
Meillä on lukiossa suht samanlainen menettely koneiden kanssa, ja olen välitunnin tylsien hetkien aikana huomannut, että XP prof. jättää merkinnän C:\Documents and Settings\-polkuun. Siellä sijaitsevat ko. konetta käyttäneiden henkilöiden käyttäjätunnuksille luodut kansiot, joissa on ainakin omat tiedostot- ja työpöytä-kansiot sekä windows-hömppää. Mitään logeja tänne ei kuitenkaan tallenneta, vaan kansioiden viimeisen muokkausajankohdan aikaleimat vaihtuvat. Joten jos todella haluat vaivata päätäsi "häiriköiden" bustaamisella, komenna cmd:n kautta DIR "C:\Documents and Settings\" ja katso aikaleimat.
No, onhan tuota itsekin tullut tehtyä. Pelattua, irkattua ja mesetettyä jopa tuntien aikana...
Toisaalta en tiedä miksi tähän pitäisi puuttua, jos siitä a) ei ole haittaa laitteistolle b) se ei häiritse opetusta. Itsellä ainakin syy tälläiseen "häiriötoimintaan" oli ja on se että tunnilla käytävät asiat ovat niin triviaaleja ja pitkästyttäviä että pakko sitä on jotain tehdä.
Aloitat opettajana vai tukihenkilönä?
Tosi fasisti mitään vakoile. Se estää ja kieltää kaiken.
Ei tarvitse pelätä, että galtsussa surffataan, kun proxystä käy kieltämässä moisen toiminnan. Samoin irssailut voidaan lopettaa palomuurilla. Proxy, GPO ja palomuurit ovat pääkäyttäjän työkalut.
Koneet ovat tod näk. domainissa, josta voit käydä helposti katsomassa kuka kirjautui ja mistä. Temporary internet files paljastaa, jos pikku Pasi surffaa jornoa. Ellei sitten admin ole laittanut ko. tiedostot poistettavaksi ulos kirjauduttaessa.
Mielestäni yksittäisellä opettajalla ei ole mitään oikeutta sörkkiä/tutkia koneita. Koulu säätää politiikan, ja pääkäyttäjä toteuttaa sen.
K_L kirjoitti:
Ei tarvitse pelätä, että galtsussa surffataan, kun proxystä käy kieltämässä moisen toiminnan.
Jaa? Espoon kouluissa ainakin proxy-asetuksen sai ilman oikeuksiakin kierrettyä käyttäjäkohtaisesti regeditillä tai yksinkertaisesti vaihtamalla IE:in Fx:iin, ja aina jostain löytyy vapaasti käytettävä proxy, jonka avulla voi kiertää IP-blacklistin.
Tämän seudun ammattiopistoissa on iTALC käytössä, jolla näkee kaikkien oppilaiden ruudut ja voi etäkäyttää koneita. Tämä ohjelma käyttää VNC:tä backendinä ja toimii niin Windowsilla kuin Linuxillakin. Oppilas ei myöskään huomaa milloin ruutua tarkkaillaan. Ohjelman voi kuitenkin blokkia suhteellisen helposti, mutta ei siitä sen enempää.
K_L kirjoitti:
Samoin irssailut voidaan lopettaa palomuurilla. Proxy, GPO ja palomuurit ovat pääkäyttäjän työkalut.
Irssiä käytetään yleensä SSH:n yli ja SSH:ta voidaan ajaa missä portissa tahansa, kuten 443, joka tuskin on proxyssä blokattuna.
K_L kirjoitti:
Mielestäni yksittäisellä opettajalla ei ole mitään oikeutta sörkkiä/tutkia koneita. Koulu säätää politiikan, ja pääkäyttäjä toteuttaa sen.
Samaa mieltä. Kuten tässäkin on todettu; jos surffailut tai muut "omat hommat" eivät häiritse opetusta tai vahingoita laitteistoa niin en näe aiheelliseksi vahtia käyttäjiä. Opettaja voi sitten poistaa tunnilta jos toiminta häiritsee opetusta.
Metabolix kirjoitti:
Jaa? Espoon kouluissa ainakin proxy-asetuksen sai ilman oikeuksiakin kierrettyä käyttäjäkohtaisesti regeditillä tai yksinkertaisesti vaihtamalla IE:in Fx:iin, ja aina jostain löytyy vapaasti käytettävä proxy, jonka avulla voi kiertää IP-blacklistin.
Joo! Kun verkosta estetään ko. koneen pääsy julkiseen verkkoon kokonaan. Ts. pääset siis vain proxylle, ja sitä kautta ulkoverkkoon. Ei auta vaikka asentelis kaikki selaimet mitä markkinoilla on.
trilog kirjoitti:
Irssiä käytetään yleensä SSH:n yli ja SSH:ta voidaan ajaa missä portissa tahansa, kuten 443, joka tuskin on proxyssä blokattuna.
Niinhän minäkin luulin, mutta vääräksi osottautui. Noh nokkelana laitoin oman palvelimeni kotona porttiin 80, jonka tiesin olevana auki. Oho ei toiminut. Olivat pirut blokanneet koko SSH liikenteen pois.
Sitten kokeilin vielä CGI-IRC:tä. Sehän ei tarvitse kuin normaalia http-liikennettä, koska liikenne irc:hen tapahtuu web-palvelimella. Noh avattuani erään kyseisen sivun, sain mukavan "tämä sivu sisältää kielletyn cgi-irc:n". Ei onnistunut sieltäkään.
Noh kyllähän tuokin sitten vielä saatiin kierrettyä, mutta sitä en ala kertomaan.
Kyllä kaikki on kiellettyä.
Aihe on jo aika vanha, joten et voi enää vastata siihen.