我的孩子正在读六年级,学校要求他带一台笔记本电脑,并将其带到学校。现在学校的IT部门希望在笔记本电脑上安装一些软件,并要求进行管理访问。他们想安装Office,Outlook,AV和一些站点证书。

我认为原则上这是不对的,因为它不是学校的设备,所以学校工作人员不应该使用该设备。此外,我对学校的安全实践没有多好的认识。如果他们无意中安装了恶意软件该怎么办?但是,如果我拒绝了,那我就冒着成为“那个父母”的风险,并且在学校想要添加新软件的任何时候,我都会让自己头疼几年,我必须自己动手做。

你会怎么做?


更新
哇,这肯定炸了!感谢大家的阅读和评论。

出于以下几个原因,我们最终让学校可以使用该设备:


时钟在滴答作响,我们的孩子唯一没有安装笔记本电脑的笔记本电脑
,因此他无法完全参加课程,并且
丢失了发送给学生的电子邮件。
不在家里,因此我自己远程安装该软件会增加另一层复杂性,并要求在家中的某人为远程管理员准备笔记本电脑,同时增加了准备就绪设备的延迟。

直到最适合孩子的时候,在我们父母眼下,这似乎让学校有自己的出路。我可以稍后自己检查设备,如果有任何影响设备安全性或儿童隐私的事情,那么我对学校的做法有更好的主张。同时,我要让他们知道,他们本可以就他们的计划进行更多的交流,并给我们时间进行讨论,而不是在最后一刻将其散布在我们身上(尽管从他们的观点来看,这是可行的很好)。

评论

评论不作进一步讨论;有关此问题和答案的所有扩展评论线程已移至聊天。

评论已删除,他们中的任何人是否提出或回答了重要问题,例如1.什么国家/地区2.私立或公立学校?

什么学校和哪个国家?我很难相信,例如,美国的一所公立学校将被要求要求每个学生提供如此昂贵的装备。您所在地区的学校通常还需要其他哪些昂贵的物品?

OT,但是我担心的是,它们似乎需要特定的操作系统..

澄清点:您的孩子长大或决定要买一台新计算机之前,这台计算机会继续由您的孩子拥有吗?我从高中开始就拥有电脑。如果在我的计算机上放了东西,没有什么能阻止他们在大学期间甚至现在是在职人员中对我进行监视。我很好奇您的孩子的笔记本电脑是否可能发生相同的事情。

#1 楼

需要安装东西是需要笔记本电脑的重点,因此,他们想要安装Office,AV和证书完全有意义。那里没有惊喜。为此,他们需要管理员访问权限,但是一旦完成,我想撤消该访问权限。

我想知道他们想要安装的所有内容的列表,以及他们是否拥有中央控制权在AV上(如果这样做,为什么要这么做)。

如果您担心它们可能会安装恶意软件,请下载反恶意软件程序的Live CD,并在完成后在笔记本电脑上运行它。

笔记本电脑仅用于学校工作,因此这里真的没有危害。如果您的孩子将其用于其他用途,则可能存在一些隐私冲突。


评论的猛烈抨击和投票的分裂突显了这里对运营模式的理解上的差异。这不是学校想要突然控制个人设备的情况。在这种情况下,学校要求家长购买设备以供学校控制,并且此答案应在此模型中应用。学校需要能够控制设备,作为应有的照顾(并记住,在这种情况下,孩子是未成年人; 12岁或13岁)。在保护孩子的隐私方面,我的建议是确保该设备仅用于学校作业。

家长可以保留管理员控制权这一事实对于保护孩子是一件大事,如果学校拥有该设备,这是不可能的。父级可以清点,修补和卸载。

这种运行模式意味着学校可以确保软件的一致性,这是实现教学一致性所必需的,它可以降低学校的成本(是的,它增加了家长的直接成本,但确实提供了具有成本效益的选择),并且可以提供照顾孩子的控制措施。您只需要改变心态,仅因为购买了设备并不意味着您应该100%拥有该设备的控制权。

再说一遍,随着评论的猛烈冲击,我说:考虑“燃烧器”装置的想法。您拥有它,但是它至少部分地不受您的控制,并且可以为某些活动正确分类。

如果操作模型是学校想要突然控制个人设备,我的回答将大不相同(更像是AviD的那样)。

评论


评论不作进一步讨论;此对话已移至聊天。此处的任何其他评论将被删除。

–Rory Alsop♦
18年8月30日在18:53



#2 楼

可能只是因为我已经是“那个父母”,但这对我来说是一个强烈的反对-而且学校管理部门会对此进行强烈的讨论。我将努力为所有人而不只是我自己的孩子改变这一政策(尽管没有太大希望)。

存在隐私问题。安全问题。潜在的法律问题-该软件是否获得许可?破解了吗他们是从笔记本电脑记录所有流量还是更多?他们是否要安装自定义软件?
,为什么他们甚至要求所有这些?他们可以有什么理由。


他们想确保孩子们在网上安全。
好,需要某种形式的父母控制。是您的笔记本电脑,是您的孩子-这是您的责任。 (例如,我儿子所在的学校要求对带入学校的智能手机进行内容过滤。他们“要求”本地同伴使用一些狡猾的应用程序。我拒绝并安装了适当的应用程序。)
他们希望确保儿童笔记本电脑的安全。
很棒的第一堂课“如何保持在线安全”。要求Windows Defender(或其他一些AV / AM)处于活动状态并已更新,等等。尽管这实际上对他们的网络来说并不重要...
他们想确保孩子们不会访问非法/不合适的网站。
/>首先,它只涉及他们在学校内部/在校期间。在家中无所事事...而且他们可以轻松地为学校网络设置锁定的代理。
他们想教育您的孩子。
他们呢?因为这听起来像相反。这是一个教育的机会,是几个主题的名副其实的金矿,而它们正朝着相反的方向发展。

您可能需要与老师,校长,学校董事会讨论……您可能需要对他们进行重新教育。您甚至可能会失败,但是与这做斗争是正确的做法-正如@Mike和一些评论者提到的,这是教您的孩子如何保护自己的隐私并防止因误导而产生的繁重要求的最佳机会。 :-)

评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
18年8月30日在18:52



在澳大利亚,微软向学校提供免费的软件许可,供学生和教职员工使用。巧合的是,教职员工本质上仅学习如何教授Microsoft软件的使用,而学生仅学习如何使用Microsoft软件。这种做法可以更好地解释为什么学校可以使用MS产品安装在学生笔记本电脑上。

–拖拉机
'18 Sep 1'在1:32

@RyanTheLeach可能是州教育部门因在学校中使用该软件而受到指控-我没有任何详细信息。我的简短观察是,在学校环境中,它显然是免费的-如果教师愿意,教师可以在个人笔记本电脑和家用PC上安装学校可用的MS软件。

–拖拉机
18年9月3日,2:20

另外:您是否希望孩子对黑客行为感兴趣?然后尝试限制/锁定他们的互联网访问或计算机使用率。但是,嘿,这实际上是有教育意义的!

–黑色
'18 Sep 3'在7:00

@NathanMerrill这是不同的,因为图书馆计算机(或计算机实验室)是由学校拥有和管理的。仅在学校。在上课时间。期待学校的参与。我购买并付款的笔记本电脑没有这种期望或限制。孩子将在课余时间在家中,在卧室里使用笔记本电脑,而不仅仅是在学校上班-整个在线数字生活。

–AVID♦
18-09-4在7:51



#3 楼

我不会。
您没有真正的方法来确切说明它们的更改。有些学校过于管闲或控制不善。
即使该地区尊重您的隐私,他们也可能会受到流氓管理员的影响。
其他学校被咬了。
诉讼是因为之前公然的不当行为。它们具有替代方案,因此不需要管理访问权限。
应如何进行?
无需安装基于云的软件。只要您拥有现代的OS和Web浏览器,便可以开始使用。虽然我在许多情况下都不喜欢云应用程序,但它非常适合自带设备(BYOD)情况。显然,如果他们要求管理员权限,他们不会选择此选项。您可能会向他们建议。
使用批量许可的软件,他们应该能够在其网络上提供产品密钥或设置许可服务器。 (需要许可证服务器的东西在大学级应用程序中更为常见,但我在面向技术的大学预科学校中也听说过。)
我该怎么办?
我将安装我自己的应用程序。它并不需要很多时间,而且通常在一年中不会发生变化。
证书可以很容易地安装在Windows上,但是我不得不先看到它们,然后才能说是否是个好主意。

评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
18年8月31日在12:16



我不知道您要检查证书的内容。我认为我们可以认为99.9%是理所当然的,因为这是CA证书,允许其代理MIMIT所有https通信。 (如果它只是“仅”接受安全配置中的Word宏所需的代码签名证书,这会让我感到惊讶。)

–哈根·冯·埃森(Hagen von Eitzen)
18年9月5日在19:19

我完全反对将CA直接扔到Trusted Root存储中。他们可以在不使用HTTPS解密的情况下在代理/防火墙处过滤Web内容,并且他们也没有业务看到私有数据。

– DoubleD
18-09-5在20:16



以防万一人们忽略了该链接并且不了解它的含义-这是我打算在此处评论的唯一原因,因此令人失望的是它在任何答案中都没有被提及-一个学区已经被抓住通过网络摄像头监视孩子们的卧室。

–伊兹卡塔
18-09-6在15:22



@Izkata该链接非常重要,如果尚未提出答案,我将自己发布一个答案。在其他情况下,所讨论的学区位于一个非常富裕的地区,在全国范围内,所涉及的两所学校都被列为该国最好的公立学校之一(至少在我上学时是这样)。唯恐有人认为“好吧,我的学校太好了,不能做这么愚蠢的事情”。

– Beofett
18 Sep 6'在17:54



#4 楼

其他人已经说明了为什么这是一个坏主意,我完全同意,不要让他们安装这些东西(证书??,没办法),现在,如果您提供一些选择,您不必是那个父母: br />

多重启动:这样,您的孩子可以拥有学校操作系统和家庭操作系统,他只需要让他们在学校操作系统上安装所有东西,切记不要私下进行任何操作。使用时(并在上课时始终引导它)。在每个操作系统上添加加密以获得更好的效果。
VirtualBox:与以前的情况几乎相同,但是学校可能会对网络访问有所担心
GoogleDocs:如果仅此而已,这是一个好习惯选项,除非使用了某些可能无法正常工作的高级文档功能(或者如果老师在许多平台上教相同的功能还需要更多工作)

祝您好运,请告诉我们您的处理方式。

评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
18年8月31日在12:17



#5 楼

在这种情况下,理想的情况很简单。

仅购买一台用于学校作业的“刻录机”笔记本电脑。

使用适合当前工作的标准技术和低规格(联系他们的IT部门找出他们认为合适的东西),然后让学校随心所欲。
燃烧器的成本最多为几百美元,并且可以节省很多麻烦。

如果您的孩子已经有了个人笔记本电脑,则这不是工作设备,反正只会在学校分散人们的注意力。首先将个人和工作生活区分开来,从而实现信息安全。 >
在适当尊重学校IT部门的情况下,学校在信息安全方面没有良好声誉。一个并且无法做到,它们通常负担过重,并且始终在学校IT系统中发现漏洞。
不要介意学校IT部门很少是信息安全专家,他们的主要工作是维护庞大的

如果他们的Info-sec游戏足够强大,让我可以免费使用我的数据来信任他们,那么他们可能会不在学校上班。

评论


我倾向于同意。思考这里发生的事情的正确方法是学校要求您为孩子所管理的孩子买一台只能工作的笔记本电脑。您有一个反对为之付费的好理由,但没有一个反对他们进行管理的好理由。成人也不希望他们的工作笔记本电脑也可用作全职个人设备。 (当然,如果您可以让他们同意不安装任何东西,那就更好了。)

–usul
18年8月29日在19:28

或双启动。比另一台笔记本电脑便宜

– sudo rm -rf斜杠
18年8月29日在21:15

是的,虽然可能,但我会建议使用隔离的工作硬件。我还记得当我想做父母不允许的事情时,给我一台双启动笔记本电脑,其中一个放在我的游戏上,另一个放在我的作品上的时候,我有多沮丧?我会抓住一切机会在我的个人系统上启动,这太诱人了。

– Ruadhan2300
18年8月30日在8:27

好主意,它还将教会孩子许多成年人缺乏的“我的电脑”和“雇主的电脑”之间的区别。

–Agent_L
18年8月30日在9:18

@Agent_L正如usul所指出的,“我的计算机”和“工作计算机”之间的巨大区别在于$ EMPLOYER为后者支付了费用。这是学校可以要求您付款的想法,然后他们像对待自己的财产一样,在我的脑海中挣扎。如果学校购买了笔记本电脑并将其分发给学生,我会说:“学校财产,所以他们写了规则。在网络摄像头上放一块电工胶带,以免他们窥视您,并与他们一起生活。其余的。”

– Monty Harder
18年9月6日在18:50

#6 楼


现在,学校的IT部门希望在笔记本电脑上安装一些软件,并要求进行管理访问。很多父母都没有计算机知识,要求每位父母每次都需要检查和安装软件并保持最新状态非常费力。


我觉得原则上不正确,因为它不是学校的设备,所以学校工作人员不应该具有访问权限。


我完全同意您的看法。这是您的设备,是您的孩子,应该由您来决定可接受和不可接受的界限。如果其他学生知道您的孩子的设备未安装与其他孩子相同的安全软件,并且他们使用孩子的设备访问或做非法事情,或者您的孩子的设备是学校计算机上病毒感染的切入点网络或其他安全违规行为,则您可能对此承担部分责任,并且学校可能无法承担对您的全部责任,因为他们有责任谨慎。


我当学校想要添加新软件时,我会让自己头疼几年,我必须自己动手做。


你不能吃蛋糕也不能吃。没有权利,没有责任。如果您不希望学校对设备具有完全的管理访问权限,则必须准备好自己承担责任。


您将怎么办?


您应该与学校讨论这个问题。如果学校有BYOD政策,那么您可能不会是第一个也不会是遇到此类问题的最后一个人。学校可能有一项允许您自行管理的政策,您必须协商您将接受或不接受的内容。最后,如果学校的BYOD政策不允许您自行管理,则必须准备切换到另一所学校,或允许对该设备进行部分或完全管理访问。

在您决定允许学校管理员访问该设备的地方,您可能需要采取一些措施来保护您的孩子和您自己免受该设备的侵害。通过将设备放在单独的虚拟网络中,您可能希望将其视为访客设备或不受信任的设备。一旦孩子不再上学,您就不要忘记擦拭设备。您可能想与您的孩子讨论学校笔记本电脑不应该做什么,或者可能要使用其他设备满足他们的所有个人需求(例如娱乐,个人电子邮件)。

如果您决定不这样做为了使学校拥有充分的行政管理权限,请为可能的后果做好准备。学校可能有一项政策,不允许不符合政策的设备访问其内部网络,并且某些学校资源可能只能从所述内部网络获得。您可能需要为孩子找到另一种访问上述资源的方法而感到满意。

您想走多远取决于您自己。保持灵活性,并准备妥协。但也要清楚地知道您不会越过的线。

评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
18年8月31日在12:22



#7 楼

从系统管理员的角度来看:


他们想安装Office,Outlook,AV和一些站点证书。


如果已经安装了AV(应该这样做),则另一个AV将与您的AV发生冲突,对孩子的计算机构成更大的威胁。在Google上搜索“已安装了多个防病毒软件”,您会发现它为什么不好。通用证书可用于解密去往/来自该计算机的所有流量。联想安全事件。他们应该有一个基本的过滤器来阻止不良网站,如果没有,它们可以:Smoothwall可以帮助他们。

告诉他们给您Office的关键(如果他们掌握的话,那里是其他替代产品,例如OpenOffice和LibreOffice),而忽略了他们安装证书的请求。您对他们的IT部门一无所知;他们听起来/通常不称职。它们也可能会变态,(它们可能会安装其他东西,使他们可以使用相机)。

告诉孩子不要给他们笔记本电脑。有多种方法可以提取密码,如果一推再推,您可以简单地进行以下操作:备份密码文件,擦除密码,安装任何内容,然后还原密码文件(称为SAM文件)。

评论


父母应该将GNU + Linux便携式计算机交给孩子,并使用加密的LVM。如果阴暗的IT部门仍然选择携带笔记本电脑,那将是说“拧您”的好方法。应该建议学校在MS Office上使用LibreOffice ...为什么要“教育”孩子使用特定公司的产品进行锁定?

– code_dredd
18年8月29日在20:25

@code_dredd,因为这就是Microsoft确保下一代客户的方式。

–烧烤
18年8月30日在3:36

我知道@barbecue,因此“受过教育”用引号引起来。真正愚蠢的部分是,学校本可以节省其他资源时却为许可证付费。

– code_dredd
18年8月30日在3:43

@code_dredd Microsoft向学校赠送了许可证,或者至少提供了巨大的折扣。因此,不幸的是,他们并没有真正“为许可证付费(可以用不同的方式花钱)”。我不明白这与贿赂有何不同。如果有人通过电子邮件向学校发送电子邮件,并说“您能培训您的孩子使用我们的软件,作为交换,我会给您价值数万美元的许可证”,父母应该如何希望学校做出回应?显然,该软件是如此昂贵,以至于人们需要获得许可证才能开始使用...应该是非法的

–吕克
18年8月30日在17:26



@Luc你可能是对的。我想避免陷入MS,您实际上需要父母自己进行“营销”,即,我认为学校管理员不一定意识到以下事实:有很多好的选择可以更好地遵循标准并尊重用户的自由。

– code_dredd
18年8月30日在18:01

#8 楼

让我们来分解一下:

您作为父母的担忧


隐私权:您不希望学校工作人员能够查看您的孩子正在访问哪些网站,
安全性:您真的不相信学校具备安装软件的能力;您担心学校的草率安全性会导致病毒进入笔记本电脑。

学校担心的问题


问责制:学校要监视我想学生们正在大楼里上网(我假设那是已安装证书的目的)。如果学生正在使用其IP地址或通过学校向其支付许可费的软件(办公室,Outlook等)从事非法活动,这可能会对学校造成法律影响。如果您的孩子被发现从事非常非法的活动,这也会对他们产生影响。
安全性:学校不信任青少年拥有的笔记本电脑没有病毒(可能是个好电话)。他们希望在将设备放到网络上之前强制执行最低安全标准。


对您有所帮助并引发问题。总体上看,他们似乎正在采取合理的安全措施。尽管存在您孩子的互联网浏览历史记录,下载的文件等对于学校是可见的风险,但是这可能会给他们带来麻烦。

这里可能有一线希望,就是与您的孩子谈论互联网隐私并了解他们在该计算机上所做的事情(这是一个非常现实的问题,任何拥有工作计算机的成年人都必须这样做。学习导航!)

评论


我认为,可以通过教孩子们使用云存储以及学校提供笔记本电脑供学校使用来解决学校的大部分担忧。他们应该只提供要求列表,例如“连接到Exchange服务器”,“创建和编辑Word / Excel / Powerpoint兼容文档”,然后保留这些要求。然后,我们可以选择要安装的软件。目前,学校正在两全其美,我们正在失去隐私和控制权,这可能不值得学校免费提供的假定许可软件。

– Sushil
18年8月28日在22:00



@Sushil我同意它的BYOD性质是粗略的部分。对于无法轻易购买笔记本电脑的家庭,或尚未准备好让孩子在家中拥有自己的计算机的父母,这也带来了可访问性问题。我同意学校可以设计出更好的方法,但是我也可以理解一些学校董事会成员可能会说:“我们没有预算购买一堆笔记本电脑,因此将其列入材料清单”,然后可怜的IT专家被困在想如何安全地进行BYOD。

– Mike Ounsworth
18年8月28日在22:22

我不知道,我在判断学校应该做的事情时感到不自在,不知道他们正在使用哪种限制,包括技术(网络的建立方式,预算多少),政治性(来自上级政府的技术教室的授权)和法律性(保护儿童免受在线威胁,并保护其网络防止不称职的孩子的法律责任)。我认为您通过提出问题来做正确的事情-您应该去学校的某人与他人交谈并获得答案。

– Mike Ounsworth
18年8月28日在22:26



我认为他们在学校时的主要担心是,笔记本电脑可用于员工设定的教育任务,如果他们看上去像是1990年代的IT心态,那么很可能包括安装Microsoft Office。另一个问题可能是技术支持:他们不希望孩子问老师如何使用老师从未遇到过的软件。

–麦凯(Michael Kay)
18年8月29日在8:36

因此,您已将其分解为各方的潜在担忧,但是现在您有何建议?我同意您到目前为止所写的内容,但您并未真正回答这个问题。

–吕克
18年8月30日在17:30

#9 楼

我认为没有其他人讨论过证书问题:

根据我的经验,很多学校都使用MITM防火墙来拦截HTTP流量以获取其过滤策略,例如查看过滤器的内容。页。这是HTTPS的问题,因为他们必须用自己的证书替换证书-这可能是他们想要安装的证书。

例如,请参阅此供应商:
http://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception#downloads

我假设这就是证书的用途。只要您自己安装,就没有必要授予IT部门管理员访问权限,这很容易。

安装将允许您浏览HTTPS,但显然请记住,它们将能够拦截并拦截HTTPS。

为避免被拦截,您可以在其开放端口80/443/53等其中之一上运行加密的VPN,并通过隧道读取通信通过它的所有HTTP流量。只是不要告诉他们,因为这可能违反了他们的政策。

评论


“只要您自己安装即可,没有任何理由让IT管理员访问,这很容易。”这表明与父母的技术素养的实际情况完全脱节。我将赌注压在“技术泡沫”中,并且忘记了世界上大多数地方的无知。

–通配符
18年8月30日在2:26

抱歉,我认为您的理解是错误的,您是完全正确的,这就是为什么IT要求管理员简化不知道如何操作的人员的原因。但是很明显,OP不想让他们担任管理员,我是说如果他们愿意花5分钟来学习如何自己做,那么实际上并没有要求。

–jacob_pro
18年8月30日在10:18

#10 楼

我将提供一种我有经验的情况,然后进行比较。我是一名软件工程师,并且以BYOD(自带设备)的心态在多家商店工作。这些设备中的每一个都有其自己的安全实践和设备要求的软件要求,并且据了解,IT部门会定期希望验证您的设备是否符合要求。但是,这可以远程(通过连接时的网络)完成,也可以在开发人员在场的情况下完成。如果IT要求进行管理访问,那将是一个主要的危险信号,因为它不是他们的系统。

作为系统的所有者,用户和维护者,它的维护和保养归于一个人:您。如果由于其使用习惯而导致设备受到威胁,被感染等,则您是责任方。您将是花费时间和金钱来清洁或更换该系统的人,而不是学校。您已经来到这里并询问这对您的计算机是否是合理的要求,您已经意识到了这一点。如果他们要维护和保养机器,那将是没有问题的,他们将在进行设置或维护时就已经安装了该软件。 )列出所需的软件,以便您自己安装。如果希望您购买和维护自己的设备,则应该确保该设备符合其标准(包括硬件和软件)。您的孩子将是该设备的主要用户,并且教他们如何照料和保护设备(即使在您的指导下)也非常有助于他们自己在线学习和使用更好的安全做法。

评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
18年8月30日在18:51



#11 楼


我应该让孩子的学校访问孩子的个人笔记本电脑吗?


编号。并且学校要求他带一台笔记本电脑并将其带到学校。


号。折扣和免税。每个父母都知道便宜还是更好:买什么,去哪里,如何设置......

学校可以提供Lenovo 100e(Windows 10-S-Mode )或价格低于$ 200的Chromebook(Chrome操作系统)。也许可退还的押金是适当的,但成本会比让每个父母花费时间和金钱来独立购买任何东西要少。平等的计算机。您不希望某些学生走在前面,而另一些学生则在后面。

如果父母提供了计算机,但计算机却损坏了孩子的工作,可以回家并拿起另一个计算机?

如果学校提供计算机,并且有任何问题(包括损坏或遗忘在家里),则可以提供新计算机,并且孩子可以在一分钟内恢复工作(所有文件与在另一台计算机上)。


现在学校的IT部门希望在笔记本电脑上安装一些软件,并要求进行管理访问。


这是可以理解的。孩子需要获得与每个人相同的软件,并且学校拥有批量许可证。他们还必须确保Internet和邮件访问的安全-学校负责您孩子的教育和安全。

这就是为什么学校应该提供设备并避免孩子的私人生活,除非有合理的安全考虑-实施不公平且考虑周全的计划,对隐私的不公平侵犯是没有道理的。在孩子的个人计算机(和电话)上有私人信息以及父母允许的其他任何信息,这是父母的责任。学校需要留在防火墙的一侧。


我觉得原则上这是不对的,因为它不是学校的设备,所以学校工作人员不应该访问。


是的,这是毫无根据的搜索。如果他们无意中安装了恶意软件该怎么办?


正确。您也不知道某一特定软件是否与您提供的任何随机硬件都有错误。这是不必要的繁琐工作,而价值却降低了。

当学校提供计算机时,他们可以将它们排成一行并分发出去。当每台计算机由父母提供时,它们可能有一个现成的安装盘,但是您不知道这会对现有软件或父母安装的保护措施产生什么影响。他们家的钥匙,为什么是他们的计算机的钥匙,他们的隐私。多年的头痛之情,就像学校想添加新软件的任何时候一样,我必须自己动手做。 />
如果学校提供了计算机,他们只需将旧的计算机交给学校,然后将新的计算机与更新的软件一同使用,或者可以通过学校的WiFi自动安装它。每当有更新时,交出孩子的个人计算机就意味着每个月要有几个小时没有更新。几乎没有更好的解决方案。


你会怎么做?


说出来。少付。获得有意义的更好解决方案。保护您的隐私。

,您教您的孩子对施加错误行为的成年人说不-您也可以说不。

#12 楼

刻录机笔记本电脑和虚拟机都是可取的选择。
不是多重引导,因为任何时候敌对的操作系统运行时,它都可以使用管理员权限以外的权限来修改干净的操作系统。感觉虚拟机可能比简单的成本在更多方面更具优势:


孩子可能会因为能够在学校使用更好的笔记本电脑而受益。我说的是实用的好处,例如质量更好的键盘和触控板,更大和更高的分辨率/更好的完成屏幕以及心理上的好处(没有理由强迫他们在同行面前使用廉价笔记本电脑,这可能会给老师煽动嘲笑“偏执狂”家庭的孩子)
基本操作系统将很干净,因此,如果笔记本电脑意外/有必要在家庭/办公室中启动,则网络不会暴露于学校的肮脏的安装。默认情况下,可以在没有网络的情况下启动它。
孩子可以将干净的个人笔记本电脑放在自己的人身上,可以离线/通过移动连接/在任何地方使用,这意味着他们被强迫的可能性大大降低。进入不幸的情况时,他们会做一些不幸的事情,例如从学校的操作系统访问其个人电子邮件帐户。
检查起来很容易,因为您可以从外部监视其网络使用情况,或者为驱动器拍摄快照并进行比较。

但是,我不相信IT部门不会破坏基础映像。但是我认为,从人体工程学的角度来看,阻止他们在自己的时间不受监督地引导机器是不可能的。因此,这就是我要使用的协议:


安装linux或其他基本OS。不要给孩子任何管理访问权限或BIOS / UEFI访问权限,以使他们不能从外部设备启动。
安装虚拟化软件,并在其中安装所需的Windows版本。
创建按照要求在Windows vm上使用管理员帐户。
确保所有更新均已安装在虚拟机上。
备份整个linux os驱动器和虚拟机。
将笔记本电脑带回学校。
找回笔记本时,请勿启动
用备份覆盖主机驱动器。
从敌对映像中提取VM驱动器卷(仅驱动器卷,而不是vm设置)。 />用敌对映像的虚拟机卷替换现在受信任的笔记本电脑上的虚拟机卷。请注意,请确保卷文件不允许它们访问任何主机驱动器分区,某些格式可以包括符号链接或对主机磁盘/分区的完全访问权限。

现在,从技术观点。
为了获得额外的荣誉,您可以将基础磁盘映像和VM卷映像与旧映像进行比较,以了解学校的发展情况。

第二部分是向您的孩子解释此设置。您不可能过度这样做。虽然对您的设置有信心对他们有好处,但他们必须了解学校虚拟机的危险性。说明威胁由学校工作人员和第三方共同组成,他们既亲自见到他们并对其未来有重大影响,又可能损害VM或来自VM的任何网络活动的MITM。说明这些政党都没有很好的意思,甚至没有中立的态度,因为这种“权力”使人民腐败,而且总是很快被滥用。举例说明,例如将他们的所有私人聊天分发给每个老师,父母和学生,或者由陌生的男女访问他们的网络摄像头和麦克风,包括侦察您的房屋进行抢劫,入侵或绑架。

别忘了包括这些后果,这不仅可能是由于在VM内进行个人计算而造成的,而且还可能是由于不熟练使用VM造成的,例如通过USB运行可执行文件公开给VM的驱动器。

最后,您需要考虑孩子的需求和愿望。如果他们想使用Adobe,Ableton的创意软件之类的软件或玩游戏,则可能需要使用自己的Windows VM或启动选项,否则他们会很想使用学校VM。 ,这假定他们只希望访问该计算机一次。如果他们想要重复的物理访问,则会使事情复杂化。

评论


如果您对os进行加密,则多引导就可以了,无论如何都应该这样做。虚拟化会给您带来很多麻烦:如果应该使用非标准外围设备(在我的中学中,我们有CNC机器,Lego Mindstorm和一些玩具工厂的设备,例如微型传送带)会发生什么情况,USB会通过吗?实际工作可靠吗?如果他们应该将某些3D图形程序用于艺术项目或将CAD用于某些建筑或技术项目该怎么办?您可能事先不知道,两年后可能会发生。

–没人
18年8月30日在20:10

@Nobody USB直通几乎可以在最怪异的硬件上通用,即使您在插入实际的东西之前将整个内部USB控制器或外部USB集线器传递到计算机,而不是在连接事件时对其进行过滤。

– Mihail Malostanidis
18年8月30日在20:56



@没人加密,您要加密引导加载程序吗?是的,在您遭到攻击之前,直到您自愿输入密钥后,您的文件才会被读取,但是经过修改的引导程序将等待异地传输密钥(或仅将有效负载注入解密的系统中)

– Mihail Malostanidis
18年8月30日在20:58

这不是这里的威胁情况。我严重怀疑是否存在恶意软件试图攻击随机(!)人们的加密非运行操作系统。为了获得微不足道的收益,这将需要大量的工作。唯一相关威胁的方法是,如果与学校有联系的熟练攻击者成为攻击目标。

–没人
18年8月30日在21:09

我是说这种情况是完全自动化的。一方面,肯定有较低的挂果。另一方面,您无法真正判断在一个污水池中会遇到什么样的东西。

– Mihail Malostanidis
18年8月30日在22:04

#13 楼

大不了!

虽然几乎所有内容都已涵盖,但仍然存在儿童安全问题。每年都有很多关于学校通过网络摄像头监视孩子的诉讼。虽然您可能会认为他们无法按照他们的安装计划做到这一点,但AV很有可能会允许他们这样做。

以这种情况为例:https: //www.cbsnews.com/news/610k-settlement-in-school-webcam-spy-case/

在这种情况下,学校认为孩子可能正在贩毒,并从本质上监视了他通过他的网络摄像头。如果计算机在您的孩子更换房间时计算机在您的房间里,而管理员正在看计算机呢?

此外,您不知道他们的系统有多安全。即使他们不打算这样做,您如何知道他们不会被黑客入侵或已经被黑客入侵?请勿让学校在您的孩子的计算机上安装任何东西。

防止这种情况的最佳方法是为他们提供一本供学校使用的Chromebook,并通过家长控制将其锁定,或者阻止其帐户安装程序,而不给他们提供可以使用的帐户的密码。

#14 楼

要添加到其他列表中,请执行以下操作:



他们想要安装Office,Outlook,AV和一些站点证书。


为什么?

安装Office意味着尽早教导对大型供应商的依赖项。老师们自己应该以某种方式教授它在libreoffice甚至其他Office程序中也可以工作。无论如何,在学校中完成的大多数事情都不会使用特殊办公套件的高级功能。具有媒体能力的老师应该专注于教学技术,而不是程序,可以应用于不同的类似程序。相对于认真地学习特定MS Office版本中按钮的外观,教导如何找出哪个按钮使文本变为粗体更有用。

为什么他们需要Outlook?有几种不错的电子邮件程序,有些甚至是免费的*。我想Outlook不是大多数学生的首选程序,以我的经验,大多数典型的用户根本不使用电子邮件程序,而是使用Web邮件。有关AV如何成为“蛇油”的讨论,AV程序中的漏洞利用以及通过运行特权较高的复杂程序使系统更加不安全的一般概念。仅使用系统附带的功能(即Windows的Windows Defender)。
即使您想要更好的AV,也应该决定是哪个,而不是学校的IT人员。尤其是由于某些解决方案基于订阅,并尝试在免​​费试用期后出售其订阅,如果您不购买,则将其自行关闭。

“某些站点证书”听起来像“中间工具中的人”。当个人笔记本电脑在其他地方使用时,在他们的网络上可能会存在真正的安全风险,因为您不知道谁可能拥有密钥。例如,某些MITM安全设备使用中间CA,这些中间CA不仅限于单个设备,还包括公司出售的所有设备。这意味着使用学校准备的笔记本电脑,流量也可能会在其他网络中被监听。

无论如何,授予管理员访问权限是一个坏主意(您知道他们可能还会安装什么吗?媒体是否受到感染?),并教孩子们仅仅因为他们坚持而授予他们访问权限。
下次密码检查员打电话给他们时,他们也会授予管理员访问权限,因为您这样做了,所以不要您?

因此,他们应该分发学校的笔记本电脑或使用孩子们所拥有的笔记本电脑,但不要求管理和安装东西。

在自由中

评论


这听起来像是个人观点,而不是问题的答案。

– Berend
18年8月29日在13:16

这些是OP中问题的一些论点。这不是确定的,因为对于“我应该……”问题没有确定的答案。如果您想挑剔,可以将问题标记为“基于观点”,但是我认为答案最好是作为一般性论据,而不是仅仅提出建议。

– allo
18年8月29日在13:22

我认为您可以通过改写一些论点并省略其他论点来改善您的答案。例如,Office / LibreOffice的论点可能不会被接受,但是问题不在于应该教其中一个。绝对没有人对Outlook从来没有一个好的电子邮件程序感到满意。反正AV还是有争议的(来源?)。您是否信任老师:谁说老师是保护私钥的人,问题是关于IT部门的。

– Berend
18年8月29日在13:34

面临更多“基于意见”的反应的风险...我对学校IT部门的经验在很大程度上没有印象。维护和监控,而不是信息安全。我无法以任何持久的方式将我的个人设备的管理员访问权限授予学校的IT部门。一定要提供该软件,然后我将为我的孩子安装它。地狱,我什至会坐下来看着IT在我登录时这样做。但是除了我以外,没有人获得我财产的管理权。那是在那里保密的第一条规则。 “只有在没有其他人知道的情况下,秘密才是秘密。”

– Ruadhan2300
18年8月29日在14:42



@Berend如果m $ office是免费的开源软件,那将是可以接受的。但事实并非如此。下次您将不得不使用专用的大众汽车时,会从幼年开始就将其灌输给您,好吗?

–peterh-恢复莫妮卡
18年8月30日在15:02

#15 楼

为了最大程度地减少麻烦,建议您咨询最低规格,并为孩子购买仅用于学校的“办公”笔记本电脑。然后,您只要让他们做他们想做的事即可。然后学校有任何问题的过错,您将无法继续进行工作。

如果预算有限,那么下一个最佳解决方案仍然可以为您提供完全隔离和防篡改的房屋操作系统为此付出了一些额外的工作:


备份
查询/考虑学校OS的最小硬盘空间。
制作一个很大的分区/缩小其余部分。
在其上安装Windows。
对家庭操作系统进行加密(Veracrypt可以对Windows进行加密而无需重新安装,某些Windows版本可能具有该功能,并且许多Linux发行版在安装过程中都提供了加密功能)
再次备份。
让学校做任何他们想做的事情。也许在计算机上贴了一个便条,明确告诉他们不要理会分区方案,并且加密分区是私有数据(无需详细说明-操作系统也是数据)。也许将计算机设置为不显示启动管理器,而是立即启动学校操作系统。
如果他们搞砸了加密安装,请使用备份进行修复。如果禁用了启动菜单,请再次启用它。

我不确定是否需要Windows的第二个许可证。从长远来看,可能还有更多工作。

评论


VeraCrypt可以安装在所有Windows版本上。

–约书亚
18年8月29日在18:44

#16 楼

如果我是父母,我会坚决拒绝。这主要是因为笔记本电脑是由父母支付的。您应该对所购买的商品拥有控制权,我相信这已经在促使它要求每个父母为孩子购买一台笔记本电脑,并让他们将其带到学校(尤其是如果您认为技术不利于学习)。

我了解他们希望在计算机上安装某些应用程序,而Office等生产率较高的应用程序是合理的(尽管您可以自己安装)。有了Windows Defender和良好的网络防火墙,就不需要另一个AV。通过学校网络提交的所有用户名,密码和其他个人详细信息对学校都是可见的。如果发生安全漏洞,则此信息可能是其中的一部分。对学校使用的防火墙系统及其过去的安全记录进行研究。系统上安装了新软件。对软件及其信誉进行研究。定期检查Windows程序列表。

我是一名学生,我已经看到我的学校董事会处理其网络安全的方式。网络中充斥着安全问题:开发服务器在公共Internet上的可访问性,目录遍历攻击,某些Web服务上的特权升级等。这是有原因的:它们是从最低出价者那里购买的。鉴于此,请确保安装的所有软件均来自信誉良好的公司。 br />

评论


我认为Windows Defender和良好的网络防火墙不足以保护孩子。您如何配置该防火墙? Windows Defender不是我见过的最可靠的保护措施。

–本
18年8月30日在5:18

“某些课程有使用Microsoft Office的特定要求”:这样的课程会带来糟糕的教学经验,并且没有任何理由让父母为孩子的教育提供便利。

– Nemo
18年8月30日在16:11

“这主要是因为笔记本电脑是由父母支付的。”这有什么区别?如果他们正在使用监视软件或任何其他侵入性软件,那么我不在乎它是公司系统还是我的系统:它是侵入性的,我不希望这样。离开公司或学校可能是(部分)原因,这取决于他们的确切工作。不令人毛骨悚然并不难,而且这不取决于所有权。

–吕克
18年8月30日在17:52



@Ben这两项是针对软件攻击的大量软件保护措施。附加AV的安全影响可能是负面的,也可能是正面的,具体取决于您询问的人(我有理由认为负面)。更加重要的是人类保护措施,例如教育儿童常见的威胁以及如何避免威胁。如果您打算使用间谍软件和/或检查程序来抚养您的孩子,那么这是一个完全不同的话题(我赞成他妈的跟孩子聊天并一起进行计算机活动)。

–没人
18年8月30日在20:01

@Ben根据我在学校的经验,您并不想做太多会给您带来恶意软件的事情。只要您不打开随机电子邮件附件或下载粗略文件,就可以了。

–user3674603
18年8月30日在20:19

#17 楼

尽管此处的许多答案都概述了授予某人管理员访问权限可能带来的潜在危险,但也应注意,它也是学校IT部门将要完成的工作的合理工具。如果要这样做,我会向父母提出要求,因为解释如何正确配置他们自己的系统将是死胡同。其中80%的人甚至都不知道证书是什么。这样想:您正在问自己这些家伙是否会滥用他们对笔记本电脑的访问权限,但是您每天都可以整天将孩子陪在他们身边。您确定笔记本电脑是这里您需要担心的吗?我同意这是一个值得争取的崇高事业,但在您的情况下,要真正改变任何东西为时已晚。

#18 楼

学校“需要安装证书”吗?那肯定是一个危险信号。

关于安装Office,我要说的是为他在计算机上安装一个副本,而不是让学校这样做。尽管有些学校确实提供了这项服务(社区学院确实提供了对Microsoft Office 365的免费访问,尽管可以使用这些应用程序更好,但可以在线访问),但这再次是一个危险信号。自己安装或订阅Office 365(可享受学生折扣),或者开放源代码并使用Libre Office。

您的学校想要这样做的事实似乎对家长没有什么帮助。甚至更多地侵犯了学生的隐私权,我真的不会同意这一点,尤其是在听起来有些别有用心的情况下。孩子的计算机应该只是Wifi密码。除此之外,还可以得到一些书面说明,确切地解释他们想放在那里的东西。您的孩子通过让学生资源官员(通常由当地警察局雇用)参与进来,声称您在法律上有权拒绝。告诉他们获得逮捕令。

由于您已同意让学校访问您孩子的计算机,因此您赋予了学校或学区权利,让警察通过现在可以控制孩子的第三方访问该设备。设备。 (学校可以使用那些证书进入计算机。)

以后,切勿完全允许陌生人(即使是您孩子所在的学校)未经您的阅读而访问计算机。精美印刷。

了解您的权利,以便学校不会对您或您的孩子使用当地的执法手段,反之亦然。

评论


在任何公司环境中,安装证书都是SOP。他们可能为内部系统使用了自签名或PKI签名的证书,并且可能会安装一个证书以启用SSL拦截(它对优点有自己的论述,但也是SOP)。

–汤姆
18-09-5在11:26

#19 楼

如果有人想对我的个人计算机进行管理访问,我总是要求我承认他们想使用该特权做什么。详细程度取决于人员,对于学校的IT部门,我要求我承认以下内容:


哪些确切的软件,包括版本,重新安装;这些软件打算用于什么?之后是否可以将其清除干净
将要安装哪些证书;安装这些证书的目的是什么(它们的意图是什么);无论证书是由受信任的一方(VeriSign等)签署还是手工制作的,

IMO,从父母那里进行某种程度的监视对于孩子来说都是一件好事,但是从一方进行数字监视可能

根据我的经验,学校的IT部门通常会吸纳他们应该掌握的知识。我什至侵入了在线管理系统我的中学系统两次(并删除了他们的数据库)。因此,作为一般建议,最好拒绝学校IT部门对您拥有的任何设备进行管理访问的请求,或者拒绝其他答案中建议的“刻录机”。

如果不可能或几乎不可能拒绝该请求或获得“刻录机”,我将考虑以下选项的适用性:


要求为我提供该软件以自行执行评估和安装
创建完整的系统备份(还包括Windows的还原点)以供以后还原
安装其他软件以监视/限制/隔离那些“学校软件”
观看整个设置过程

此外,在继续进行操作之前必须考虑这些因素


通过不受信任的证书进行的“中间人”攻击
AV软件冲突
隐私泄漏(什么软件将内容上传到哪里?您不知道)

总结起来,重要的是分离一个人的“工作(或学习)环境”和“个人区域”,并设置不同的信任各级领导层。

#20 楼

方便您的交易控制。
您只能将笔记本电脑用于学校用途,而不能随意使用,因为您不知道笔记本电脑会带上什么。由于现在或将来都不会涉及个人事务,因此我认为对这种情况做出过度反应将是不好的。像刻录机电话一样对待它。可能会感觉不对,但是如果他们放弃已经装载的学校笔记本电脑,让您的孩子使用它会更好吗?不,你甚至都不会眨眼。

就像让其他人更换车内的机油一样。您可以这样做,也可以让某人做对,错或弄乱您的汽车。您真的不知道他们是否更换了机油,除非您检查或将什么机油放进去。

评论


这是一个可怕的类比。在笔记本电脑上安装证书甚至与更换汽车机油几乎没有相似之处。完全没有

–通配符
19年1月11日在21:39

#21 楼

我要补充一点,应该告诉孩子仅将这台计算机用于学校目的(不要从那里购买东西,玩游戏,下载东西,甚至不要将它真正用于其他帐户)。它们毕业后,或者如果变得多余或更换后,请重新安装原始操作系统(对于Windows,安装介质上有一个擦拭磁盘选项-使用它),以确保您不会在设备上留下跟踪器或间谍软件(尽管除非备份了文件,否则将导致全部数据丢失。进行此类备份时请务必小心,因为您只想传输自己知道的文件。可能正在发生MITM(侦听应该受到保护的据称加密的网络流量-如登录或购物)或怪异/不必要的“安全性”功能,显然很有可能安装无法检测或卸载的软件(注册表黑客可以做到这一点,也可以使用rootkit,尽管后者可能会引起其他杀毒软件的注意。他们可以为您做设备-不仅限于学校场地。这可能包括跟踪,文件的远程读取,键盘记录,甚至是远程BSOD功能,尤其是在它还使用VPN的情况下(还要注意,出于安全原因,即使来自备用启动材料的独立防病毒扫描也可能找不到该软件的商业版本)或因为软件可能不知道所有此类工具!)。有许多故事讲述了有人追踪了没有被全新安装“欺骗”的被盗计算机。 (并且,为此,某些软件可以改为从BIOS / UEFI运行,但是没有一种很好的方法来防止这种情况发生。与希望检测它们相比,最好是希望它们没有那种功能。 )

#22 楼

如其他答案中所述,为学校环境创建虚拟机可能是最佳答案。它在额外的硬件上不花任何钱,使学校环境与个人环境保持隔离,允许孩子全职使用您可以预算的最佳硬件,并允许学校根据自己的意愿使用VM进行操作。孩子仍然可以保持监督控制。主机操作系统不必是Linux;可以是您/您的孩子喜欢的任何东西;有一些VM解决方案(例如VMware)可以在任何其他流行的O / S(Apple,Windows,Linux)上托管Linux或Windows。 Windows拥有自己的VM解决方案,尽管可能需要许可/价格方面的考虑-您至少需要一个Pro版本才能成为Hyper-V主机。如果来宾操作系统是Windows,则可能会再次考虑许可问题。即使考虑了这些因素,也可能是您花费最少/最方便的解决方案可以满足每个人的担忧/要求。

#23 楼

最简单的解决方案(除了购买刻录机笔记本电脑之外)是按照以下步骤进行的:无论他们想多长时间
重新格式化机器,这次只安装学校作业实际需要的软件

这让您也可以吃蛋糕:学校的IT部门认为您的笔记本电脑运行其软件,而实际上它仅运行您自己认可的软件。

#24 楼

我是安全专家。有一个非常简单的答案:如果其他人对您的设备具有管理访问权限,那么它将不再是您的设备。

一个相对简单的解决方案是安装“供学校使用”的虚拟机并为学校提供服务该虚拟机内部的IT团队管理员访问权限。


一些较长的解释:如果您对学校足够信任,可以认为他们不是恶意的,那么可以检查他们的工作。恶意行为者具有数十种隐藏Rootkit或恶意软件的方式,而这些方式几乎无法找到完整的取证手段。他们不应有任何理由反对拥有单独的(VM)环境。

评论


不幸的是,大多数其他答案已经包含在其他24个答案中。

– schroeder♦
18/09/5在12:29

#25 楼

它实际上可以归结为硬盘驱动器。您可能可以备份笔记本电脑的状态,并将其还原到VM或外部驱动器中,然后让孩子在完成学校作业的同时启动/启动该计算机。我的驱动器。

评论


我将此答案设为-1,原因是:管理访问权限可用于对计算机进行进一步更改,例如修改固件。尽管这可能是高复杂度的攻击手段,但即使将驱动器更改为物理上新的驱动器,您的计算机仍然有可能受到威胁。

– vakus
18年8月31日在8:57

@vakus:很好。如果学校成功了,请致电CNN。那所学校已经办完了。

–约书亚
'18 Sep 6'在15:20