torsdag 28. mai 2009

Administrator på egen maskin

NRK Trøndelag var det i morgensendingene i dag en sak om at NTFK setter ned rettighetene på alle elevpcer fra "lokal administrator" til "bruker". Det er forståelig at elever reagerer på dette. Likevel tror jeg ikke at endringen vil oppleves som så dramatisk som det kanskje høres ut. Samtidig med at vi setter ned brukerrettighetene på pcene vi vi nemlig ta i bruk et nytt system for programvareutrulling. Forklart på en enkel måte gir dette systemet anledning til programvareinstallasjon uten at pcen fysisk leveres inn til IT-avdelingene. Dette betyr at innholdet på pcene til elevene ikke blir statisk, men kan oppdateres kontinuerlig. Resultatet blir høyere kvalitet på applikasjonene.

Selv om det nye systemet (SCCM) innbærer at elevene selv ikke kan legge inn alle programmer de vil, betyr ikke dette at vi setter ned foten mot "alt som er gøy". Programvaren som blir tilgjengelig kan deles inn i tre:
1. Generell programvare som alle skal ha på sin pc (f. eks. Office. Her ligger også mye av det elevene bruker privat, slik som MSN og iTunes)
2. Studiespesifikk programvare som er tilpasset elevens utdanningsprogram (f. eks. MultiCad for byggfag, Adobe for mediefag)
3. Valgfri felles programvare. I denne kategorien finner vi programvare som ikke er nødvendig til skolebruk, men som elevene selv kan velge å laste inn på pcen (f. eks. mindre brukte nettlesere, GeoGebra, Freemind, Datastudio). Lista over programvare som er valgfri skal bestemmes i samråd med og etter ønske fra elevene.

Hovedårsaken til beslutningen om å sette ned brukerrettighetene er det massive virusangrepet som NTFK ble utsatt for i februar i år. Brukere med administratorrettigheter utgjør en stor sikkerhetsrisiko i ethvert nettverk, fordi konsekvensen ved å bli hacket eller infisert er så mye større for en bruker med disse rettighetene. Dette blir dermed en sikkerhetsrisiko for alle brukerne i hele fylkeskommunen, i og med at alle pcene er koblet sammen i nettverk. Vi har dessuten et ansvar for å redusere muligheten for at virusangrep skal spre seg også utenfor fylkeskommunen.

I tillegg til virusfaren er det også en del andre grunner til at brukerne ikke bør ha anledning til å legge inn alt de ønsker seg på pcer som i hovedsak skal brukes til undervisningsformål. Blant annet må pcene til elevene være i en slik stand at de kan brukes i undervisning og på eksamen. Dette er langt fra alltid tilfellet nå. På tross av at IT-reglemenetet som elevene har skrevet under på tydelig sier at alt innhold på pcen skal være i henhold til gjeldende lisensbestemmelser, er det mange elever som legger til innhold som er til skade for både sikkerhet og funksjonalitet på maskinene.

Jeg er helt enig i at det er hensiktsmessig at eleven får bruke pcene til annet enn skolearbeid. Det må likevel understrekes at maskinene ikke er elevenes private. De er finansiert av fylkeskommunen, som eier maskinene så lenge eleven er i opplæring. Når eleven har fullført opplæringsløpet får de overlevert maskinene vedelagsfritt. Det eleven betaler for dette, er en egeandel på kr 800 per år. Egenandelen tilsvarer et utstyrsstipend som alle elever får fra Lånekassen. NTFK bruker et tosifret antall millioner hvert år på å sikre god pc-tilgang for elever i videregående opplæring i Nord-Trøndelag. Forutsetningen er selvsagt at pcene er i en slik stand at de kan brukes opplæringsformål - og til eksamen.



Når brukerrettighetene nå settes ned vil elevene fortsatt kunne:

- lagre, endre og slette egne filer

- kjøre systeminnstallerte filer

- endre personlige innstillinger

- får tilgang til nettet

- skrive til lokale og nettverksskrivere



Det de IKKE kan gjøre er å:

- endre systeminnstillinger, operativsystemfiler og programfiler

- legge til skrivere

- konfigurere systemet for fildeling


10 kommentarer:

  1. Synes dette virker som en utrolig bra løsning -satt faktisk o tenkte på dette da jeg kom hjem fra jobb på skolen i dag! Så lenge løsningen er så smidig at elevne får installert program som de trenger, både i jobb og fritid er det en bra ting!

    SvarSlett
  2. Det finnes så klart begerensninger. Elevene kommer f. eks. ikke til å få installere WoWå kan man diskutere om det er en god ting eller ikke....

    SvarSlett
  3. Wow! Fint å få litt forklaring.
    Du skriver at programmer som MSN, iTunes (og Spotify?) fortsatt kan installeres, men vi som elever har ikke muligheten til å innstallere dette selv, slik at sånt må komme fra IKT-avdelingen? Eller tar jeg feil?
    Og så er det den (på vår skole) mye omtalte D-disken.. Ingenting skal slettes derfra? Men er det da ikke sånn at jeg kan bare føre over alle spill, chatteprogrammer etc. som jeg allerede har på pc-en til D-disken, og kjøre dem derfra, når C-disken blir slettet? Dette er noe jeg allerede gjør, så jeg lurer litt på hvordan det skal gjennomføres!

    Mvh. Halvor Haugan, elev på Inderøy Videregående :)

    SvarSlett
  4. Når det gjelder installering av programmer så må alt innhold godkjennes. Denne lista er felles for alle elever i videregående i Nord-Trøndelag, dvs at det blir likt på Inderøy og alle de andre skolene. Fra elevens synspunkt blir det altså "må-programmer" - det du SKAL ha på det utdanningsløpet du har valgt, og "kan-programmer" - som du selv velger om du vil installere.

    Mht "D-disken" så stemmer det at den ikke blir berørt av reinstallering. Du kommer imidlertid ikke til å kunne ha annen programvare her enn det som blir tilgjengelig via SCCM.

    SvarSlett
  5. Jeg burde strengt tatt ikke bry meg om dette, men klarer ikke å la være.

    Du nevner 2 grunner for å ta vekk elevenes administratorrettigheter:

    1) Virusfaren for "nettverket"; Min personlige mening er at hvis en bruker/gjest i et nettverk kan utgjøre en stor sikkerhetsrisiko er dette en iboende feil i nettverksoppsettet. Å prøve å kontrollere hva enhver bruker i et nettverk gjør er å angripe problemet i feil ende.

    2) PC'ene skal være tilgjengelige for bruk i undervisningssammenheng; Distribuer et image av PC'ens hard-disk, slik som dere vil den skal se ut, på USB eller CD-ROM. Da kan brukerne enkelt gå tilbake til standardoppsett uten å måtte bry IT-avdelingen, og de kan videre sette opp ting akkurat slik de vil ha det.

    På dette punktet vil jeg også tilføye at live-distribusjoner av f.eks. Ubuntu eller Debian kunne vært et alternativ ved eksamener.

    Når det er sagt ser jeg fram til å se utfallet.

    SvarSlett
  6. En ting jeg ikke skjønner angående dette prosjektet er hvordan administrasjonsrettighetene kan bli tatt fra elevene uten deres godkjenning. Jeg skjønner naturligvis ønsket om økt sikkerhet i fylkesnettet, men dog.
    Det burde tas hensyn det faktum at et så stort antall elever som berøres av dette, er helt og holdent imot hele konseptet (hvilket jo etter min mening er fullt ut forståelig). Da elevene fikk et valg mellom å skaffe PC gjennom skolen eller ikke, tok de et valg basert på at denne PCen skulle være bare deres så vidt de ikke misbrukte den utover skolens- og fylkeskommunens reglementer slik de sto den gangen (altså ble ikke elevene informert om at reglementet ville bli endret, og elevenes rettigheter skulle forbli som de var). -Slik ting er blitt nå, ser det ut til at et utall elever kan bli nødt til å gå til anskaffelse av eksterne hard-disker, hvilket koster mye penger. Et stort flertall av elever har så mange filer på PCen sin de ikke kan/vil slette at de ikke har kjangs til å få plass til det på D-disk.

    Digital kompetanse er blant annet å kunne velge verktøy/programvare ut fra hvilken oppgave en skal utføre. Om elevenes muligheter og dermed deres valgfrihet ved dette blir begrenset, vil det høyst sannsynlig resultere i at elevene i stor grad mister interessen.
    Hvordan skal elevene nå få lagt inn drivere til skrivere, fotoapparat, mobiltelefoner, mp3-spillere, etc.? Vil IT-avdelingene, som også nå har for mye å gjøre, ha kapasitet til å ta imot elever som vil legge inn programmer som dette på sine datamaskiner? Bruken av slikt verktøy er også meget nyttig i undervisningen. For eksempel for å dokumentere forsøk, ekskursjoner, bruk i rapporter og presentasjoner.

    Derfor lurer jeg på; Er det virkelig riktig at alle elevene i Nord-Trøndelag skal miste administrasjonsretten basert på fylkeskommunens frykt for virus(som et klart flertall av elevene ikke har noen verdens ting med), og dermed "miste" PCen sin? For en data du knapt får bestemme over, kan neppe kalles din egen.

    Enda har jeg ikke hørt én elev si noe positivt om denne saken. Den har derimot gjort mange elever frustrerte og opprørte. Jeg håper det blir en bedre ordning på dette for de som skal gå skole i enda noen år. For selv om PCen ikke er 100% deres egen, strider de nye foretakene til en viss grad mot kontrakten om "lån" og eie.

    Mvh. Kari Langen v/Grong videregående skole.

    SvarSlett
  7. Jeg vet ikke hvor reelt dette er, men det er vel muligheter for at elever får programmer tilgjengelig via skolens, eller fylkets, servere? At de blir tilgjengelige via Kontrollpanel - Legg til eller fjern programmer? Bare undrer.

    SvarSlett
  8. Hm...her er det mye å svare på. Begynner bakerst og skal prøve å fatte meg i korthet:

    Emil: Ja, en god del valgfri programvare kommer til å bli gjort tilgjengelig for installering på elev-pc via skolens server. Hvilke program dette dreier seg om skal avgjøres av en felles gruppe for hele fylket, og i denne gruppa skal det selvsagt sitte elevrepresentanter.

    Vi ønsker ikke å legge andre begrensninger på innholdet enn at det a) er lisensiert ift norks lov, b) er forenlig med annet innhold på pcen og c) at det kan distribueres via SCCM. Målet er å få til bedre funksjonalitet og høyere oppetid på maskinene.

    Kari:
    1. Hvis så mye ligger på lagret på harddisken at det ikke få plass på en D-partisjon beskriver du ganske konkret noe av problemstillingen rundt brukerrettigheter. Hvis harddisken er full blir konsekvensen blant annet at nytt innhold som er nødvendig for sikkerhet og/eller undervisningsformål (sikkerhetsoppdateringer, 3amiMAS for å nevne opplagte eksempler) ikke får plass. Dette har vært et stort problem, og har i langt større grad enn virusfare bidratt til at vi har sett oss nødt til å sette ned brukerrettighetene.

    2. Når det gjelder medbestemmelse så burde elevene været informert på en bedre måte, det er jeg enig i. Dette er imidlertid en drøftingssak, ikke en forhandlingssak. Beslutningen er tatt fordi pcene MÅ ha høyere oppetid, noe som i praksis har vist seg å være uforenlig med administratorrettigheter for elevene. Alt du nevner i samlebegrepet "digital kompetanse" er viktig, men ikke viktigere enn at pcen skal kunne brukes til skolerettede formål. Alt som elevene har bruk for på skolen vil ligge inne på maskina. I så stor grad som mulig vil vi også legge til rette for at elevene skal få legge til valgfritt innhold på maskinene via det nye systemet for distribusjon av programvare.

    3. Eierforhold
    Nei, pcen kan knapt kalles din egen, og det er den heller ikke. I kontrakten som du har underskrevet står det klart og tydelig at pcen er fylkeskommunens eiendom så lenge du er elev på skolen. Når du har fullført utdanningsløpet overtar du også eierforholdet til maskina, forutsatt at alle forpliktelser er oppfylt.

    SvarSlett
  9. Selv om det er lenge siden noen har skrevet noe her, så er dette såpass interessant at det krever et tilsvar.
    Martin:
    1)
    Din personlige mening er basert på en feiloppfattelse av hva Bjørg skriver. Det er ikke nettverket som blir skadet, men de andre maskinene som er medlemmer, tilkoblet nettverket. Når en administrator er logget på en maskin, så har virus/ormer og trojanere full tilgang til maskinens ressurser, dette er ikke tilfelle om det er en begrenset bruker som er logget på.

    En begrenset bruker har mindre muligheter til å klare å infisere systemet, mens en admin infiseres uten problem. Konsekvensen av at alle maskinene i nettverket er pålogget med brukere som har administratortilgang er at virus/ormer sprer seg som ild i knusktørt gress. Det ligger altså ingen begrensninger på hvilke ressurser ormen kan benytte seg av.

    I neste omgang så vil da alle maskinene i nettverket forsøke å spamme serveren og således utføre et DDOS-angrep mot serveren som da med høy sannsynlighet vil tryne.

    2) Det er fylkeskommunen som er eier av maskinene, derfor har også fylkeskommunen et ansvar for at programvare som ligger på maskinene ikke bryter med lisenser.

    NTFK fikk veldig store problemer på grunn av den snille linjen sin, da flere tusen maskiner ble infisert av Conficker for en tid tilbake. Den episoden er grunnlag nok for å låse ned maskinene så godt det lar seg gjøre og heller la elevene bruke sine private maskiner til å spre virus og ormer.

    2) PC'ene skal være tilgjengelige for bruk i undervisningssammenheng; Distribuer et image av PC'ens hard-disk, slik som dere vil den skal se ut, på USB eller CD-ROM. Da kan brukerne enkelt gå tilbake til standardoppsett uten å måtte bry IT-avdelingen, og de kan videre sette opp ting akkurat slik de vil ha det.

    SvarSlett
  10. Interessant å få vite mer om dette, Nikka. Takk for at du tar deg tid til å svare.

    Når jeg sier nettverket, mener jeg også inkludert maskinene som er tilkoblet. Jeg har ikke utdanning eller erfaring fra IKT-drift, så det er mulig min taksonomi ikke sammenfaller med din.

    Mitt poeng var at løsningen med å begrense elevenes rettigheter på deres maskiner, for deretter å stole på at alle aktører på nettverket gjør som administratorene vil i beste fall er symptombehandling. Jeg tror en bedre løsning ville være å sikre alle servere og nettverksinfrastruktur samt hjelpe brukere til å sikre sine egne maskiner mot slike angrep, og anta at det finnes brukere på nettverket som ikke opererer til beste for drifterne. Du kan med andre ord ikke garantere at alle brukere på nettverket kjører ditt OS med dine innstillinger. Dermed rammer du "snille" brukere, som får masse ekstrajobb, f.eks. når de vil bruke en skriver, mens "onde" brukere, som vanlig, finner omveier.

    Virus og ormer sprer seg som ild i knusktørt gress på maskiner som kjører gammel programvare full av svakheter (vulnerabilities). Å kjøre programmer med forskjellige grader av brukerrettigheter er et forsøk på å begrense dette, men dette har vel inntil videre lykkes bedre på andre plattformer (f.eks. linux)?

    Tilsvaret ditt på mitt pkt. 2 om tilgjengelighet, skjønner jeg ikke. Du mener at hvis elevene vil gjøre noe som ikke er godkjent fra administratorene, kan de kjøpe seg en annen, egen laptop å gjøre dette på? Jeg mener løsningen med å distribuere en start-tilstand som elevene selv kan gå tilbake til, ville gjort problemet med PC som ikke kan brukes i undervisningssammenheng lite.

    Jeg trodde noe av poenget med skole-PC-ordningen var å utdanne elevene i bruk av IKT for videre utdanning eller jobb? Hvordan bidrar begrensede rettigheter til dette?

    Håper ikke mitt svar kommer for sent til at noen ser det, men jeg synes, som deg, at dette er et interessant emne som fortjener oppmerksomhet.

    SvarSlett