高校學(xué)生機房的管理是公認(rèn)的難題。上機制度甚至嚴(yán)厲的處罰措施都不足以杜絕誤操作者或敢于“以身試法”者對系統(tǒng)安全的危害或破壞。唯有采取有效的技術(shù)措施，才能確保機器、系統(tǒng)安然無恙。下面是筆者的一些經(jīng)驗。  

　　對策一：無盤工作站+虛擬盤——不花錢，多辦事  
　　此策適用于至今仍采用MS-DOS平臺工作的學(xué)生機房。這類機房一般采用Novell無盤工作站形式進行管理，即將所有機器的軟驅(qū)、硬盤都去掉，一來可以大大降低系統(tǒng)造價；二來可以防止學(xué)生用軟盤傳播病毒；三來防止機房中的軟件被人擅自拷貝。只要網(wǎng)絡(luò)權(quán)限設(shè)置得當(dāng)，這種方案在系統(tǒng)安全性方面應(yīng)該說是無懈可擊，但其弊病也很明顯。因為沒有軟驅(qū)，學(xué)生無法學(xué)習(xí)軟盤的使用。其次由于沒有軟驅(qū)，只好在網(wǎng)絡(luò)上給學(xué)生開設(shè)工作目錄。而面對眾多學(xué)生，如果每人開一個目錄，勢必使網(wǎng)絡(luò)不堪重負。如果公用一些目錄，那么學(xué)生編寫的程序、文檔等可能被其他人隨意刪改。還有一個問題，就是有些軟件如Pctools、KV300+等必須有物理盤才能使用。所以筆者認(rèn)為Novell工作站不配置軟驅(qū)實在是弊大于利。  

　　那么，對有軟驅(qū)的工作站，如何解決系統(tǒng)防病毒和軟件資源不流失問題呢？實踐證明，可以通過在工作站上生成虛擬盤的方法得到完善解決。具體方法是在制作工作站遠程引導(dǎo)盤時，保證其config.sys文件中有以下內(nèi)容：  

　　device=himem.sys  

　　device=emm386.exe auto ram  

　　dos=high，umb  

　　files=70  

　　buffers=20  

　　devicehigh=ram  

　　ive.sys1500/e  

　　其中前三行是為了優(yōu)化內(nèi)存，files=70和buffers=20是為了滿足等級考試對系統(tǒng)設(shè)置的要求，而最后一句的作用就是在工作站上生成一個與1.44MB軟盤容量相當(dāng)?shù)奶摂MC盤。然后用dosgen命令生成無盤工作站遠程引導(dǎo)文件net$dos.sys，存放在服務(wù)器的sys:login目錄下。同時使用戶注冊正本內(nèi)容只有以下兩句：  

　　map  

　　ive c:  

　　這樣，學(xué)生開機后，通常情況都是通過網(wǎng)絡(luò)遠程引導(dǎo)啟動，注冊入網(wǎng)后則自動轉(zhuǎn)到虛擬的“C盤”。一般學(xué)生上機練習(xí)時產(chǎn)生的文件只存放在這個虛擬盤中，在重新啟動后自動消失，免除了管理員經(jīng)常清理垃圾文件之勞。  

　　如果有必要長久保存文件（如未完成的程序等），可由學(xué)生用軟盤拷貝帶走。由于學(xué)生用戶在網(wǎng)絡(luò)服務(wù)器上沒有可用空間（只要在建立學(xué)生用戶時不為之建立用戶工作目錄，并在用戶帳戶中將其在服務(wù)器磁盤上的最大可用空間設(shè)為0），加上網(wǎng)絡(luò)權(quán)限限制，即使學(xué)生帶來的軟盤本身有病毒，也只傳染虛擬的“C盤”，而這個虛擬盤在重新啟動時會自動銷毀一切所存數(shù)據(jù)，包括在它上面的一切病毒程序，所以完全不必擔(dān)心學(xué)生盤上的病毒危害系統(tǒng)的安全。  

　　為了防止學(xué)生通過軟盤拷貝網(wǎng)絡(luò)上保密的程序，可在有關(guān)程序所在的目錄下執(zhí)行以下命令：  

　　flag *.* rox  

　　該命令將所在目錄下所有可執(zhí)行文件設(shè)置為“僅執(zhí)行”（X）屬性和“只讀”（Ro）屬性。設(shè)置為僅執(zhí)行屬性后的.exe和.com文件只能執(zhí)行，無法拷貝到其他位置，但可以被移動到其他位置，加上Ro屬性后就無法移動了。當(dāng)然，這些目錄的A權(quán)和M權(quán)不能授予學(xué)生用戶，否則其中的網(wǎng)絡(luò)高手可以解除這些屬性限制。  

　　對策二：超級保鏢+FAT32——少花錢，辦實事  
　　此策適用于采用Windows 9X平臺工作的學(xué)生機房。這類機房中的各臺機器均配有硬盤（也有人采用無盤聯(lián)網(wǎng)形式，但站點一多運行起來就慢如蝸牛，幾乎失去實用價值）。于是一個令人頭痛的問題就出來了——學(xué)生可以隨意刪改本地硬盤上的各種文件和系統(tǒng)設(shè)置。  

　　為了解決這個問題，不少學(xué)校機房或采用加插硬盤保護卡的方法來防止和消除學(xué)生對系統(tǒng)的修改，或采用硬盤克隆技術(shù)來盡快恢復(fù)被毀壞的系統(tǒng)。但實踐表明二者均有明顯不足之處。加插保護卡首先要增加機器成本，其次會降低系統(tǒng)運行速度（至少部份產(chǎn)品如此），更使人感到不便的是要占用一個擴展槽?，F(xiàn)在不少電腦擴展槽數(shù)量不足，裝上網(wǎng)卡、聲卡等后可能就沒有多余的槽可用，也容易引起中斷沖突等軟故障。采用克隆技術(shù)則純粹是“亡羊補牢”之舉。實際上，克隆技術(shù)更適用于成批購買新機時系統(tǒng)的快速安裝，用于學(xué)校機房的技術(shù)管理，實在只是一種無奈之余的補救而已。  

　　“超級保鏢2000”軟件的推出為機房管理帶來了新的曙光。用戶可以將硬盤分成系統(tǒng)區(qū)（一般為C盤）和用戶區(qū)，讓超級保鏢只保護系統(tǒng)區(qū)。屬于超級保鏢保護范圍內(nèi)的文件系統(tǒng)不管遭到多么嚴(yán)重的刪改，只要在啟動時按下F10鍵并輸入正確密碼，就可以完全恢復(fù)到超級保鏢初裝時的原始狀態(tài)。對于超級保鏢安裝后修改過的或新建的文件，可通過其“高級設(shè)置”及時加以補充保護。  

　　我們在使用中發(fā)現(xiàn)超級保鏢實際上是將系統(tǒng)原始狀態(tài)通過各個硬盤的T!A和T!B目錄進行保存，這也許就是超級保鏢所謂“整體寫保護”的秘密所在。由于采用特殊技術(shù)，這兩個重要目錄在Windows下（包括MS-DOS方式或啟動時進入命令狀態(tài)）是完全不可訪問和查看的，但是如果機器啟動時學(xué)生按下F8并選擇Previous version of MS-DOS，或用DOS軟盤啟動，就可以訪問這兩個目錄，并對其文件進行刪改，以此攻破超級保鏢建立的系統(tǒng)防線。  

　　了解了這一秘密，就可以采取措施來堵塞這一漏洞。我們采取的方法很簡單——把欲保護的硬盤分區(qū)設(shè)置為FAT32（FAT32分區(qū)是MS-DOS無法訪問的）。設(shè)置為FAT32分區(qū)后，還可以加快硬盤讀寫速度，增大硬盤存儲空間。  

　　對策三：NetWare 5+ZENworks——花大錢，辦大事  
　　此策既適用于Windows 9X平臺環(huán)境，也適用于Windows NT平臺環(huán)境。  

　　ZENworks是Novell公司為解決Windows平臺用戶桌面管理而推出的所謂“零管理”軟件。ZENworks以NDS目錄服務(wù)為核心，將Windows系統(tǒng)配置（注冊表、系統(tǒng)策略等）作為NDS的對象庫進行統(tǒng)一管理調(diào)配，而將Windows 9X/NT工作站固化成一個只執(zhí)行相關(guān)應(yīng)用程序的所謂“瘦客戶端”，從網(wǎng)絡(luò)上實現(xiàn)對桌面系統(tǒng)的徹底管理。  

　　當(dāng)用戶進行NDS網(wǎng)絡(luò)登錄認(rèn)證后，NDS自動將Windows配置對象庫的參數(shù)復(fù)制到Windows工作站上并立即生效，桌面配置被改寫，應(yīng)用程序自動到達用戶機上，形成統(tǒng)一桌面設(shè)置（統(tǒng)一壁紙、統(tǒng)一屏幕保護、統(tǒng)一鼠標(biāo)等），并能實現(xiàn)應(yīng)用程序的自動分配和自動復(fù)原。如果用戶端軟件環(huán)境被破壞或關(guān)鍵文件丟失無法啟動，只要用戶登錄網(wǎng)絡(luò)，丟失的文件會自動從網(wǎng)絡(luò)上復(fù)制到用戶機上，從而保證用戶機的正常運行，而這一自動修復(fù)過程完全不需要管理員介入。而且用戶不管從哪臺機上登錄網(wǎng)絡(luò)，其桌面設(shè)置保持不變。  

　　這套系統(tǒng)還有一個很出色的功能，特別適用于學(xué)校機房，即必要時可針對不同用戶登錄情況分發(fā)相應(yīng)的應(yīng)用軟件，使學(xué)生機由多任務(wù)的Windows進程變成單任務(wù)教學(xué)環(huán)境。如規(guī)定第一節(jié)上Word，第二節(jié)上Access，第三節(jié)上網(wǎng)頁制作，管理員可在不同時段分配相應(yīng)的應(yīng)用程序Word、Access和FrontPage，這樣在規(guī)定時間內(nèi)學(xué)生只能使用指定的應(yīng)用程序，從而防止學(xué)生上機時“不務(wù)正業(yè)”或進行惡意破壞。

最新評論