La necessità di installare le cose è un po 'il punto di aver bisogno del laptop, quindi ha perfettamente senso che vogliono installare Office, AV e certificati. Non ci sono sorprese lì. Per fare ciò, hanno bisogno di un accesso da amministratore, ma vorrei revocare quell'accesso una volta terminato.

Vorrei conoscere l'elenco di tutto ciò che vogliono installare e se hanno il controllo centrale sull'AV (e se lo fanno, perché lo vogliono).

Se la tua preoccupazione è che possano installare malware, scarica un Live CD di un programma antimalware ed eseguilo sul portatile dopo aver terminato.

Se il laptop viene utilizzato solo per il lavoro scolastico, non c'è davvero alcun danno qui. Se tuo figlio lo usa per altre cose, potrebbero esserci dei conflitti di privacy.

L'assalto dei commenti e la divisione dei voti evidenziano una differenza nella comprensione del modello operativo qui. Questa non è una situazione in cui la scuola vuole il controllo improvviso di un dispositivo personale. Questa è una situazione in cui la scuola chiede al genitore di acquistare un dispositivo per la scuola da controllare e questa risposta è pensata per essere applicata in questo modello. La scuola deve essere in grado di controllare il dispositivo come parte della dovuta cura (e ricordare che il bambino in questo caso è minorenne, 12 o 13). In termini di protezione della privacy del bambino, il mio consiglio è di assicurarsi che il dispositivo sia utilizzato solo per le prese di lavoro scolastico.

Il fatto che il genitore possa mantenere il controllo dell'amministratore è una grande cosa per la protezione del bambino, qualcosa che non sarebbe possibile se la scuola fosse proprietaria del dispositivo. Il genitore può fare l'inventario, la patch e disinstallare .

Questo modello operativo significa che la scuola può garantire la coerenza del software, che sarebbe necessario per l'insegnamento della coerenza, abbassa il costo della scuola (sì, aumenta i costi diretti ai genitori, ma offre opzioni economicamente convenienti) e offre i dovuti controlli di cura per la protezione del bambino. Devi solo cambiare idea che solo perché hai acquistato il dispositivo non significa che dovresti avere controllo al 100% del dispositivo.

E ancora, con il nuovo assalto di commenti, dico: considera l'idea di un dispositivo "burner" . Lo possiedi, ma è pensato per essere, almeno in parte, fuori dal tuo controllo e adeguatamente classificato per determinate attività.

Se il modello operativo era che la scuola voleva il controllo improvviso di un dispositivo personale, la mia risposta sarebbe molto diversa (più simile a quella di AviD).

Potrebbe essere solo perché sono già "quel genitore", ma sarebbe un NO strong da parte mia e l'amministrazione scolastica parlerebbe con forza di questo. Vorrei spingere ad avere questa politica modificata (anche se senza molte speranze), per tutti e non solo per mio figlio.

Ci sono problemi di privacy. Problemi di sicurezza. Potenzialmente problemi legali - il software è concesso in licenza? Cracked? Stanno registrando tutto il traffico dal laptop o altro? Vogliono installare un software personalizzato?
E perché stanno chiedendo tutto questo? Che giustificazione potrebbero avere.

• Vogliono assicurarsi che i bambini siano al sicuro online.
  Bene, richiede qualche forma di controllo parentale. È il tuo laptop, è tuo figlio - è una tua responsabilità. (Ad esempio, la scuola di mio figlio richiede il filtraggio dei contenuti sugli smartphone portati a scuola. "Richiedono" un'app dubbia da parte di un utente locale. Ho rifiutato e installato un'app corretta.)

• Vogliono assicurarsi che i laptop per bambini siano sicuri. Grande, prima lezione "come stare al sicuro online". Richiede che Windows Defender (o qualche altro AV / AM) sia attivo e aggiornato, ecc. Sebbene questo non dovrebbe essere importante per la loro rete ...

• Vogliono assicurarsi che i bambini non accedano a siti illegali / inappropriati.
  Prima di tutto, riguarda solo loro all'interno / durante la scuola. Nessuno dei loro affari a casa ... E possono facilmente impostare un proxy bloccato per la rete scolastica.
  E ancora, a casa dovrebbero comunque avere comunque il software di controllo parentale / filtro.

• Vogliono educare i tuoi figli.
  Oh, loro? Perché questo suona come l'opposto di quello. Questa è un'opportunità educativa, una vera miniera d'oro per diversi argomenti, e stanno andando dall'altra parte.

Potrebbe essere necessario discutere con gli insegnanti, il preside, il consiglio scolastico ... Potrebbe essere necessario rieducarli su questo. E potresti persino perdere, ma combattere questo è la cosa giusta da fare - come @ Mike e alcuni dei commentatori citati, la migliore opportunità di insegnare ai tuoi figli a salvaguardare la tua privacy e prevenire richieste onerose da parte di autorità sbagliate. :-)

Non lo farei.

Non hai un modo reale per dire esattamente quello che hanno cambiato. Alcune scuole sono eccessivamente ficcanaso o controllanti.

E anche se il distretto è rispettoso della tua privacy, potrebbe avere un amministratore di ladri nei loro ranghi.

Altri sono stati morsi.

Lì sono state cause legali a causa di una palese cattiva condotta prima. Hanno alternative, quindi l'accesso amministrativo non dovrebbe essere necessario.

Come dovrebbero farlo?

Il software basato su cloud non richiede installazione. Finché hai un sistema operativo e un browser web moderni, sei pronto per partire. Sebbene non apprezzi le app cloud in una serie di scenari, è perfetto per scenari BYOD (bring-your-own-device). Ovviamente, non hanno scelto questo se stanno chiedendo i diritti di amministratore. Potresti suggerirlo a loro.

Con il software con licenza a volume, dovrebbero essere in grado di fornire un codice prodotto o impostare un server licenze sulla loro rete. (Le cose che richiedono i server di licenza sono più comuni per le applicazioni a livello universitario, ma ne ho sentito parlare anche nelle scuole di preparazione al college tecnicamente orientate.)

Che cosa farei?

Vorrei installare le applicazioni da solo. Non ci vuole molto tempo e in genere non cambiano nel corso dell'anno.

I certificati possono essere installati molto facilmente su Windows, ma dovrei vederli prima che potessi dire se sia una buona idea.

Altri hanno già spiegato perché questa è una cattiva idea e sono pienamente d'accordo, non permettergli di installare quelle cose (certificati ??, in nessun modo), ora, non devi essere quel genitore se presenti alcune opzioni:

• Multi-boot : in questo modo tuo figlio può avere un sistema scolastico e un home OS , ha solo bisogno di lasciare che installino tutte le cose sul sistema operativo della scuola e ricordarsi di non fare cose private mentre lo si usa (e lo si avvia sempre durante la lezione). Aggiungi crittografia su ciascun sistema operativo per risultati migliori.

• VirtualBox : quasi uguale a quello dello scenario precedente, ma la scuola potrebbe avere qualche dubbio sull'accesso alla rete

• GoogleDocs : se è tutto ciò di cui hanno bisogno, questa è una buona opzione, a meno di alcune funzioni avanzate dei documenti sono usati che potrebbero non funzionare correttamente (o se è più lavoro per l'insegnante insegnare lo stesso in molte piattaforme)

Buona fortuna e facci sapere come l'hai gestita.

In queste circostanze, il caso ideale è semplice.

Ottieni un laptop "masterizzatore" solo per i compiti di scuola.

Utilizza la tecnologia standard e le specifiche basse idonee per il lavoro a portata di mano (contatta il reparto IT per scoprire cosa ritengono adatto) e lascia che la scuola faccia tutto ciò che vogliono con esso.
Il bruciatore dovrebbe costare al massimo poche centinaia di dollari e risparmiare un sacco di problemi.

Se tuo figlio ha già un laptop personale, questo non è un dispositivo di lavoro e sarà comunque solo una fonte di distrazione a scuola.

Questi passaggi laterali e compartimentalizzano i problemi dei dati personali e della sicurezza delle informazioni, tenendo separate le vite personali e lavorative in primo luogo.

È abbastanza chiaro per me ed evidentemente a te stesso che le misure di sicurezza di un dispositivo personale dovrebbero mai lasciare il tuo controllo personale.

Con il dovuto rispetto per il reparto IT della tua scuola, le scuole non hanno una buona reputazione per la sicurezza delle informazioni.
Con centinaia di bambini di tutte le età che esplorano ciò che può o non può essere fatto, sono generalmente esagerati e vengono scoperti scappatoie nei sistemi IT della scuola in ogni momento.
Non importa che i dipartimenti IT della scuola siano raramente specialisti della sicurezza delle informazioni, il loro compito principale è il mantenimento dell'enorme rete in tutta la scuola e il monitoraggio per assicurarsi che il sistema non venga utilizzato in modo improprio.

Se il loro gioco Info-sec fosse abbastanza strong da permettermi di fidarmi di loro con libero accesso ai miei dati, probabilmente non avrebbero lavorato in una scuola.

Now the school IT department wants to install some software on the laptop and is asking for administrative access.

La scuola lo fa perché è facile per loro. Molti genitori sono analfabeti informatici e chiedono a tutti i genitori di rivedere e installare il software ogni volta che ne hanno bisogno e mantenere tutti aggiornati è molto laborioso.

I feel that on principle this is not right, as it's not the school's device, so school staff shouldn't have access.

Sono totalmente d'accordo con te su questo. È il tuo dispositivo ed è tuo figlio, dovrebbe essere il tuo diritto di tracciare la linea su ciò che è e non è accettabile.

Il rovescio della medaglia, la scuola ha anche la responsabilità di altri studenti e genitori. Se altri studenti vengono a sapere che il dispositivo dei tuoi figli non è impostato con lo stesso software di sicurezza del resto e usano il dispositivo di tuo figlio per accedere o fare cose illegali o se il dispositivo di tuo figlio è il punto di ingresso di un'infezione da virus sulla scuola rete o altre violazioni della sicurezza, allora potreste essere parzialmente responsabili di ciò e la scuola potrebbe non essere in grado di sottrarre l'intera responsabilità a voi in quanto hanno il dovere di diligenza.

I'm setting myself up for a few years of headache as any time the school wants to add new software, I'll have to do it myself.

Non puoi avere la tua torta e mangiarla anche tu. Non ci sono diritti senza responsabilità. Se non vuoi che la scuola abbia accesso amministrativo completo al dispositivo, devi essere preparato a prendere la responsabilità da solo.

What would you do?

Dovresti discutere il problema con la scuola. Se la scuola ha una politica BYOD, probabilmente non sarai la prima né sarai l'ultima persona ad avere tali preoccupazioni. La scuola può avere una politica che ti consente di autogestirti, dovrai negoziare ciò che vorresti o non vorresti accettare. Alla fine, devi essere pronto a passare a un'altra scuola oa consentire un accesso amministrativo completo o parziale al dispositivo se il criterio BYOD della scuola non ti consente di amministrarti da solo.

Nel caso in cui si decida di consentire l'accesso amministrativo alla scuola al dispositivo, è possibile prendere alcune misure per proteggere il bambino e te stesso dal dispositivo. Si consiglia di trattare il dispositivo come un ospite o un dispositivo non affidabile quando si trova nella rete mettendolo in una rete virtuale separata. Non dimenticare di pulire il dispositivo pulendolo quando i bambini non sono più in quella scuola. Puoi parlare con i tuoi figli di quello che non dovrebbero fare con il laptop della scuola, e forse di usare un altro dispositivo per tutte le loro esigenze personali (ad es. Intrattenimento, e-mail personali).

Se decidi di non consentire alla scuola un accesso amministrativo completo, preparati alle possibili conseguenze. La scuola può avere una politica per non consentire ai dispositivi che non rispettano la politica di accedere alla loro rete interna e alcune risorse scolastiche possono essere disponibili solo da detta rete interna. Potrebbe essere necessario accontentarsi di trovare un altro modo per il bambino di accedere a dette risorse.

Quanto lontano vuoi prendere questo dipende solo da te. Sii flessibile e preparati a scendere a compromessi. ma hai anche un'idea chiara su quale sarebbe la linea che non attraverserai.

Da un punto di vista degli amministratori di sistema:

They want to install Office, Outlook, an AV and some site certificates.

Se hai già un AV installato (che dovresti), un altro AV entrerà in conflitto con il tuo e costituirà una minaccia più grande per il computer del tuo bambino. Fai una ricerca su Google: "più antivirus installato" e vedrai perché è male.

Per quanto riguarda i certificati, lo interpreto come un modo per spiare tuo figlio. Un certificato universale può essere utilizzato per decrittografare TUTTO il traffico da / verso quel computer. incidente di sicurezza di Lenovo. Dovrebbero avere un filtro di base per bloccare i siti web cattivi, e se non lo fanno: Smoothwall può aiutarli.

Di 'loro di darti le chiavi di Office, (se ne hanno presa, ci sono alternative là fuori, come OpenOffice e LibreOffice), e ignorano le loro richieste di installare certificati. Non sai nulla del loro dipartimento IT; e suonano / di solito sono incompetenti. Potrebbero anche essere pervertiti (potrebbero installare altre cose che potrebbero dare loro accesso alle telecamere).

Dì a tuo figlio di non dargli mai il portatile. Ci sono modi per estrarre le password e se arriva il momento critico, puoi semplicemente: eseguire il backup del file della password, cancellare le password, installare qualsiasi cosa e quindi ripristinare il file della password, (si chiama il file SAM).

Scomposizione:

I tuoi dubbi come genitore

• Privacy: non vuoi che il personale scolastico sia in grado di visualizzare quali siti vengono visitati da tuo figlio, quali file hanno sul loro laptop e altre cose che potrebbero venire con l'accesso come amministratore.
• Sicurezza: non ti fidi veramente che la scuola abbia la possibilità di installare software; sei preoccupato che i virus finiscano sul laptop a causa della sicurezza scadente della scuola.

Le loro preoccupazioni come la scuola

• Responsabilità: la scuola vuole monitorare ciò che gli studenti stanno facendo online, presumo, mentre sono nell'edificio (presumo che sia per quello che sono i certificati installati). Ciò potrebbe avere ripercussioni legali sulla scuola se gli studenti stanno facendo cose illegali dai loro indirizzi IP o tramite software per il quale la scuola paga le tasse di licenza (Office, Outlook, ecc.). Questo potrebbe anche avere ripercussioni sul tuo bambino se vengono scoperti a fare qualcosa di molto illegale.
• Sicurezza: la scuola non si fida dei computer portatili di proprietà degli adolescenti per essere privi di virus (probabilmente una buona chiamata). Vogliono imporre uno standard minimo di sicurezza prima di consentire ai dispositivi di accedere alla loro rete.

Buono per te per essere preoccupato e sollevare la domanda. Nel complesso, sembra che stiano adottando ragionevoli precauzioni di sicurezza; anche se c'è il rischio che la cronologia di navigazione di Internet di tuo figlio, i file scaricati, ecc. siano visibili alla scuola e si mettono nei guai per questo.

Potrebbe esserci un rivestimento d'argento qui per parlare con tuo figlio della privacy di Internet e di essere a conoscenza di quello che fanno su quella macchina (un problema del mondo reale che ogni adulto con un computer di lavoro deve imparare a navigare!)

Non penso che nessun altro abbia discusso il problema del certificato:

Nella mia esperienza, molte scuole usano un firewall MITM per intercettare il traffico HTTP per le loro politiche di filtraggio, come ad esempio il contenuto della pagina. Questo è un problema per HTTPS perché devono sostituire il certificato con il proprio - che è probabilmente quello che vogliono installare.

Guarda questo venditore per esempio: link

Suppongo che questo sia ciò a cui sono destinati i certificati. Non vi è alcun motivo per fornire l'accesso all'amministratore del dipartimento IT quando è possibile installarlo da soli, è facile.

Installazione ti permetterà di navigare su HTTPS ma ovviamente tieni presente che saranno in grado di intercettare e leggere le comunicazioni, su qualsiasi rete controllata dai proprietari di quel certificato.

Per evitare l'intercettazione potresti probabilmente eseguire una VPN crittografata su una delle loro porte aperte 80/443/53 ecc. e far passare tutto il tuo traffico HTTP attraverso quello. Basta non dirglielo perché è probabilmente contro la loro politica.

Fornirò una situazione con cui ho esperienza, e quindi traccerò parallelismi. Sono un ingegnere del software e ho lavorato in diversi negozi con una mentalità BYOD (porta il tuo dispositivo personale). Ciascuno di questi negozi aveva le proprie pratiche di sicurezza e i requisiti software che i dispositivi avrebbero dovuto seguire, ed era inteso che l'IT desiderava periodicamente verificare che il proprio dispositivo fosse conforme. Tuttavia, questo è stato fatto in remoto (dalla rete al momento della connessione) o in presenza dello sviluppatore. Se l'IT avesse chiesto l'accesso amministrativo, sarebbe stata una bandiera rossa importante perché NON è il loro sistema .

Come proprietario, utente e manutentore del sistema, la cura e la manutenzione cadono su una sola persona: tu. Nel caso in cui il dispositivo sia compromesso, infetto, ecc. Come risultato delle loro pratiche, tu sei la parte responsabile. Sarai colui che spenderà tempo e denaro per pulire o sostituire quel sistema, non la scuola. Lo riconosci già venendo qui e chiedendo se questa è una richiesta ragionevole sulla tua macchina. Se mantenessero e prendessero cura della macchina, questo sarebbe stato un problema, avrebbero appena installato il software mentre stavano facendo il setup o la manutenzione.

Quale sarebbe ragionevole (secondo me) è di avere il software richiesto elencato in modo che tu possa installarlo da solo. Se si prevede di acquistare e mantenere il proprio dispositivo, è necessario assicurarsi che sia conforme ai propri standard (sia hardware che software).

Opinione personale: questa è un'opportunità di insegnamento mancata. Il tuo bambino sarà l'utente principale del dispositivo e insegnare loro come prendersene cura e proteggerlo (anche con la tua guida) è molto importante per l'apprendimento e l'utilizzo di migliori pratiche di sicurezza online.

Sia un laptop masterizzatore che una macchina virtuale sono opzioni rispettabili. Multiboot non lo è, poiché ogni volta che il sistema operativo ostile è in esecuzione può modificare il sistema operativo pulito, con privilegi oltre-admin.

Ritengo che la macchina virtuale possa essere superiore per quanto riguarda i costi rispetto al semplice costo:

1. Il bambino potrebbe beneficiare della possibilità di utilizzare un laptop migliore a scuola. Sto parlando di entrambi i vantaggi pratici come tastiera e trackpad di qualità migliore, risoluzione più grande e più alta / schermo migliore e benefici psicologici (non c'è motivo di costringerli a usare un computer portatile di un affare davanti ai loro coetanei, questo potrebbe dare all'insegnante un in per incitare la presa in giro del bambino dalla famiglia "paranoide")
2. Il SO di base sarà pulito, quindi se il laptop viene accidentalmente / necessariamente avviato in casa / ufficio, la rete non è esposta all'installazione sporca della scuola. Per impostazione predefinita, è possibile eseguire l'avvio senza rete.
3. Il bambino deve avere il proprio laptop personale pulito sulla propria persona, che può usare offline / su una connessione mobile / ovunque, il che significa che è molto meno probabile che venga forzato in una situazione in cui farà qualcosa di spiacevole come accedere al proprio account e-mail personale dal sistema operativo della scuola.
4. È facile ispezionarlo, dal momento che puoi monitorare esternamente l'utilizzo della rete, o scattare istantanee dell'unità e confrontarle.

Tuttavia, non mi fiderei dell'IT per non scherzare con l'immagine di base. Suppongo tuttavia che non sia ergonomicamente possibile impedire loro di avviare la macchina senza supervisione, nel loro tempo libero. In quanto tale, questo è il protocollo che utilizzerei:

1. Installa linux o altro SO di base. Non dare al bambino alcun accesso amministrativo o accesso BIOS / UEFI, in modo che non possano avviarsi da un dispositivo esterno.
2. Installa il software di virtualizzazione e installa la versione richiesta di Windows al suo interno.
3. Crea l'account amministratore su windows vm in conformità con i requisiti.
4. Assicurati che tutti gli aggiornamenti siano installati su VM
5. Esegui il backup dell'intera unità linux os e di vm.
6. Consegna il laptop alla scuola.
7. Una volta riavviato, non avviarlo, copiare di nuovo l'unità e trattarla come ostile.
8. Sovrascrivi l'unità host con il tuo backup.
9. Estrai il volume dell'unità vm (solo volume del disco, non impostazioni vm) dall'immagine ostile.
10. Sostituisci il volume vm sul laptop ormai fidato con il volume vm dell'immagine ostile. Fai attenzione, assicurati che il file di volume non consenta loro di accedere a qualsiasi partizione di unità host, alcuni formati possono includere collegamenti simbolici o pieno accesso ai dischi / partizioni host.

Ora sei praticamente al sicuro, dal punto di vista tecnico. Per un credito extra, puoi diffare l'immagine del disco di base e l'immagine del volume della VM con quella precedente, per vedere a cosa è servita la scuola.

La seconda parte sta spiegando questa configurazione a tuo figlio. Non puoi esagerare con questo. Mentre è positivo per loro avere fiducia nella configurazione, devono capire quanto sia pericolosa la VM della scuola. Spiega che la minaccia è composta sia dal personale scolastico, che li vede entrambi di persona e può avere un effetto significativo sul loro futuro, sia da terze parti che possono compromettere la VM o il MITM da qualsiasi attività di rete della VM. Spiega che nessuna delle due parti ha un buon significato o è addirittura neutrale, in quanto tale "potere" corrompe le persone e viene sempre abusato molto rapidamente. Fornisci alcuni esempi grafici, come ad esempio la distribuzione di tutte le loro chat private a tutti i docenti, genitori e studenti, o alla loro webcam e microfono a cui accedono strane donne e uomini, anche per scovare la tua casa per una rapina, un'invasione o sequestro di persona.

Non dimenticare di includere che queste conseguenze possono risultare non solo dal fare il loro personal computing all'interno della VM, ma anche dal non praticare l'igiene con la VM, come l'esecuzione di eseguibili da un'unità USB che è stata esposta alla VM .

Infine, devi considerare i bisogni e i desideri del bambino. Se vogliono usare software come software creativo di Adobe, Ableton o giocare, potrebbero aver bisogno della propria VM di Windows o dell'opzione di avvio, altrimenti saranno tentati di utilizzare la VM della scuola.

Inoltre, si presume che vogliano solo accedere alla macchina una volta. Se vogliono un accesso fisico ripetuto, questo complica le cose.

Should I let my child's school have access to my kid's personal laptop?

No.

My kid is starting 6th grade and the school requires him to get a laptop and bring it to school.

No.

La scuola può acquistare in massa libri, cancelleria, strumenti e computer a prezzi scontati e esentasse. Com'è più economico o meglio per ogni genitore sapere: cosa comprare, dove andare, come configurarlo ...

La scuola può fornire un Lenovo 100e (Windows 10 - Modalità S ) o Chromebook ( Chrome OS ) per meno di $ 200. Forse un deposito rimborsabile è appropriato, ma il costo sarà inferiore rispetto al fatto che ogni genitore spenda tempo e denaro per acquistare qualsiasi cosa indipendentemente.

Proprio come ogni studente riceve gli stessi libri e le stesse opportunità, ognuno dovrebbe essere fornito con un computer uguale. Non vuoi che alcuni studenti siano molto più avanti mentre gli altri sono molto indietro.

Se ci sono compiti a casa, il computer può essere fissato in sicurezza nell'armadietto della scuola e il bambino può accedere allo stesso materiale sul proprio computer di casa, altrimenti, proprio come i loro libri, può portare il computer a casa con loro.

Se il genitore fornisce al computer e scompone cosa fa il bambino, torna a casa e prendine un altro?

Se la scuola fornisce il computer e c'è qualche problema (inclusa la rottura o dimenticarlo a casa) può essere fornito un nuovo computer e il bambino può tornare al lavoro in un minuto (con tutti i loro file come sul altro computer).

Now the school IT department wants to install some software on the laptop and is asking for administrative access.

È comprensibile. Il bambino ha bisogno di ottenere lo stesso software di tutti e la scuola ha una licenza di massa. Devono inoltre garantire l'accesso a Internet e alla posta: la scuola è responsabile dell'istruzione e della sicurezza di tuo figlio.

Questo è il motivo per cui la scuola dovrebbe fornire l'attrezzatura e stare lontana dagli effetti personali di tuo figlio a meno che non ci sia un legittimo problema di sicurezza: implementare un piano ingiusto e mal concepito con ingiuste invasioni della privacy non giustifica nulla. Sul personal computer (e sul telefono) del bambino sono informazioni private e qualsiasi altra cosa consentita dal genitore, è responsabilità dei genitori. La scuola deve stare dalla propria parte del firewall .

I feel that on principle this is not right, as it's not the school's device, so school staff shouldn't have access.

È vero, è una ricerca senza garanzia.

Additionally, I don't have any sense of how good the school's security practices are. What if they inadvertently install malware?

È vero. Inoltre non sai se un particolare software ha bug con qualsiasi hardware casuale fornito. È una moltiplicazione inutile di lavoro con un valore ridotto.

Quando la scuola fornisce al computer, possono semplicemente allinearli e distribuirli. Quando ogni computer è fornito dai genitori, potrebbe avere un disco di installazione già pronto, ma non si sa cosa farà al software esistente o alle protezioni installate dai genitori.

Se il bambino non deve fornire la chiave della propria casa perché la chiave del proprio computer, la loro privacy.

However, if I refuse then I risk being "that parent" and I'm setting myself up for a few years of headaches as any time the school wants to add new software, I'll have to do it myself.

Sii quel genitore, quello che ha parlato per il loro bambino.

Se la scuola fornisce al computer, passa semplicemente la vecchia e la nuova con il software aggiornato, in alternativa può essere installata automaticamente sul WiFi della scuola. Consegnare il computer personale del bambino ogni volta che c'è un aggiornamento significa ore al mese senza di esso. Difficilmente una soluzione migliore .

What would you do?

Rispondi. Paga meno. Ottieni una soluzione migliore che abbia senso. Proteggi la tua privacy.

Insegnate ai vostri figli a dire di no agli adulti che impongono la cosa sbagliata - potete anche dire di no.

Big No!

Mentre la maggior parte di tutto è stata coperta, c'è ancora il problema della sicurezza dei bambini. Ogni anno ci sono diverse cause legali sulle scuole che spiano i bambini attraverso le loro webcam. Mentre si potrebbe pensare che non saranno in grado di farlo con ciò che intendono installare, ci sono buone probabilità che l'AV gli consenta di farlo.

Prendi questo caso ad esempio: link

In questo caso, la scuola pensava che il bambino potesse vendere droga e essenzialmente spiarlo attraverso la sua webcam. Cosa succede se il computer era nella stanza di tuo figlio mentre si cambiava e un amministratore lo stava guardando?

Inoltre, non hai idea di quanto sia sicuro il loro sistema. Anche se non lo faranno, come fai a sapere che non saranno hackerati o che sono già stati violati? Non lasciare che la scuola installi qualcosa sul tuo computer per bambini.

Il modo migliore per evitare ciò sarebbe dare loro un chromebook per la scuola e bloccarlo con i controlli parentali, o impedire al proprio account di installare il programma e non dare loro una password per un account che può.

Per aggiungere agli altri: dai un'occhiata alla lista:

They want to install Office, Outlook, an AV and some site certificates.

Perché?

Installare Office significa insegnare una dipendenza da un grande fornitore in anticipo. Gli insegnanti dovrebbero insegnare in un certo senso, che funzioni anche in libreoffice o anche in altri programmi di ufficio. La maggior parte delle cose fatte nelle scuole non usano comunque le funzionalità avanzate di una suite per ufficio speciale. Un insegnante mediatico dovrebbe concentrarsi sulle tecniche di insegnamento, non sui programmi, che possono essere applicati a diversi programmi simili. È molto più utile insegnare come scoprire quale pulsante rende il testo in grassetto che imparare a memoria come appare il pulsante in una specifica versione di MS Office.

Perché hanno bisogno di Outlook? Esistono diversi buoni programmi di posta elettronica, alcuni anche gratuiti *. Direi che Outlook non è il programma di scelta per la maggior parte degli alunni e nella mia esperienza gli utenti più tipici non utilizzano affatto un programma di posta elettronica, ma la posta elettronica.

L'AV è comunque contestato, leggi le lunghe discussioni su come l'AV può essere "olio di serpente", gli exploit nei programmi AV e l'idea generale di rendere un sistema più insicuro eseguendo un programma complesso con privilegi elevati.
Mentre gli AV erano spesso raccomandati in passato, molti esperti raccomandano oggi di utilizzare solo ciò che il sistema porta con sé (ad esempio Windows Defender per Windows).
Anche quando vuoi un AV possibilmente migliore, tu dovresti decidere quale, non la persona IT della scuola. Soprattutto perché alcune soluzioni sono basate sull'abbonamento e provano a vendere l'abbonamento dopo un periodo di prova gratuito e si spengono se non lo si acquista.

"alcuni certificati del sito" suona come "Man in the middle tools". Ciò che potrebbe andare bene sulla loro rete, è un vero rischio per la sicurezza quando il laptop personale viene utilizzato da qualche altra parte, perché non si sa chi potrebbe avere le chiavi. Ad esempio alcune appliance di sicurezza MITM utilizzano CA intermedie, che non sono limitate alla singola appliance, ma a tutte le appliance vendute dalla società. Questo significa che con il laptop preparato dalla scuola, il traffico potrebbe essere annusato anche in altre reti.

Dare comunque l'accesso all'amministratore è una cattiva idea (sai cos'altro potrebbero installare o se i loro media sono infetti?) e insegna ai bambini a concedere diritti di accesso alle persone solo perché insistono su di esso. La prossima volta che l'ispettore della password li chiamerà, forniranno anche l'accesso all'amministratore, perché lo fai, vero?

Quindi o dovrebbero distribuire laptop scolastici o lavorare con ciò che hanno i bambini, ma non richiedono di essere amministratori e installare roba.

* sia come in birra che in libertà

Per ridurre al minimo le tue seccature, ti suggerisco di informarti sulle specifiche minime e acquistare tuo figlio un laptop "di lavoro" da utilizzare solo per la scuola . Quindi lascia che facciano quello che vogliono. Quindi la scuola è in errore per qualsiasi problema e non hai più lavoro con esso.

Se sei budget limitato , allora la prossima soluzione migliore che continua a fornire completa separazione e sicurezza antimanomissione del sistema operativo domestico al costo di qualche lavoro aggiuntivo è questo:

1. Backup
2. Chiedi / pensa allo spazio minimo del disco rigido per un sistema operativo della scuola.
3. Crea una partizione che ingrandisca / riduca il resto.
4. Installa Windows su di esso.
5. Cripta la home os (Veracrypt può crittografare Windows senza reinstallarlo, alcune versioni di Windows possono avere quell'abilità integrata e molte distribuzioni Linux offrono la crittografia durante l'installazione)
6. Backup di nuovo.
7. Lascia che la scuola faccia ciò che vuole. Magari mettere una nota sul computer in modo esplicito dicendo loro di lasciare lo schema di partizione da solo e che la partizione crittografata è un dato privato (non c'è bisogno di elaborare - un sistema operativo è anch'esso un dato). Forse imposta il computer in modo che non visualizzi il gestore di avvio, ma avvia subito il sistema operativo della scuola.
8. Se hanno incasinato l'installazione crittografata, usa il backup per risolvere il problema. Abilita nuovamente il menu di avvio se lo hai disabilitato.

Non sono sicuro di aver bisogno di una seconda licenza di Windows per questo.

Altrimenti dovrai compromettere e probabilmente avrai molto più lavoro a lungo termine.

Se fossi un genitore, direi di no con fermezza. Ciò è dovuto principalmente al fatto che il laptop è pagato dal genitore. Dovresti avere il controllo su ciò che acquisti, e credo che lo stia già spingendo a chiedere ad ogni genitore di acquistare un laptop per il proprio figlio e portarlo a scuola (soprattutto se credi che la tecnologia non apporti benefici all'apprendimento).

Capisco che vorrebbero che alcune applicazioni siano installate sul computer, le applicazioni di produttività come Office sono ragionevoli (anche se è possibile installarle da soli). Con Windows Defender e un buon firewall di rete, non dovrebbe essere necessario un altro AV.

Un certificato del sito è uno dei problemi principali che vedo in questo, dal momento che è di gran lunga il più invasivo. Tutti i nomi utente, le password e altri dettagli personali inviati attraverso la rete scolastica sono visibili alla scuola. Se si verifica una violazione della sicurezza, è possibile che queste informazioni possano farne parte. Fai delle ricerche su quale sistema firewall utilizza la scuola e il loro track record di sicurezza passato.

Se siete d'accordo, chiedete almeno un elenco di software da installare e chiedete di essere aggiornati quando viene installato un nuovo software nel sistema. Fai ricerche sul software e sulla loro credibilità. Controllare regolarmente l'elenco dei programmi di Windows.

Sono uno studente, ho visto il modo in cui il mio consiglio scolastico si è occupato della sicurezza della rete. La rete è piena di problemi di sicurezza: accessibilità dei server di sviluppo su Internet pubblico, attacchi di directory directory, escalation di privilegi su determinati servizi web, ecc. C'è una ragione per questo: essi acquistano dal più basso offerente. Detto questo, assicurati che tutto il software che installano provenga da società affidabili.

Un altro commento: alcuni corsi hanno un requisito specifico per utilizzare Microsoft Office, quindi l'installazione di altri software per ufficio potrebbe non essere un'opzione.

Sebbene molte risposte qui delineano i potenziali pericoli derivanti dall'accesso all'amministratore da parte di qualcuno, va anche notato che è anche uno strumento ragionevole per il lavoro che la scuola IT sta per fare. Questo è quello che chiederei ai genitori se dovessi farlo, poiché spiegare come configurare correttamente il proprio sistema sarebbe un vicolo cieco. L'80% di loro non saprebbe nemmeno che cos'è un certificato.

È vero che i diritti di amministratore possono essere facilmente abusati, ma se ti fidi della tua scuola, non mi preoccuperei troppo di ciò. Pensaci in questo modo: ti stai chiedendo se quei ragazzi abuseranno del loro accesso a un laptop, ma non hai nessun problema a lasciarti con loro per tutto il giorno, ogni giorno. Sei sicuro che il laptop sia la cosa di cui ti devi preoccupare qui?

Tra l'altro, anche se scegli di istruire l'IT scolastico sulle migliori pratiche, le loro licenze di Outlook non si trasformeranno in seminari Linux per insegnanti. Sono d'accordo che è una nobile causa per cui combattere, ma nella tua situazione è troppo tardi per cambiare davvero qualcosa.

La scuola "ha bisogno di installare certificati"? Questa è sicuramente una bandiera rossa .

Per quanto riguarda l'installazione di Office, direi di installarne una copia sul computer piuttosto che lasciare che sia la scuola a farlo. Mentre alcune scuole offrono questo servizio (la community college offre l'accesso gratuito a Microsoft Office 365 a cui è possibile accedere online anche se l'utilizzo delle app sarebbe migliore), ancora una volta è una bandiera rossa . Installa o abbonati a Office 365 (con uno sconto per studenti) oppure apri l'open source e utilizza Libre Office.

Il fatto che la tua scuola lo voglia fare sembra meno un servizio ai genitori e più un'invasione della privacy sugli studenti, qualcosa che non accetterei seriamente specialmente se ci sono ulteriori motivi che sembrano lì sono.

Il maggior accesso che la tua scuola dovrebbe avere per entrare nel computer di tuo figlio dovrebbe essere solo la password Wifi. Oltre a ciò, ottenere qualcosa per iscritto spiegando esattamente cosa vogliono mettere lì.

Se superano la cima (che ha dato la paranoia di molti distretti scolastici) e cercano di rinforzare voi o i vostri figli facendo in modo che sia coinvolto il funzionario delle risorse studentesche (che è generalmente assunto dal dipartimento di polizia locale) ), asserisci che hai il diritto di dire di no. Dì loro di ottenere un mandato.

Se viene effettuato un arresto per forzare una ricerca illegale del dispositivo, questo è illegale.

Poiché hai acconsentito a consentire alla scuola di accedere al computer di tuo figlio, hai dato alla scuola o al distretto scolastico il diritto di consentire alla polizia di accedere a quel dispositivo tramite una terza parte che ora ha il controllo sul dispositivo. (Questi certificati possono essere usati dalla scuola per entrare nel computer.)

In futuro, MAI acconsenti a consentire agli estranei (anche se è la scuola di tuo figlio) di accedere al tuo computer senza leggere a fondo la stampa fine.

Conosci i tuoi diritti in modo che la scuola non utilizzi forze dell'ordine o viceversa, nei tuoi confronti o nei tuoi figli.

Se qualcuno vuole un accesso amministrativo al mio personal computer, ho sempre bisogno che riconosca quello che vogliono fare con quel privilegio. Il grado di dettaglio dipende da chi è la persona, e per il dipartimento IT di una scuola, richiederò di riconoscere quanto segue:

• Quali software esatti, incluse le versioni, stanno per installare; Per quali software sono destinati a essere utilizzati? Se possono essere rimossi in seguito in modo pulito
• Quali certificati verranno installati? Qual è lo scopo dell'installazione di tali certificati (cosa dovrebbero essere); Se i certificati sono firmati da una parte fidata (VeriSign, ecc.) O sono fatti a mano

IMO, un certo livello di monitoraggio da parte dei genitori sarebbe un bene per un bambino / bambino, ma la sorveglianza digitale da parte di una parte che può o meno essere direttamente responsabile delle attività del bambino potrebbe essere un incubo.

Dalla mia esperienza, i dipartimenti IT delle scuole di solito assorbono quello che dovrebbero padroneggiare. Ho persino hackerato il sistema di gestione online della mia scuola media due volte (e ho abbandonato il loro database). Quindi, come consiglio generale, è meglio rifiutare la richiesta di accesso amministrativo a qualsiasi dispositivo che possiedi, dal reparto IT di una scuola, o ottenere un "dispositivo di masterizzazione" come suggerito in altre risposte.

Se non è, o quasi, possibile rifiutare la richiesta o ottenere un "dispositivo di masterizzazione", prenderei in considerazione l'applicabilità delle seguenti opzioni:

• Richiedi che il software mi venga fornito per eseguire la valutazione e l'installazione da solo
• Crea un backup completo del sistema (anche i punti di ripristino per Windows) per il ripristino successivo
• Installa software aggiuntivo per monitorare / limitare / isolare quei "software scolastici"
• Guarda l'intero processo di installazione

Inoltre, questi fattori devono essere presi in considerazione prima di procedere

• Attacco "Man in the middle" reso possibile da certificati non attendibili
• conflitto software AV
• Perdita di privacy (quale software carica cosa a dove non si conosce)

Riassumendo, è importante separare il proprio "ambiente di lavoro (o studio)" e "area personale" e impostare livelli di fiducia diversi per le diverse parti in causa.

Il tuo controllo commerciale per comodità. Dovresti usare il portatile solo per il suo uso scolastico e nient'altro visto che non hai idea di cosa ci metteranno sopra. Dato che non ci sarà nulla di personale su di esso ora o in futuro, penso che reagire a questa situazione sarebbe negativo. Tratta come un telefono bruciatore. Potrebbe sembrare sbagliato, ma sarebbe meglio se distribuissero laptop scolastici già caricati e che il bambino lo usasse? No. Non batteresti nemmeno.

È come lasciare che qualcun altro cambi l'olio nella tua auto. Potresti farlo o potresti permettere a qualcuno di farlo magari giusto, sbagliato o rovinare qualcosa con la tua auto. Davvero non sai nemmeno se hanno cambiato l'olio a meno che non controlli o quale olio ci metti dentro.

Vorrei aggiungere che al bambino dovrebbe essere detto di solo usare quel computer per scopi scolastici (non comprare cose da esso, giocare, scaricare materiale o addirittura usarlo con altri account ). Dopo la laurea o se diventa ridondante o sostituita, reinstallare il sistema operativo originale (con Windows, c'è un'opzione di cancellazione del disco sul supporto di installazione - usarlo) per assicurarsi di non lasciare localizzatori o spyware sul dispositivo (anche se questo determina la perdita totale dei dati a meno che non venga eseguito il backup dei file. Fai attenzione se esegui un backup di questo tipo poiché desideri solo trasferire i file che conosci sono tuoi.

A parte il fatto che i certificati rappresentano un enorme suggerimento che probabilmente il MITM sta succedendo (ficcanaso su traffico Web presumibilmente criptato che DOVREBBE essere protetto - come accessi o acquisti) o caratteristiche di "sicurezza" strane / non necessarie, è apparentemente abbastanza possibile installare un software che non può essere rilevato o disinstallato (gli hack di registro possono farlo, oi rootkit possono essere usati, anche se quest'ultimo potrebbe essere visibile a un altro antivirus).

Un archivio entra in contatto con qualcosa come i post di TuxedoJack su Reddit sul supporto tecnico e ti dirà anche alcune delle cose che possono fare con i tuoi dispositivi - e non solo per motivi scolastici. Questo può includere il monitoraggio, la lettura remota dei tuoi file, il keylogging e anche le funzionalità BSOD remote, specialmente se utilizza anche una VPN (nota anche che anche scansioni antivirus indipendenti da materiale di avvio alternativo potrebbero non trovare versioni commerciali di tale software, per motivi di sicurezza o perché il software potrebbe non essere a conoscenza di tutti questi strumenti!). Ci sono numerose storie di persone che hanno rintracciato un computer rubato che non è stato "nuked" con una nuova installazione. (E, del resto, alcuni software possono essere eseguiti dal BIOS / UEFI, ma non c'è un buon modo per evitarlo: è meglio sperare che non abbiano quel tipo di capacità che provare a rilevarlo. )

Come già affermato in altre risposte, la creazione di una macchina virtuale per l'ambiente scolastico può essere la risposta ottimale. Non costa nulla in hardware aggiuntivo, mantiene l'ambiente scolastico isolato dall'ambiente personale, consente al bambino di accedere a tempo pieno al miglior hardware possibile e consente alla scuola di fare ciò che desidera con la VM, su cui è possibile il bambino può ancora mantenere il controllo di supervisione. L'host O / S non ha bisogno di essere Linux; può essere qualunque cosa tu o tuo figlio preferiate; ci sono soluzioni VM (come VMware) che possono ospitare Linux o Windows su qualsiasi altro O / S popolare (Apple, Windows, Linux). Windows ha la sua soluzione VM, anche se ci possono essere considerazioni sulle licenze / prezzi: è necessaria almeno un'edizione Pro per essere un host Hyper-V. Se il guest O / S è Windows, potrebbe esserci ancora una considerazione sulla licenza. Anche con queste considerazioni, potrebbe essere la soluzione meno costosa / più conveniente che soddisfi le preoccupazioni / i requisiti di tutti.

La soluzione più semplice (al di fuori di ottenere un laptop con masterizzatore) è come fare:

1. riformatta la macchina
2. Lascia che la scuola faccia tutto ciò che desidera con il laptop, per quanto a lungo vorranno
3. riformatta nuovamente la macchina e questa volta installa solo il software effettivamente necessario per il lavoro scolastico

Questo ti consente di avere la tua torta e di mangiarla anche tu: il dipartimento IT della scuola pensa che il tuo portatile esegua il software mentre in realtà esegue solo software approvato da te.

Sono un professionista della sicurezza. C'è una risposta molto semplice: se qualcun altro ha accesso amministrativo al tuo dispositivo, non è più il tuo dispositivo.

Una soluzione relativamente facile sarebbe installare una VM "for school" e fornire all'amministratore della scuola l'accesso all'amministratore IT all'interno di quella VM.

Alcune spiegazioni più lunghe:

No, il controllo successivo non è sufficiente contro un utente malintenzionato. Se ti fidi della scuola abbastanza da farti credere che non siano maliziosi, puoi stare tranquillo controllando il loro lavoro. Un attore malintenzionato ha dozzine di modi per nascondere i rootkit o il malware in modi che non troveranno nulla a che fare con un'analisi forense completa.

La richiesta scolastica è ragionevole in quanto vogliono garantire lo stesso ambiente per ogni bambino. Non dovrebbero avere alcun motivo per essere contrari ad avere un ambiente separato (VM).

Si riduce davvero a un disco rigido.

È possibile scambiare o cancellare l'HDD / SSD in qualsiasi momento e annullare tutte le modifiche apportate. Probabilmente è possibile eseguire il backup dello stato del laptop e ripristinarlo all'interno di una VM o di un'unità esterna, quindi fare avviare / avviare il bambino durante il lavoro scolastico.

Mi piace usare Clonezilla per copiare e fare il backup dei miei dischi.