Internet sperren für Prüfungssituationen

  • Huii, kaum mal 2 Jahre weg, schon is alles anders. Re-Hallo zusammen

    Nun, ich arbeite an einer Schule als Informatiker, die Schüler müssen ab und zu Prüfungen am Computer durchführen.

    Hierfür müssen wir das Internet sperren können. (jedoch nur teilweise, weil das ganze mit Office 365 stattfindet, und sich die Lizenz beim Start von z.b. Word sich nicht aktivieren lässt, wenn die Verbindung grundsätzlich gekappt wird.

    Somit möchte ich ein Programm schreiben welches den Internet Zugang limitieren kann. Also "alles gesperrt, ausser (...)"

    Lässt sich sowas mit AutoIT realisieren (ich geh mal schwer davon aus)?

    Hat vielleicht jemand einen Ansatz, wie ich das angehen kann?

    Sorry, war 2 Jahre kein Informatiker mehr, und bin völlig eingerostet, brauche etwas Starthilfe.

    Naja, vielleicht hat ja jemand ein Ei des Kolumbus oder so.

    Seid mal lieb gegrüsst

    Flo

  • Naja, die erste Frage wäre natürlich, ob es eine Option ist, von Office 365 wegzugehen und stattdessen Opensource Software wie OpenOffice zu nutzen. (Btw. die sinnvollste Methode, da Schüler gleich lernen, dass es gute kostenlose Software gibt, statt der teuren Microsoft Office software.)

    Blockieren ist sonst so nicht einfach möglich, dafür müssten meines Wissens nach extra Treiber installiert werden und das wird recht schnell kompliziert.

    Was gehen sollte, wäre das du in cmd mit "netstat -tabn" alle aktiven Verbindungen ausließt. Dabei kannst du einen Filter einbauen und die Aufsichtsperson bei der Klausur wird benachrichtigt, wenn dort eine neue Verbindung auftaucht, die nicht gefiltert wird. (Der Prozess, der die Verbindung herstellt wird ebenfalls angezeigt)

    (netstat -tabn benötigt Administratorrechte #requireAdmin)

  • Blöde Frage, da ich selber nicht mit Office 365 arbeite: Was wäre, wenn die Schüler Office 365 starten und du die Verbindung danach kappst?

    Normalerweise müsste Office sich doch nur beim Starten wegen der Lizenz "erkundigen" und danach braucht es die Verbindung nicht mehr oder sehe ich das falsch?

    Das wäre dann die einfachste und kostengünstigste Variante.

    Ich würde es dann so machen:

    1. Auf dem PC des Lehrers läuft ein Programm, welches einen lokalen (freigegebenen Ordner) überwacht.

    2. Du hast ein Programm auf den Schüler-PC's welches Office startet

    3a. Optional: Das Programm fragt den Schüler nach seinem Namen. Dieses Programm legt eine Datei (ohne Inhalt) auf dem PC des Lehrers ab, mit dem Namen des Schülers. (Gibt hierfür auch sicherlich bessere Lösungen!)

    3b. Dieses Programm legt eine Datei (ohne Inhalt) auf dem PC des Lehrers ab, mit der PC-Kennung des Schüler PC's. (Gibt hierfür auch sicherlich bessere Lösungen!)

    4a. Optional: Das Programm vom Lehrer schreibt ein Deaktivierungspasswort (verschlüsselt?) in die Datei. und vermerkt im Lehrerprogramm, das dieser Schüler-PC das Programm gestartet hat und das generierte Passwort wird im Programm gespeichert und kann nur (je Platz) durch ein MasterPasswort sichtbar gemacht werden. (Office soll ja nicht manuell gestartet werden).

    4b. Das Programm löscht die Datei und vermerkt im Lehrerprogramm, das dieser Schüler-PC das Programm gestartet hat. (Office soll ja nicht manuell gestartet werden)

    5a. Optional(4a): Das Schülerprogramm überwacht seine erstellte Datei und liest das Passwort ein (sobald vorhanden) und löscht die Datei. Danach wird die Internetverbindung gekappt (über host).

    5b. Die Internetverbindung wird gekappt (über host).

    6. Optional: Ggf. musst du den Taskmanager, Alt+F4 etc. auch für diese Zeit sperren, wobei die Internetverbindung ja gekappt bleibt da dein Programm nicht Ordnungsgemäß beendet wurde.

    7. Das Schülerprogramm kann nur durch Eingabe eines Passwortes (Standard oder -> 4a) wieder beendet werden, da du beim Beenden des Programms die Sperre wieder aufheben würdest.

    8. Nach der Abgabe der Prüfung:

    - Bei generiertem Passwort: Kann der Lehrer dem Schüler das Passwort geben und dieser kann das Programm beenden -> Sperre wird aufgehoben.

    - Bei "Standard" Passwort: Der Lehrer muss jeden PC einzeln selber entsperren. Ständiges Updaten für Passwortänderungen wäre hier erforderlich.

    Ergänzung: Falls Office die dauerhafte Internetverbindung braucht, mal alternativ überlegt zu überwachen ob die installierten Browser gestartet werden (iexplore.exe)? Und wenn ja werden sie sofort geschlossen! Hätte den Vorteil, dass wenn ein Schüler aus versehen Office beendet, dieses auch wieder sofort starten kann. Ich gehe mal davon aus, das Schüler keine Programme installieren dürfen und somit keine unbekannten Browser vorhanden sind? Das geht aber nur zuverlässig wenn wie gesagt Alt+F4 etc. (temporär) Abgeschaltet sind.

    11 Mal editiert, zuletzt von Moombas (26. Oktober 2018 um 16:01)

  • Je nachdem wie viel Kontrolle man noch über das System hat könnte man auch einfach alle Anfragen gegen localhost laufen lassen.

    Proxifier kann das z.B., aber man kann es dann natürlich in der GUI dementsprechend deaktivieren.

    Mal ein ganz einfacher Vorschlag, warum haben die Schüler nicht 5 Minuten Office zu starten und sich den Rechner einzurichten und dann wird der Stecker gezogen (also vom Switch)?

    Kurz noch einmal rumgehen und schauen ob irgendwo andere Dokumente offen sind und die Prüfung kann doch losgehen?

  • Du kannst das über die versteckte "C:\Windows\System32\drivers\etc\hosts" (die 'hosts' Datei hat keine Dateiendung) machen.
    Ich glaube dieser Inhalt sollte dich komplett vom Internet trennen, weil alles nach localhost (also dein eigener Rechner) umgeleitet wird.


    #[IPv4]
    127.0.0.1 localhost

    127.0.0.1 *


    #[IPv6]

    ::1 localhost
    ::1 *


    VG
    -HeiWoMa-

    Viele Grüsse
    HeiWoMa

  • HeiWoMa: Auch eine Möglichkeit aber was wenn du (und man sollte alle Eventualitäten bedenken) sehr schlaue Schüler hast, die das raus bekommen und die host vorher sichern und in der Prüfung überschreiben? Schon ist diese "Sicherung" pfutsch.

  • HeiWoMa: Auch eine Möglichkeit aber was wenn du (und man sollte alle Eventualitäten bedenken) sehr schlaue Schüler hast, die das raus bekommen und die host vorher sichern und in der Prüfung überschreiben? Schon ist diese "Sicherung" pfutsch.

    Ohne Adminrechte kannst du die hosts nur, wenn überhaupt, lesen. Haben die Benutzerkonten der Schüler keine Adminrechte müssten sie schon eine Lücke im Windows Betriebssystem finden wenn das Adminkontopasswort grad nicht 12345 lautet.

  • Haste Recht, nicht bedacht ;) Zumindest sollte dem so sein^^

    Hab das mal in meinem Vorschlag für Landfloh ergänzt.

    Den Vorschlag mit OpenOffice kann ich nur vor warnen, zumindest wenn man es nur für die Prüfungen machen würde.

    In einer Prüfung hat man keine Zeit/Lust sich mit neuen Bedienungen und Funktionen eines anderen Programms rum zu ärgern.

    Wenn man OpenOffice generell nutzen würde wäre es was anderes.

    Und sonst wäre deine Alternative mit "Stecker ziehen am Switch" (sofern dieser überhaupt zugänglich ist), die von der Umsetzung einfachste Möglichkeit.

    3 Mal editiert, zuletzt von Moombas (26. Oktober 2018 um 15:25)

  • Und so ungerne ich es auch sage, den Stecker zu ziehen ist die EINZIGE Lösung die Computer sicher vom Internet zu trennen. Ich war selbst mal Schüler, und konnte sämtliche auferlegten Sperren nach kurzer Zeit problemlos umgehen. (gut, bei uns waren die Sperren auch nicht sonderlich ausgeklügelt).

    Zusätzlich würde ich auf jedem Computer USB deaktivieren (falls die Computer noch alt genug sind, dass Maus&Tastatur&Bildschirm keinen USB-Anschluss brauchen), damit die Schüler kein Tethering benutzen.

    lg

    M

  • Ich erinnere mich gern an die Zeiten, als Software mit Dongle lizensiert wurde

    Dann wirst Du Dich sicher auch noch an die Dongle-Kaskade erinnern. Irgendwann hingen die Dinger (so ab dem sechsten Teil) bis zum Boden herunter, und man musste den PC von der Wand wegziehen ;).

    Gruß Musashi

    86598-musashi-c64-png

    "Am Anfang wurde das Universum erschaffen. Das machte viele Leute sehr wütend und wurde allenthalben als Schritt in die falsche Richtung angesehen."

  • Seh ich wie meine Vorredner. Sicher gewährleisten kann man das nur wenn man das Netzwerk wirklich an zentraler Stelle kappt, sprich am Switch. Auch der Hinweis USB Ports zu sperren ist sehr wichtig, denn wenn ich bescheissen will brauch ich dazu nicht zwingend internet, sondern nur meinen Spickzettel. Den kann man sich im Übrigen auch ganz altmodisch in Papierform anfertigen oder etwas moderner auf dem Smartphone oder Taschenrechner (grins) speichern. Clevere Schüler legen sich sowas vielleicht auch rechtzeitig auf dem Rechner im Profilordner ab. Die Möglichkeiten zu Bescheissen sind einfach verdammt groß wenn man Prüfungen am PC ermöglicht.

    Zurück zur Frage... technische Möglichkeiten das Internet zu sperren oder zu beschränken gibt es etliche:

    - Physikalisch durch trennen der Netzwerkverbindung

    - Per zentraler Firewall

    - Per spezialisierter Software (z.B. Produkte bzgl. Kindersicherung)

    - Per Script, welches die HOST Datei manipuliert

    - Per Script welches die Netzwerkeinstellungen manipuliert (kein Gateway, kein DNS)

    Wirksamer als technische Sperren sind aber evtl. Abschreckung und entsprechende Sanktionen.

    Bei uns wurde z.B. angeblich eine Software eingesetzt, welche es dem Lehrer PC ermöglicht jederzeit den Bildschirminhalt aller Schüler PCs einzusehen. Ob das wirklich so war kann ich nicht sagen, jedenfalls wurde man in den IT Richtlinien darauf hingewiesen. Dadurch kann man wie mit einem Spickzettel jederzeit erwischt werden. Sind die Sanktionen entsprechend hoch wird sich jeder sehr genau überlegen ob er das Risiko eingehen möchte.

    Prinzipiell könnte man das sogar so erweitern, dass die gesamte Session jedes Prüflings komplett mitgeschnitten wird und nach Prüfungsende überprüft werden kann.

    Einmal editiert, zuletzt von misterspeed (26. Oktober 2018 um 21:42)

  • - Per zentraler Firewall

    Den Vorschlag finde ich tatsächlich am besten. Wenn ihr bei euch an der Schule schon so Microsoft-verbunden seid, dann habt ihr ja mit Sicherheit nicht nur 20 Client-Rechner in einem Raum stehen, sondern es existiert auch irgendwo ein Windows Server und ein Active Directory. Falls ja, würde ich einfach bei Bedarf über eine Gruppenrichtlinie die Firewall-Einstellungen auf den Zielrechnern so einstellen, dass ausschließlich Verbindungen zum DC und zu *.microsoft.com (o.Ä.) hergestellt werden dürfen. Per AutoIt könnte man dann noch ein gpupdate auf den Zielrechnern durchführen, weiß nicht, ob das zwingend nötig ist. Das ist allemal besser als selbstgeschriebene Frickellösungen. Und eine Gruppenrichtlinie in einem AD bekommt man ohne administrative Rechte auch nicht so schnell ausgehebelt.

    Wir haben damals in der Schule viel mit der Windows Firewall administriert und gearbeitet. Es gab bspw. eine Software aus dem Fachbereich Biologie, deren Hersteller mittlerweile insolvent gewesen ist. Allerdings hat die Software bei jedem Start versucht, den Herstellerserver nach Updates zu fragen. Allerdings war da ein Timeout von ~10 Minuten gesetzt. Nervig ohne Ende. Also einfach die Verbindung zu diesem Host per Firewall deaktiviert und fertig, Programm startet ohne Verzögerung. ^^

  • Naja ich meinte schon eine zentrale Firewall und nicht die lokale. Denn bei deiner Variante bist du darauf angewiesen, dass der Nutzer keine Kontrolle darüber erlangt ob und wie die Firewall konfiguriert wird, was prinzipiell denkbar wäre. Viel besser ist es wenn der Nutzer keine Chance hat die Firewall zu konfigurieren, sprich eine Hardwarefirewall über die der Internetverkehr des ganzen Standortes abgwickelt wird. So handhaben wir das in unserer Firma. Wir können problemlos bestimmte Subnetze unterschiedlich reglementieren, die Verwaltungsoberfläche ist nur aus einem administrativen Subnetz erreichbar.

  • Naja, wer als Schüler die per GPO vorgegebene lokale Firewall aushebeln kann, der hat's auch verdient, zu spicken. :D

    Grundsätzlich ist eine Hardware-Firewall natürlich besser geeignet, obwohl auch diese umgehbar ist. Aber verglichen mit einer reinen Software-Lösung (vorhandenes AD vorausgesetzt) steht hier ja ein anderer Kostenfaktor im Raum. Ich weiß noch, was es für ein Krampf war, in der Schule Anträge für neue Hardware durchzubekommen. Und ich war schon Mitglied in allen wichtigen Gremien wie SchuKo usw... Ich könnte mir schon denken, was für eine Diskussion bei 400 Euro für einen Switch mit Firewall fällig wären.

  • Kenn ja die Umgebung nicht, aber oft ist sowas bereits Teil der Infrastruktur, daher auch der Hinweis darauf. Grundlegende Netzwerksicherheit sollte auch in einer Schule vorhanden sein. Gibt da ja sicher nicht nur Schüler Clients, sondern auch Clients und Server der Verwaltung, welche grundsätzlich schonmal netwerktechnisch separiert gehören. Wenn eine Schule Prüfungen am PC ermöglicht erwarte ich schon, dass eine entsprechende IT Infrastruktur vorhanden ist.

    PS: Das Empfangen der "sicheren" GPO kann man ganz simpel durch kurzes Trennen des Netzwerkkabels am Client im richtigen Moment verhindern. Da brauch ich weder Adminrechte noch irgendwelche Zero-Day Lücken dafür.

  • War bei uns nur begrenzt der Fall. Heißt: Die Verwaltung hatte zwar ein separiertes Netz, welches auch mit intelligenten Switches unterteilt war, aber wir (mit Wartung beauftragte Lehrer und Schüler) hatten nur Zugriff auf unser abgekapseltes Subnetz, ohne an die Switches zu dürfen.

    Gut, das passiert ja hoffentlich, bevor Schüler den Raum betreteten. Sonst könnte man ja auch einfach den Au3-Prozess, der gpupdate ausführt, abschießen.

  • Gut, das passiert ja hoffentlich, bevor Schüler den Raum betreteten

    Ich würde das Kabel einfach am Tag oder Kurs davor abziehen :P

    Sofern du einfacher Benutzer bist wirst du dich schwer tun Prozesse abzuschießen die im Kontext eines Administrators oder gar SYSTEM Dienstes laufen. Das kann man schon entsprechend verhindern. ;)

    Auch gegen Manipulationen der Hardware (wie z.B. Trennen des Netwerkkabels) kann man sich schützen. Bei uns waren deswegen alle Clientrechner in abgeschlossenen Tischboxen ohne direkten Zugang zur Verkabelung.

  • Hm, vielleicht habe ich da einen anderen Grad an Professionalität im Kopf.

    Wir hatten einen einzigen Computerraum mit insgesamt 14 Clients. Sind in meinem letzten Schuljahr alle auf Windows 8.1 umgestellt worden. Das waren einfache Desktoprechner mit Unterklasse-Ausstattung. Darauf lief dann wie bereits gesagt Windows in einer Home-Variante, nicht mal Pro (d.h. keine Domänenfunktionen). Zur Absicherung haben wir praktisch nur uralte PC-Wächter-Karten gehabt, mehr nicht. Der Switch war so ein TP-Link-Ding, ohne smarte Funktionen. Da haben wir auch sehr viel mit AutoIt-Skripten administriert, vorher (=> die AutoIt-Skripte habe ich in der 9. Klasse programmiert) wurde Turnschuh-Administration gemacht, d.h. bei einem Update von LibreOffice hat der zuständige Lehrer einen kompletten Nachmittag geopfert und jedes Update an jedem Rechner von Hand installiert.

    Aber auch wir haben schon Prüfungen an diesen Rechnern geschrieben, damals noch auf Windows XP. Das war aber vor der Zeit, in der ich aktiv bei der Administration mitgewirkt habe. Lief damals über eine Software namens NetSupport School.

  • Ich war zugebenerweise auch auf einer auf IT spezialisierten Schule und hab da meine Ausbildung zum Informatiker gemacht. :P

    Aber selbst da gab es Sicherheitsvorfälle wie "Fake Windows Anmeldebildschirme" um Zugangsdaten abzugreifen... die IT dort hat es sicher nicht leicht ihr Netzwerk sicher zu halten.