La necesidad de instalar cosas es el tipo de necesidad de la computadora portátil, por lo que tiene mucho sentido que quieran instalar Office, AV y certificados. No hay sorpresas allí. Para hacer eso, necesitan acceso de administrador, pero me gustaría revocar ese acceso una vez que hayan terminado.

Me gustaría saber la lista de todo lo que desean instalar, y si tienen control central sobre el AV (y si lo hacen, por qué quieren eso).

Si te preocupa que puedan instalar malware, descarga un Live CD de un programa antimalware y ejecútalo en la computadora portátil una vez que hayan terminado.

Si la computadora portátil solo se usa para el trabajo escolar, realmente no hay daño aquí. Si su hijo lo usará para otras cosas, entonces puede haber algunos conflictos de privacidad.

La avalancha de comentarios y la división de votos resalta una diferencia en la comprensión del modelo operativo aquí. Esta no es una situación en la que la escuela quiera el control repentino de un dispositivo personal. Esta es una situación en la que la escuela le está pidiendo a los padres que compren un dispositivo para que la escuela controle y esta respuesta debe aplicarse en este modelo. La escuela debe poder controlar el dispositivo como parte de la atención debida (y recuerde que el niño en este caso es menor de edad; 12 o 13). En cuanto a la protección de la privacidad del niño, mi consejo es que se asegure de que el dispositivo solo se utilice para tareas escolares.

El hecho de que el padre puede retener el control administrativo es una gran cosa para la protección del niño, algo que no sería posible si la escuela fuera propietaria del dispositivo. El padre puede hacer un inventario, parchear y desinstalar .

Este modelo operativo significa que la escuela puede garantizar la coherencia del software, que sería necesario para la coherencia de la enseñanza, reduce el costo para la escuela (sí, aumenta los costos directos para los padres, pero ofrece opciones rentables) y Ofrece los debidos controles para la protección del niño. Solo tiene que cambiar su forma de pensar de que solo porque compró el dispositivo no significa que deba tener 100% de control del dispositivo.

Y nuevamente, con la nueva avalancha de comentarios, digo: considera la idea de un dispositivo "quemador" . Usted es el propietario, pero está destinado a estar, al menos en parte, fuera de su control y clasificado adecuadamente para ciertas actividades.

Si el modelo operativo era que la escuela quería un control repentino de un dispositivo personal, mi respuesta sería muy diferente (más como AviD).

Puede ser que sea porque ya soy "ese padre", pero sería un fuerte NO de mi parte, y la administración de la escuela hablaría mucho sobre esto. Presionaría para que se cambie esa política (aunque sin mucha esperanza), para todos y no solo para mi propio hijo.

Hay problemas de privacidad. Temas de seguridad. Problemas potencialmente legales: ¿el software tiene licencia? ¿Agrietado? ¿Están registrando todo el tráfico de la computadora portátil, o más? ¿Quieren instalar software personalizado?
Y, ¿por qué están pidiendo todo esto? Qué justificación podrían tener ellos.

• Quieren asegurarse de que los niños estén seguros en línea.
  Bien, requiere alguna forma de control parental. Es su computadora portátil, es su hijo, es su responsabilidad. (Por ejemplo, la escuela de mi hijo requiere filtrado de contenido en los teléfonos inteligentes que se traen a la escuela. Ellos "exigen" alguna aplicación dudosa por parte de un compañero local. Rechacé e instalé una aplicación adecuada).

• Quieren asegurarse de que las computadoras portátiles de los niños estén seguras. Genial, primera lección "cómo mantenerse seguro en línea". Require Windows Defender (o algún otro AV / AM) está activo y actualizado, etc. Aunque esto realmente no debería importar a su red ...

• Quieren asegurarse de que los niños no estén accediendo a sitios ilegales o inapropiados.
  En primer lugar, solo les concierne dentro / durante la escuela. Ninguno de sus negocios en casa ... Y pueden configurar fácilmente un proxy bloqueado para la red de la escuela.
  Y de nuevo, en casa todavía deben tener el software de control parental / filtrado de todos modos.

• Quieren educar a sus hijos.
  Oh ellos? Porque esto suena como lo contrario de eso. Esta es una oportunidad educativa, una verdadera mina de oro para varios temas, y van por el otro lado.

Es posible que deba discutir con los maestros, el director, la junta escolar ... Es posible que deba reeducar sobre esto. Incluso podría perder, pero luchar contra esto es lo correcto, como @Mike y algunos de los comentaristas mencionados, la mejor oportunidad para enseñar a sus hijos a salvaguardar su propia privacidad y evitar demandas onerosas de una autoridad equivocada. :-)

No lo haría.

No tienes una manera real de decir exactamente lo que han cambiado. Algunas escuelas son excesivamente entrometidas o controladas.

E incluso si el distrito respeta tu privacidad, podrían tener un administrador deshonesto en sus filas.

Otros han sido mordidos.

Ha habido juicios debido a una mala conducta flagrante antes. Tienen alternativas, por lo que el acceso administrativo no debería ser necesario.

¿Cómo deberían hacerlo?

El software basado en la nube no requiere instalación. Mientras tenga un sistema operativo y un navegador web modernos, estará listo para comenzar. Si bien no me gustan las aplicaciones en la nube en una serie de escenarios, es perfecto para los escenarios de traer tu propio dispositivo (BYOD). Obviamente, no eligieron esto si piden derechos de administrador. Podrías sugerírselo a ellos.

Con el software con licencia por volumen, deben poder proporcionar una clave de producto o configurar un servidor de licencias en su red. (Las cosas que requieren servidores de licencias son más comunes para las aplicaciones de nivel universitario, pero también he oído hablar de eso en las escuelas de preparación universitaria con orientación técnica).

¿Qué haría?

Yo mismo instalaría las aplicaciones. No lleva mucho tiempo y, por lo general, no cambian a lo largo del año.

Los certificados se pueden instalar muy fácilmente en Windows, pero tendría que verlos primero antes de poder decir si es una buena idea.

Otros ya han dicho por qué es una mala idea y estoy completamente de acuerdo, no les permita instalar esas cosas (certificados, de ninguna manera), ahora, no tiene que ser ese padre si presenta algunas opciones:

• Multi-booting : de esta manera su hijo puede tener un sistema operativo escolar y un home OS , solo tiene que dejar que instalen todas las cosas en el sistema operativo de la escuela y recuerde no hacer nada privado mientras lo usa (y siempre iniciarlo mientras esté en clase). Agregue cifrado en cada sistema operativo para obtener mejores resultados.

• VirtualBox : casi lo mismo que en el escenario anterior, pero la escuela puede tener algunas preocupaciones con respecto al acceso a la red

• GoogleDocs : si eso es todo lo que necesitan, esta es una buena opción, a menos que algunas funciones avanzadas de documentos se utilizan que pueden no funcionar correctamente (o si es más trabajo para el maestro enseñar lo mismo en muchas plataformas)

Buena suerte y dinos cómo lo manejaste.

En estas circunstancias, el caso ideal es simple.

Obtenga un portátil "quemador" solo para el trabajo escolar.

Use tecnología estándar y especificaciones bajas adecuadas para el trabajo que tiene a mano (comuníquese con su departamento de TI para averiguar qué creen que es adecuado) y deje que la escuela haga lo que quiera con él. El quemador debería costar a lo sumo unos cientos de dólares y ahorrar muchos problemas.

Si su hijo ya tiene una computadora portátil personal, esto no es un dispositivo de trabajo y de todos modos solo será una fuente de distracción en la escuela.

Este paso lateral y compartimenta los problemas de los datos personales y la seguridad de la información al mantener la vida personal y laboral en primer lugar.

Es lo suficientemente claro para mí y, evidentemente, para usted mismo que las medidas de seguridad de un dispositivo personal nunca deben dejar su control personal

Con el debido respeto hacia el departamento de TI de su escuela, las escuelas no tienen una buena reputación de seguridad de la información.
Con cientos de niños de todas las edades que exploran lo que se puede y no se puede hacer, generalmente están sobrecargados y se encuentran lagunas en los sistemas de TI de la escuela todo el tiempo. No importa que los departamentos de TI de la escuela rara vez sean especialistas en seguridad de la información, su trabajo principal es el mantenimiento de la gran red en toda la escuela y el monitoreo para asegurarse de que el sistema no esté siendo mal utilizado.

Si su juego Info-sec fuera lo suficientemente fuerte como para que yo confiara en ellos con acceso gratuito a mis datos, probablemente no estarían trabajando en una escuela.

  

Ahora el departamento de TI de la escuela quiere instalar algún software en la computadora portátil y está solicitando acceso administrativo.

La escuela lo hace porque es fácil para ellos. Muchos padres son analfabetos con computadoras y les piden a todos los padres que revisen e instalen el software cada vez que lo necesiten y mantenerlos a todos al día es muy laborioso.

  

Creo que, en principio, esto no es correcto, ya que no es el dispositivo de la escuela, por lo que el personal de la escuela no debería tener acceso.

Estoy totalmente de acuerdo contigo en esto. Es su dispositivo y es su hijo, debería tener derecho a trazar la línea sobre lo que es y lo que no es aceptable.

Por otro lado, la escuela también tiene responsabilidad con otros estudiantes y padres. Si otros estudiantes llegan a saber que el dispositivo de sus hijos no está configurado con el mismo software de seguridad que el resto y usan el dispositivo de su hijo para acceder o hacer cosas ilegales o si el dispositivo de su hijo es el punto de entrada de una infección de virus en la escuela. la red u otras violaciones de seguridad, entonces usted puede ser parcialmente responsable de eso y la escuela puede no ser capaz de eludir toda la responsabilidad hacia usted, ya que tienen el deber de atención.

  

Me estoy preparando para algunos años de dolor de cabeza, ya que cada vez que la escuela quiera agregar un nuevo software, lo tendré que hacer yo mismo.

No puedes tener tu pastel y comerlo también. No hay derechos sin responsabilidad. Si no desea que la escuela tenga acceso administrativo completo al dispositivo, debe estar preparado y asumir la responsabilidad.

  

¿Qué harías?

Debes discutir el tema con la escuela. Si la escuela tiene una política de BYOD, es probable que no sea el primero ni la última persona en tener esas preocupaciones. La escuela puede tener una política que le permita administrarse usted mismo, tendrá que negociar lo que aceptaría o no. Al final, debe estar preparado para cambiar a otra escuela o permitir algún acceso administrativo o total al dispositivo si la política BYOD de la escuela no le permite autoadministrarse.

En el caso de que decida permitir el acceso administrativo de la escuela al dispositivo, es posible que desee tomar algunas medidas para proteger a su hijo y a usted mismo del dispositivo. Es posible que desee tratar el dispositivo como un invitado o un dispositivo que no sea de confianza cuando esté en su red colocándolo en una red virtual separada. No debe olvidar limpiar el dispositivo una vez que sus hijos ya no estén en esa escuela. Es posible que desee hablar con sus hijos sobre lo que no deberían hacer con la computadora portátil de la escuela, y tal vez usar otro dispositivo para todas sus necesidades personales (por ejemplo, entretenimiento, correos electrónicos personales).

Si decide no permitirle a la escuela acceso administrativo completo, esté preparado para las posibles consecuencias. La escuela puede tener una política para no permitir que los dispositivos que no cumplen con la política accedan a su red interna y algunos recursos de la escuela solo pueden estar disponibles desde dicha red interna. Es posible que tenga que conformarse con encontrar otra forma para que su hijo acceda a dichos recursos.

Qué tan lejos quieres llevar esto depende realmente de ti. Sea flexible y esté preparado para comprometerse. pero también ten una idea clara de lo que sería la línea que no cruzarás.

Desde el punto de vista de los administradores de sistemas:

  

Quieren instalar Office, Outlook, un AV y algunos certificados de sitio.

Si ya tiene un AV instalado (lo que debería), entonces otro AV entrará en conflicto con el suyo y será una amenaza mayor para la computadora de su hijo. Realice una búsqueda en Google de "antivirus múltiple instalado" y verá por qué es malo.

En cuanto a los certificados, interpreto esto como una forma de espiar a su hijo. Se puede usar un certificado universal para descifrar TODO el tráfico hacia / desde esa computadora. incidente de seguridad de Lenovo. Deben tener un filtro básico para bloquear sitios web malos, y si no lo hacen: Smoothwall puede ayudarlos.

Dígales que le entreguen las claves de Office (si lo tienen, hay alternativas, como OpenOffice y LibreOffice), e ignoren sus solicitudes para instalar certificados. Usted no sabe nada acerca de su departamento de TI; y suenan / suelen ser incompetentes. También podrían pervertirse (podrían instalar otras cosas que podrían darles acceso a las cámaras).

Dígale a su hijo que nunca les dé su computadora portátil. Hay formas de extraer contraseñas y, si se trata de un empuje, puede simplemente: hacer una copia de seguridad del archivo de contraseña, borrar las contraseñas, instalar lo que sea y luego restaurar el archivo de contraseña (se llama archivo SAM).

Vamos a desglosar esto:

Sus preocupaciones como padre

• Privacidad: no desea que el personal de la escuela pueda ver qué sitios está visitando su hijo, qué archivos tiene en su computadora portátil y otras cosas que vendrían con acceso de administrador.
• Seguridad: realmente no confías en que la escuela tenga la capacidad de instalar software; le preocupa que los virus ingresen a la computadora portátil debido a la seguridad descuidada de la escuela.

Sus preocupaciones como la escuela

• Responsabilidad: la escuela quiere monitorear lo que los estudiantes están haciendo en línea, supongo, mientras que en el edificio (supongo que para eso son los certificados instalados). Esto también podría tener repercusiones legales en la escuela si los estudiantes están haciendo cosas ilegales desde sus direcciones IP o mediante un software por el cual la escuela está pagando los costos de licencia (Office, Outlook, etc.). Esto también podría tener repercusiones en su hijo si los sorprenden haciendo algo muy ilegal.
• Seguridad: la escuela no confía en que las computadoras portátiles propiedad de adolescentes estén libres de virus (probablemente sea una buena opción). Quieren aplicar un estándar de seguridad mínimo antes de permitir que los dispositivos ingresen a su red.

Bien por ti por estar preocupado y plantear la pregunta. En general, parece que están tomando precauciones de seguridad razonables; aunque existe el riesgo de que el historial de navegación de Internet de sus hijos, los archivos descargados, etc. sean visibles para la escuela y se metan en problemas por ello.

Puede haber un lado positivo al hablar con su hijo sobre la privacidad en Internet y estar al tanto de lo que hacen en esa máquina (¡un problema del mundo real que cualquier adulto con una computadora de trabajo tiene que aprender a navegar!)

No creo que nadie más haya discutido el problema del certificado:

En mi experiencia, muchas escuelas utilizan un firewall MITM para interceptar el tráfico HTTP para sus políticas de filtrado, como para ver el contenido de la página. Este es un problema para HTTPS porque tienen que reemplazar el certificado por el suyo, que es probablemente lo que quieren instalar.

Ver este proveedor por ejemplo: enlace

Supongo que para eso son los certificados. No hay ninguna razón para dar acceso de administrador al departamento de TI cuando puede instalarlo usted mismo, es fácil.

La instalación le permitirá navegar por HTTPS, pero obviamente tenga en cuenta que podrán interceptar y leer las comunicaciones a través de cualquier red controlada por los propietarios de ese certificado.

Para evitar la intercepción, probablemente puedas ejecutar una VPN encriptada en uno de sus puertos abiertos 80/443/53, etc. y canalizar todo tu tráfico HTTP a través de eso. Simplemente no les diga porque probablemente va en contra de su política.

Voy a proporcionar una situación con la que tengo experiencia y luego estableceré paralelos. Soy un ingeniero de software, y he trabajado en varias tiendas con una mentalidad de BYOD (trae tu propio dispositivo). Cada una de estas tiendas tenía sus propias prácticas de seguridad y requisitos de software que se esperaba que los dispositivos siguieran, y se entendió que TI periódicamente querría verificar que su dispositivo cumple con los requisitos. Sin embargo, esto se hizo de forma remota (por la red al conectarse) o en presencia del desarrollador. Si TI hubiera solicitado acceso administrativo, habría sido una gran señal de advertencia porque NO es su sistema .

Como propietario, usuario y mantenedor del sistema, su cuidado y mantenimiento recae en una sola persona: usted. En el caso de que el dispositivo se vea comprometido, infectado, etc. como resultado de sus prácticas, usted es la parte responsable. USTED será el que invierta tiempo y dinero limpiando o reemplazando ese sistema, no la escuela. Ya reconoces esto al venir aquí y preguntar si esta es una solicitud razonable en tu máquina. Si estuvieran manteniendo y cuidando la máquina, esto no habría sido un problema, solo habrían instalado el software mientras realizaban la configuración o el mantenimiento.

Lo que sería razonable (en mi opinión) es tener el software requerido en la lista para que pueda instalarlo usted mismo. Si se espera que compre y mantenga su propio dispositivo, debe confiar en él para asegurarse de que cumple con sus estándares (hardware y software).

Opinión personal: Esta es una oportunidad de enseñanza perdida. Su hijo será el usuario principal del dispositivo, y enseñarles cómo cuidar y mantenerlo protegido (incluso con su guía) le ayudará mucho a aprender y utilizar mejores prácticas de seguridad en línea.

Tanto una computadora portátil con quemador como una máquina virtual son opciones respetables. El arranque múltiple no lo es, ya que cada vez que se ejecuta el sistema operativo host puede modificar el sistema operativo limpio, con privilegios que van más allá del administrador.

Siento que la máquina virtual podría ser superior en más que un simple costo:

1. El niño podría beneficiarse de poder usar una computadora portátil mejor en la escuela. Estoy hablando de beneficios prácticos como el teclado y el trackpad de mejor calidad, mayor resolución y resolución / mejor pantalla final, y beneficios psicológicos (no hay razón para obligarlos a usar una computadora portátil con una ganga frente a sus compañeros, esto podría darle al profesor) una entrada para incitar a la burla del niño de la familia "paranoica")
2. El sistema operativo base estará limpio, por lo que si la computadora portátil se inicia accidental o necesariamente en el hogar / oficina, la red no estará expuesta a la instalación sucia de la escuela. Es posible que el arranque sea sin red por defecto.
3. El niño puede tener su computadora portátil personal limpia en su persona, que puede usar sin conexión / en una conexión móvil / donde sea, lo que significa que es mucho menos probable que se vean obligados a una situación en la que harán algo desafortunado como accediendo a su cuenta de correo electrónico personal desde el sistema operativo de la escuela.
4. Es fácil inspeccionarlo, ya que puedes monitorear su uso de la red externamente o tomar instantáneas de la unidad y compararlas.

Sin embargo, no confiaría en que no se metiera con la imagen base. Sin embargo, asumo que no sería ergonómicamente posible evitar que arranquen la máquina sin supervisión, a su debido tiempo. Como tal, este es el protocolo que usaría:

1. Instalar Linux u otro sistema operativo base. No le dé al niño ningún acceso administrativo o BIOS / UEFI, para que no puedan arrancar desde un dispositivo externo.
2. Instale el software de virtualización e instale la versión requerida de Windows dentro de eso.
3. Cree la cuenta de administrador en Windows vm de acuerdo con los requisitos.
4. Asegúrese de que todas las actualizaciones estén instaladas en la máquina virtual.
5. Realice una copia de seguridad de toda la unidad de sistema operativo de Linux y de la máquina virtual.
6. Dale la computadora portátil a la escuela.
7. Cuando lo recupere, no lo reinicie, vuelva a copiar la unidad y trátelo como hostil.
8. Sobrescriba la unidad host con su copia de seguridad.
9. Extraiga el volumen de la unidad vm (solo el volumen de la unidad, no la configuración de vm) de la imagen hostil.
10. Reemplace el volumen vm en la computadora portátil ahora de confianza con el volumen vm de la imagen hostil. Tenga cuidado, asegúrese de que el archivo de volumen no les permita acceder a ninguna partición del disco host, algunos formatos pueden incluir enlaces simbólicos o acceso completo a discos / particiones del host.

Ahora estás básicamente seguro, desde el punto de vista técnico. Para obtener crédito adicional, puede diferenciar la imagen del disco base y la imagen del volumen de VM con la anterior, para ver en qué ha estado la escuela.

La segunda parte es explicar esta configuración a su hijo. Usted no puede exagerar esto. Si bien es bueno para ellos tener confianza en su configuración, deben entender cuán peligrosa es la máquina virtual de la escuela. Explique que la amenaza está compuesta tanto por el personal de la escuela, que los ven en persona y puede tener un efecto significativo en su futuro, como por los terceros que pueden comprometer a la VM o MITM cualquier actividad de red de la VM. Explique que ninguna de estas partes tiene buenas intenciones, ni siquiera es neutral, ya que tal "poder" corrompe a las personas y siempre se abusa de ellas muy rápidamente. Ofrezca algunos ejemplos gráficos, como que todos sus chats privados se distribuyan a todos los maestros, padres y alumnos, o que accedan a su cámara web y micrófono a mujeres y hombres extraños, incluso para explorar su casa en busca de un robo, invasión o secuestro.

No olvide incluir que estas consecuencias pueden resultar trivialmente no solo al hacer su computación personal dentro de la VM, sino también por no practicar la higiene con la VM, como ejecutar ejecutables desde una unidad USB expuesta a la VM. .

Finalmente, debe considerar las necesidades y deseos del niño. Si desean usar software como el software creativo de Adobe, Ableton o jugar juegos, es posible que necesiten su propia VM de Windows o la opción de arranque, de lo contrario estarán tentados a usar la VM de la escuela.

Además, esto supone que solo quieren acceder a la máquina una vez. Si quieren acceso físico repetido, esto complica las cosas.

Big No!

Aunque casi todo ha sido cubierto, todavía existe el problema de la seguridad de los niños. Cada año hay múltiples juicios sobre escuelas que espían a niños a través de sus cámaras web. Si bien puede pensar que no podrán hacer eso con lo que planean instalar, hay muchas posibilidades de que el AV les permita hacerlo.

Tome este caso, por ejemplo: enlace

En este caso, la escuela pensó que el niño podría estar vendiendo drogas y, esencialmente, lo espió a través de su cámara web. ¿Qué sucede si la computadora estaba en la habitación de su hijo mientras cambiaban y un administrador la estaba mirando?

Además, no tienes idea de lo seguro que es su sistema. Incluso si no van a hacerlo, ¿cómo sabes que no serán pirateados o que ya han sido pirateados? No permita que la escuela instale nada en la computadora de sus hijos.

La mejor manera de evitar eso sería darles un Chromebook para la escuela y bloquearlo con los controles parentales, o impedir que su cuenta instale el programa y no darles una contraseña para una cuenta que pueda.

Para agregar a los demás: Eche un vistazo a la lista:

  

Quieren instalar Office, Outlook, un AV y algunos certificados de sitio.

¿Por qué?

Instalar Office significa enseñar una dependencia de un gran proveedor antes de tiempo. Los propios profesores deberían enseñar de una manera que funcione también en libreoffice o incluso en otros programas de oficina. La mayoría de las cosas que se hacen en las escuelas no usan las características avanzadas de una suite de oficina especial. Un profesor complaciente de los medios de comunicación debe centrarse en las técnicas de enseñanza, no en los programas, que pueden aplicarse a diferentes programas similares. Es mucho más útil enseñar cómo descubrir qué botón hace que el texto esté en negrita que aprender de memoria cómo se ve el botón en una versión específica de MS Office.

¿Por qué necesitan Outlook? Hay varios buenos programas de correo electrónico, algunos incluso gratis *. Supongo que Outlook no es el programa de elección para la mayoría de los alumnos y, según mi experiencia, la mayoría de los usuarios típicos no utilizan un programa de correo electrónico en absoluto, excepto el correo web.

De todos modos,

el AV se discute, lea las largas discusiones sobre cómo el AV puede ser "aceite de serpiente", las vulnerabilidades en los programas de AV y el concepto general de hacer que un sistema sea más inseguro al ejecutar un programa complejo de altos privilegios. Si bien los AV a menudo se recomendaban en el pasado, muchos expertos hoy recomiendan usar solo lo que el sistema trae consigo (es decir, Windows Defender para Windows). Incluso cuando desee un AV posiblemente mejor, usted debe decidir cuál, no la persona de TI en la escuela. Sobre todo porque algunas soluciones se basan en suscripciones e intentan vender su suscripción después de un período de prueba gratuito y se apagan si no las compra.

"algunos certificados de sitio" suena como "Man in the middle tools". Lo que podría estar bien en su red, es un riesgo real de seguridad cuando la computadora portátil personal se usa en otro lugar, porque no sabe quién puede tener las llaves. Por ejemplo, algunos dispositivos de seguridad MITM utilizan CA intermedias, que no se limitan a un solo dispositivo, sino a todos los dispositivos vendidos por la empresa. Esto significa que con la computadora portátil preparada por la escuela, el tráfico también puede ser detectado en otras redes.

De todos modos, otorgar acceso de administrador es una mala idea (¿sabes qué más podrían instalar o si sus medios están infectados?) y enseña a los niños a otorgar derechos de acceso a las personas solo porque insisten en ello. La próxima vez que el inspector de contraseñas los llame, también le darán acceso de administrador, porque lo hace, ¿no es así?

Por lo tanto, deben repartir las computadoras portátiles de la escuela o trabajar con lo que tienen los niños, pero no exigen ser administradores e instalar cosas.

* tanto en cerveza como en libertad

Para minimizar su molestia, le sugiero que consulte las especificaciones mínimas y compre a su hijo una computadora portátil "de trabajo" para usarla solo en la escuela . Entonces simplemente les dejas hacer lo que quieran. Entonces, la escuela tiene la culpa de cualquier problema y no tiene que seguir trabajando con él.

Si está con poco presupuesto , la siguiente mejor solución que todavía le da es la separación completa y seguridad de manipulación del sistema operativo a costa de algún trabajo adicional es esto:

1. Copia de seguridad
2. Investigue / piense acerca del espacio mínimo en el disco duro para el sistema operativo de una escuela.
3. Haz una partición tan grande / encoge el resto.
4. Instala Windows en él.
5. Cifre el sistema operativo de casa (Veracrypt puede cifrar Windows sin reinstalar, algunas versiones de Windows pueden tener esa capacidad incorporada y muchas distribuciones de Linux ofrecen cifrado durante la instalación)
6. Copia de seguridad de nuevo.
7. Deja que la escuela haga lo que quiera. Tal vez ponga una nota adhesiva en la computadora explícitamente para que dejen el esquema de partición solo y que la partición encriptada sea de datos privados (no hay necesidad de elaborar, un sistema operativo también es de datos). Tal vez configure la computadora para que no muestre el administrador de inicio, sino que simplemente inicie el sistema operativo de la escuela inmediatamente.
8. Si arruinaron la instalación cifrada, use la copia de seguridad para corregirla. Habilita el menú de arranque nuevamente si lo deshabilitaste.

No estoy seguro si necesita una segunda licencia de Windows para eso.

De lo contrario, deberá comprometer y probablemente tendrá mucho más trabajo a largo plazo.

  

¿Debo permitir que la escuela de mi hijo tenga acceso a la computadora portátil personal de mi hijo?

No.

  

Mi hijo está comenzando el sexto grado y la escuela requiere que él obtenga una computadora portátil y la traiga a la escuela.

No.

La escuela puede comprar a granel libros, artículos de papelería, herramientas y computadoras con descuento y sin impuestos. ¿Cómo es más barato o mejor para cada padre saber qué comprar, dónde ir, cómo configurarlo ...

La escuela puede proporcionar un Lenovo 100e (Windows 10 - S-Mode ) o un Chromebook ( Chrome OS ) por menos de $ 200. Quizás un depósito reembolsable sea apropiado, pero el costo será menor que el hecho de que cada padre gaste el tiempo y el dinero para comprar lo que sea independientemente.

Al igual que cada estudiante recibe los mismos libros y oportunidades, cada uno debe contar con una computadora igual. No quieres que algunos estudiantes estén muy por delante, mientras que otros están muy por detrás.

Si hay tarea, la computadora se puede asegurar de manera segura en el casillero de la escuela y el niño puede acceder al mismo material en la computadora de su casa; de lo contrario, al igual que sus libros, pueden llevar la computadora a la casa.

Si el padre suministra la computadora y se descompone, ¿qué hace el niño, vuelve a casa y toma otra?

Si la escuela suministra la computadora y hay algún problema (incluida la rotura u olvido en la casa), se puede proporcionar una nueva computadora y el niño puede regresar al trabajo en un minuto (con todos sus archivos iguales a los de la computadora). otra computadora).

  

Ahora el departamento de TI de la escuela quiere instalar algún software en la computadora portátil y está solicitando acceso administrativo.

Es comprensible. El niño necesita obtener el mismo software que todos y la escuela tiene una licencia mayor. También deben proteger el acceso a Internet y al correo; la escuela es responsable de la educación y seguridad de su hijo.

Es por eso que la escuela debe proporcionar el equipo y mantenerse alejado de los efectos personales de su hijo, a menos que exista una preocupación de seguridad legítima: implementar un plan injusto y mal pensado con invasiones injustas de privacidad no justifica nada. En la computadora personal del niño (y el teléfono) hay información privada y cualquier otra cosa permitida por el padre, es responsabilidad de los padres. La escuela debe permanecer en su propio lado del firewall .

  

Creo que, en principio, esto no es correcto, ya que no es el dispositivo de la escuela, por lo que el personal de la escuela no debería tener acceso.

Es cierto, es una búsqueda sin garantías.

  

Además, no tengo idea de cuán buenas son las prácticas de seguridad de la escuela. ¿Y si inadvertidamente instalan malware?

Verdadero. Tampoco sabe si un software en particular tiene errores con cualquier hardware aleatorio que suministre. Es una multiplicación innecesaria de trabajo con valor disminuido.

Cuando la escuela suministra la computadora, pueden alinearlos y repartirlos. Cuando cada computadora es suministrada por los padres, es posible que tengan un disco de instalación prefabricado, pero no sabe qué hará con el software existente o las protecciones instaladas por los padres.

Si el niño no tiene que proporcionar la clave a su hogar, la clave de su computadora, su privacidad.

  

Sin embargo, si me niego, me arriesgo a ser "ese padre" y me estoy preparando para algunos años de dolores de cabeza, ya que cada vez que la escuela quiera agregar un nuevo software, tendré que hacerlo yo mismo.

Sea ese padre, el que habló por su hijo.

Si la escuela proporciona la computadora, solo entregan la vieja y toman la nueva con el software actualizado, o bien puede instalarse automáticamente sobre el WiFi de la escuela. Entregar la computadora personal del niño cada vez que hay una actualización significa horas al mes sin ella. Difícilmente una solución mejor .

  

¿Qué harías?

Habla. Paga menos. Consigue una mejor solución que tenga sentido. Protege tu privacidad.

Le enseña a sus hijos a decir no a los adultos que imponen algo incorrecto; también puede decir que no.

Si fuera un padre, diría firmemente que no a esto. Esto es principalmente porque la computadora portátil es pagada por el padre. Debería tener control sobre lo que compra, y creo que ya está presionando para que todos los padres compren una computadora portátil para su hijo y la lleven a la escuela (especialmente si cree que la tecnología no beneficia el aprendizaje).

Entiendo que querrían que ciertas aplicaciones estuvieran instaladas en la computadora, las aplicaciones de productividad como Office son razonables (aunque, puedes instalarlo tú mismo). Con Windows Defender y un buen firewall de red, no se necesita otro AV.

Un certificado de sitio es uno de los principales problemas que veo en esto, ya que es, con mucho, el más invasivo. Todos los nombres de usuario, contraseñas y otros datos personales enviados a través de la red escolar son visibles para la escuela. Si se produce una violación de seguridad, es posible que esta información sea parte de ella. Investigue qué sistema de firewall usa la escuela y su historial de seguridad anterior.

Si acepta esto, como mínimo, solicite una lista del software que se está instalando y solicite que se le mantenga actualizado cuando se instale un nuevo software en el sistema. Investiga sobre el software y su credibilidad. Compruebe regularmente en la lista de programas de Windows.

Soy un estudiante, he visto la forma en que mi consejo escolar se ha ocupado de la seguridad de su red. La red está llena de problemas de seguridad: accesibilidad de los servidores de desarrollo en la Internet pública, ataques a través del directorio, escalamiento de privilegios en ciertos servicios web, etc. Hay una razón para esto: compran al mejor postor. Teniendo esto en cuenta, asegúrese de que todo el software que instalen sea de compañías acreditadas.

Otro comentario: algunos cursos tienen un requisito específico para usar Microsoft Office, por lo que la instalación de otro software de oficina puede no ser una opción.

Si bien muchas de las respuestas aquí describen los peligros potenciales que surgen al darle acceso a un administrador, también se debe tener en cuenta que también es una herramienta razonable para el trabajo que la escuela TI está a punto de realizar. Eso es lo que pediría a los padres si lo hiciera, ya que explicar cómo configurar correctamente su propio sistema sería un callejón sin salida. El 80% de ellos ni siquiera sabrían qué es un certificado.

Es cierto que los derechos de administrador se pueden abusar fácilmente, pero suponiendo que confíes en tu escuela, no me preocuparía demasiado. Piénsalo de esta manera: te estás preguntando si esos tipos abusarán de su acceso a una computadora portátil, pero no tienes ningún problema en dejar a tu hijo con ellos durante todo el día, todos los días. ¿Está seguro de que la computadora portátil es lo que necesita preocuparse aquí?

Incidentalmente, incluso si elige educar a las TI de la escuela acerca de las mejores prácticas, sus licencias de Outlook no se transformarán en seminarios de Linux para maestros. Estoy de acuerdo en que es una causa noble por la que luchar, pero en tu situación es demasiado tarde para cambiar algo.

La escuela "necesita instalar certificados"? Eso definitivamente es una bandera roja .

En cuanto a la instalación de Office, yo diría que instale una copia en la computadora para él en lugar de dejar que la escuela lo haga. Si bien algunas escuelas ofrecen este servicio (el community college sí ofrece acceso gratuito a Microsoft Office 365, al que se puede acceder en línea aunque sería mejor usar las aplicaciones), de nuevo, eso es una bandera roja . Instale o suscríbase a Office 365 usted mismo (que tiene un descuento para estudiantes) o use código abierto y use Libre Office.

El hecho de que tu escuela quiera hacer esto parece menos un servicio para ti, el padre y más una invasión de la privacidad de los estudiantes, algo en lo que no estaría de acuerdo, especialmente si hay otros motivos que suenan allí. son.

La mayor cantidad de acceso que su escuela debería tener para ingresar a la computadora de su hijo debería ser solo la Contraseña de Wifi. Más allá de eso, obtenga algo por escrito que explique exactamente qué quieren poner allí.

Si superan los límites (lo que se debe a la paranoia de muchos distritos escolares) e intentan armarlo para que usted o sus hijos lo hagan al involucrar al oficial de recursos estudiantiles (que generalmente trabaja en el departamento de policía local) ), afirma que tienes el derecho legal de decir que no. Dígales que obtengan una orden.

Si se realiza un arresto para forzar una búsqueda ilegal del dispositivo, es ilegal.

Debido a que ha dado su consentimiento para que la escuela tenga acceso a la computadora de su hijo, le ha otorgado a la escuela o al distrito escolar el derecho de permitir que la policía acceda a ese dispositivo a través de un tercero que ahora tiene control sobre el dispositivo. (La escuela puede utilizar esos certificados para ingresar a la computadora).

En el futuro, NUNCA permita que extraños (incluso si es la escuela de su hijo) accedan a su computadora sin leer la letra pequeña a fondo.

Conozca sus derechos para que la escuela no use la información local. Aplicación de la ley o viceversa, contra usted o sus hijos.

Su control de comercio para mayor comodidad. Debes usar la computadora portátil solo para su uso escolar y nada más, ya que no tienes idea de lo que pondrán en ella. Como no habrá nada personal en ello ahora o en el futuro, creo que reaccionar a esta situación sería malo. Trátalo como un quemador de teléfono. Podría sentirse mal, pero ¿sería mejor si entregaran las computadoras portátiles de la escuela que ya están cargadas y su hijo las usó? No. Ni siquiera parpadearías.

Es como dejar que otra persona cambie el aceite en tu auto. Podría hacerlo o dejar que alguien lo haga bien, mal, o arruinar algo con su auto. Realmente ni siquiera sabes si cambiaron el aceite a menos que lo verifiques o qué aceite le ponen.

Si alguien quiere acceso administrativo a mi computadora personal, siempre me exijo que reconozca qué quiere hacer con ese privilegio. El grado de detalle depende de quién es la persona y, para el departamento de TI de una escuela, exigiré que reconozca lo siguiente:

• Qué software exacto, incluidas las versiones, se van a instalar; Para qué están destinados estos softwares; Si se pueden eliminar de forma limpia después
• Qué certificados van a instalar; Cuál es el propósito de la instalación de tales certificados es (lo que deben ser); Si los certificados están firmados por una parte confiable (VeriSign, etc.) o si están hechos a mano

En mi opinión, algún nivel de monitoreo de los padres sería bueno para un niño / a, pero la vigilancia digital de una fiesta que puede o no ser directamente responsable de las actividades del niño podría ser una pesadilla.

Desde mi experiencia, los departamentos de informática de la escuela generalmente apestan lo que deben dominar. Incluso he pirateado el sistema de administración en línea de mi escuela secundaria dos veces (y eliminé su base de datos). Por lo tanto, como consejo general, es mejor rechazar la solicitud de acceso administrativo a cualquier dispositivo que posea, por parte del departamento de TI de una escuela u obtener un "dispositivo de grabación" como se sugiere en otras respuestas.

Si no es posible, o difícilmente, rechazar la solicitud u obtener un "dispositivo quemador", consideraría la aplicabilidad de las siguientes opciones:

• Exigir que se me proporcione el software para que realice la evaluación e instalación por mi cuenta
• Cree una copia de seguridad completa del sistema (también puntos de restauración para Windows) para su posterior restauración
• Instale software adicional para monitorear / limitar / aislar esos "softwares escolares"
• ver todo el proceso de configuración

Además, estos factores deben tenerse en cuenta antes de continuar

• Ataque "Man in the middle" hecho posible por certificados no confiables
• Conflicto de software de AV
• Fuga de privacidad (¿qué software carga qué a dónde? no lo sabe)

Resumiendo, es importante separar el "entorno de trabajo (o estudio)" y el "área personal" de cada uno, y establecer diferentes niveles de confianza para los diferentes partidos gobernantes.

Agregaría que debería decirse al niño que solo use esa computadora para fines escolares (no le compre cosas, juegue, descargue cosas o incluso la use con otras cuentas). ). Después de graduarse o si se vuelve redundante o reemplazado, vuelva a instalar el sistema operativo original (con Windows, hay una opción de limpiar el disco en el medio de instalación - utilícelo) para asegurarse de que no deja rastreadores ni spyware en el dispositivo (aunque esto resulta en la pérdida total de datos a menos que se haga una copia de seguridad de sus archivos. Tenga cuidado si realiza dicha copia de seguridad, ya que solo querría transferir los archivos que sabe son suyos.

Aparte de que los certificados son una gran sugerencia de que probablemente MITM esté en marcha (husmeando en el tráfico web supuestamente cifrado que DEBERÍA estar protegido, como inicios de sesión o compras) o características extrañas / innecesarias de "seguridad", aparentemente es fuerte. > es bastante posible instalar software que no pueda ser detectado o desinstalado (los hacks de registro pueden hacer esto, o se pueden usar rootkits, aunque este último puede ser detectado por otro antivirus).

Un archivo que se mezcla con algo como las publicaciones de Reddit de TuxedoJack sobre soporte técnico también le dirá algunas de las cosas que pueden hacer con sus dispositivos, y no solo en el recinto escolar. Esto puede incluir el seguimiento, la lectura remota de sus archivos, el registro de teclas e incluso la capacidad BSOD remota, especialmente si también utiliza una VPN (tenga en cuenta que incluso los análisis antivirus independientes del material de arranque alternativo pueden no encontrar versiones comerciales de dicho software, por razones de seguridad o porque es posible que el software no conozca todas estas herramientas!). Hay numerosas historias de personas que han rastreado una computadora robada que no fue "nuked" con una instalación nueva. (Y, para el caso, algunos programas pueden ejecutarse desde BIOS / UEFI en su lugar, pero no hay una buena manera de evitarlo. Es mejor esperar que no tengan ese tipo de capacidad que intentar detectarlo. )

Como ya se indicó en otras respuestas, crear una máquina virtual para el entorno escolar puede ser la respuesta óptima. No cuesta nada en hardware adicional, mantiene el entorno escolar aislado del entorno personal, le permite al niño acceder a tiempo completo al mejor hardware que puede presupuestar y le permite a la escuela hacer lo que quiera con la VM, sobre la cual usted / su El niño todavía puede mantener el control de supervisión. El host O / S no necesita ser Linux; puede ser lo que usted o su hijo prefieran; hay soluciones de VM (como VMware) que pueden alojar Linux o Windows en cualquier otro O / S popular (Apple, Windows, Linux). Windows tiene su propia solución VM, aunque puede haber consideraciones de licencia / precio: necesita al menos una edición Pro para ser un host de Hyper-V. Si el O / S invitado es Windows, puede haber una consideración de licencia nuevamente. Incluso con esas consideraciones, puede ser su solución más económica / conveniente que satisfaga las inquietudes / requisitos de todos.

La solución más sencilla (aparte de obtener una computadora portátil con grabadora) es hacer lo siguiente:

1. Vuelva a formatear la máquina
2. Deje que la escuela haga lo que quiera con la computadora portátil, por el tiempo que quieran
3. Vuelva a formatear la máquina y esta vez solo instale el software que realmente necesita para el trabajo escolar

Esto te permite tener tu pastel y comerlo también: el departamento de TI de la escuela cree que tu computadora portátil ejecuta su software, mientras que en realidad solo ejecuta el software aprobado por ti mismo.

Soy un profesional de la seguridad. Hay una respuesta muy simple: si alguien más tiene acceso administrativo a su dispositivo, ya no es su dispositivo.

Una solución relativamente fácil sería instalar una VM "para la escuela" y otorgarle al administrador del equipo de TI de la escuela acceso dentro de esa VM.

Algunas explicaciones más largas:

No, verificar después no es suficiente contra un usuario malintencionado. Si confía en la escuela lo suficiente como para suponer que no son maliciosos, puede estar bien con la verificación de su trabajo. Un actor malintencionado tiene docenas de formas de ocultar rootkits o malware de formas que no encontrará nada menos que un completo forense.

La solicitud de la escuela es razonable, ya que quieren garantizar que exista el mismo entorno para cada niño. No deben tener ninguna razón para oponerse a tener un entorno separado (VM).

Realmente se reduce a un disco duro.

Puede intercambiar o borrar la unidad de disco duro / SSD en cualquier momento y deshacer todos los cambios realizados. Probablemente pueda hacer una copia de seguridad del estado de la computadora portátil y restaurarla dentro de una VM o unidad externa, y luego hacer que el niño inicie / arranque mientras hace el trabajo escolar.

Me gusta usar Clonezilla para copiar y realizar copias de seguridad de mis unidades.