2003年底，我校同其他十幾所中小學(xué)一起裝配了NC教室。NC教室的主要配置為：清華同方超強(qiáng)TR200 2680服務(wù)器（Windows 2000 Server操作系統(tǒng)）、港灣快速以太網(wǎng)交換機(jī)、京東方網(wǎng)絡(luò)計(jì)算機(jī)（國(guó)產(chǎn)方舟2號(hào)400MHz CPU）。在裝配時(shí)，京東方及北控軟件公司的工程師們?yōu)槲覀兊南到y(tǒng)進(jìn)行了安全設(shè)置：屏蔽了開(kāi)始菜單中的運(yùn)行、搜索、控制面板等功能，并隱藏了各個(gè)磁盤(pán)的盤(pán)符。這樣一來(lái)，我們就不用擔(dān)心學(xué)生有意、無(wú)意刪改系統(tǒng)文件而造成系統(tǒng)癱瘓，機(jī)房管理也變得更加方便。

但是經(jīng)過(guò)一段時(shí)間的使用，筆者發(fā)現(xiàn)機(jī)房中還存在一個(gè)安全隱患。當(dāng)打開(kāi)“育典網(wǎng)絡(luò)教學(xué)系統(tǒng)”的瀏覽器時(shí)，在“工具菜單”下選擇“Internet選項(xiàng)”，在“常規(guī)”選項(xiàng)卡下找到“Internet臨時(shí)文件”并選擇“設(shè)置→查看對(duì)象”，竟然可以可以一級(jí)一級(jí)向上訪問(wèn)到C盤(pán)或其他任意磁盤(pán)驅(qū)動(dòng)器。這顯然是機(jī)房中的一個(gè)重大安全隱患。既然找到了這個(gè)后門(mén)，我們就趕快像微軟一樣打補(bǔ)丁吧。方法非常簡(jiǎn)單，以管理員的身份登錄到Windows 2000 Server，打開(kāi)“我的電腦”，鼠標(biāo)右鍵單擊C盤(pán)，選擇“共享”，在新窗口中選擇“安全菜單”，可以看到在“名稱”下面列出了用戶和組信息。選擇之前建立的Student組，在權(quán)限設(shè)置中將該組設(shè)置為“讀取”（或一項(xiàng)權(quán)限也不設(shè)置），這樣Student組的成員就無(wú)法訪問(wèn)C盤(pán)，更不要說(shuō)刪改磁盤(pán)中的文件了。當(dāng)學(xué)生想通過(guò)上面的方法訪問(wèn)磁盤(pán)時(shí)，會(huì)彈出對(duì)話框警告其無(wú)權(quán)訪問(wèn)。最后別忘了對(duì)其他磁盤(pán)也進(jìn)行相應(yīng)設(shè)置。

最后要說(shuō)明的一點(diǎn)是，如果在您的機(jī)房中學(xué)生所屬的組不只是Student組，還屬于User組或其他組的話，一定要把這些組的權(quán)限也進(jìn)行如上設(shè)置才行，因?yàn)樵赪indows 2000中用戶所擁有的權(quán)限是疊加的。