2003年底，我校同其他十幾所中小學(xué)一起裝配了NC教室。NC教室的主要配置為：清華同方超強(qiáng)TR200 2680服務(wù)器（Windows 2000 Server操作系統(tǒng)）、港灣快速以太網(wǎng)交換機(jī)、京東方網(wǎng)絡(luò)計(jì)算機(jī)（國產(chǎn)方舟2號400MHz CPU）。在裝配時(shí)，京東方及北控軟件公司的工程師們?yōu)槲覀兊南到y(tǒng)進(jìn)行了安全設(shè)置：屏蔽了開始菜單中的運(yùn)行、搜索、控制面板等功能，并隱藏了各個(gè)磁盤的盤符。這樣一來，我們就不用擔(dān)心學(xué)生有意、無意刪改系統(tǒng)文件而造成系統(tǒng)癱瘓，機(jī)房管理也變得更加方便。

但是經(jīng)過一段時(shí)間的使用，筆者發(fā)現(xiàn)機(jī)房中還存在一個(gè)安全隱患。當(dāng)打開“育典網(wǎng)絡(luò)教學(xué)系統(tǒng)”的瀏覽器時(shí)，在“工具菜單”下選擇“Internet選項(xiàng)”，在“常規(guī)”選項(xiàng)卡下找到“Internet臨時(shí)文件”并選擇“設(shè)置→查看對象”，竟然可以可以一級一級向上訪問到C盤或其他任意磁盤驅(qū)動器。這顯然是機(jī)房中的一個(gè)重大安全隱患。既然找到了這個(gè)后門，我們就趕快像微軟一樣打補(bǔ)丁吧。方法非常簡單，以管理員的身份登錄到Windows 2000 Server，打開“我的電腦”，鼠標(biāo)右鍵單擊C盤，選擇“共享”，在新窗口中選擇“安全菜單”，可以看到在“名稱”下面列出了用戶和組信息。選擇之前建立的Student組，在權(quán)限設(shè)置中將該組設(shè)置為“讀取”（或一項(xiàng)權(quán)限也不設(shè)置），這樣Student組的成員就無法訪問C盤，更不要說刪改磁盤中的文件了。當(dāng)學(xué)生想通過上面的方法訪問磁盤時(shí)，會彈出對話框警告其無權(quán)訪問。最后別忘了對其他磁盤也進(jìn)行相應(yīng)設(shè)置。

最后要說明的一點(diǎn)是，如果在您的機(jī)房中學(xué)生所屬的組不只是Student組，還屬于User組或其他組的話，一定要把這些組的權(quán)限也進(jìn)行如上設(shè)置才行，因?yàn)樵赪indows 2000中用戶所擁有的權(quán)限是疊加的。