给学生机加规矩

苏州 唐灯平

在学校有些学生利用上计算机课的机会聊天、打游戏等，这种现象除了我们平时要加强正确引导外，还需要我们用正确的方法来杜绝这种现象的发生。

要从技术上解决这些问题，需要从两方面来考虑：一是控制学生机器访问的网站；二是控制学生机器能运行的程序。而要控制学生机器访问的网站，我们可以在路由器上设置相应的策略来达到这个目的，这对于网管员的技术要求比较高，除非是那种支持Web界面的路由器，设置起来会简单些。

笔者现在介绍的是用ISA2004代理服务器软件，该软件运行稳定，适合在大型局域网中做代理服务器使用，并且它的图形界面方便了我们的设置。而要控制学生机器运行的程序，笔者经过几年的实践，觉得只有修改注册表才能达到最终的效果。

控制运行程序

（1）在代理服务器上建立白名单。我校学生机器是通过代理服务器上网的，网管的代理服务器软件用的是微软的ISA2004。在ISA服务器上建立一个白名单，也就是允许学生访问的网站，为它起名为Student。

（2）在ISA防火墙策略里面添加了一条规则，只让学生机访问我们所允许的网站。这条规则的意思是：允许通过的协议为“HTTP”，允许从学生机所在的网段到“Student”，针对的用户为所有用户。这样的设置就达到了学生机只能访问我们所允许访问的网站的目的。

控制运行程序

我们再来考虑如何控制学生机器运行的程序。要让计算机只能运行我们允许的程序，首先禁止计算机运行所有的程序，然后一个一个地加入我们所允许运行的程序。

（1）运行注册表编辑器（请注意，在修改注册表之前要备份注册表），找到“HKEY_CURRENT_ USER\Software\Microsoft\ Windows\CurrentVersion\ Policies\Explorer”，然后在右边单击鼠标右键新建一个DWORD值，名字为“RestrictRun”，并修改它的值为“1”，这样就能禁止所有的软件运行了（如图1所示）。

图1 注册表编辑器

但是，这样做无形之中也限制了Regedit.exe程序的运行，为了让自己能回到没有限制的状态，笔者设置第1个允许使用的软件为Regedit.exe，操作如下：

在右边单击鼠标右键，选择【新建】→【主键】命令，命名为“Restrict Run”。然后进入这个主键，在右边新建一个字符串值，名字为“1”，并填上它的值为“Regedit.exe”，表示第1个允许运行的软件为Regedit.exe。

（2）添加其他允许运行的软件。新建以“2”为名字的字符串，然后修改值为软件执行文件的路径，如“C：\Program Files\ Microsoft Office\Office\winWord.exe”，这样，当别人打开计算机的时候，就可以使用Word了。

您可以使用上面的方法，把所有允许使用的软件加进去。当学生们运行我们并不允许的程序时，就会出现如图2所示的错误提示。

图2 提示信息

利用上面的设置，很好地控制了学生们所能访问的网站和运行的程序。

提示

如何恢复计算机运行所有的程序？方法是，在注册表编辑器中找到“HKEY_ CURRENT_USER\Software\ Microsoft\Windows\Current Version\Policies\Explorer”，把右边的DWO-RD值“RestrictRun”的值改为“0”。当然也可以利用【注册表】→【引入注册表文件】命令将事先备份好的注册表文件导入注册表即可。