Mit dem Werkzeug “Mitteilungen” können Mitteilungen an die verschiedenen Gruppen und Klassen in Educanet2 verschickt werden.
Educanet2 Mitteilungen
Kommentar verfassen
Archiv der Kategorie: ICT
Educanet2 Überblick
Wir setzen bisher Educanet2 kaum ein. Für die Kursunterlagen zu einem ECDL Online Kurs musste ich aber Accounts für alle unsere Schüler/-innen anlegen. Nun geht es darum, den Lehrkräfte in einer freiwilligen Weiterbildung die vielen weiteren Möglichkeiten von Educanet2 aufzuzeigen. Dazu musste ich mir selber mal einen Überblick verschaffen.
Die Schüler/-innen werden in Klassen oder in Gruppen organisiert.
Die Oberfläche wird in die verschiedenen Bereiche “Privat”, “Institution”, “Community” und “Bibliothek” eingeteilt.
Je nach Bereich hat es verschiedene Werkzeuge. Einzelne davon kommen nur in einem Bereich vor (z.B. kommt der “Mailservice” nur im Bereich “Privat” vor).
Andere Werkzeuge kommen an verschiedenen Orten vor. So kommt z.B. die Dateiablage oder die Courselets sowohl im Bereich “Privat” wie auch bei den Gruppen oder Klassen im Bereich “Institution” vor. Man muss also jederzeit wissen, “wo” man sich befindet. Die einzelnen Gruppen und Klassen findet man, indem man diese im Bereich “Institution” auswählt.
openhpi
Als MOOC (Massive Open Online Course) werden meist kostenlose, frei zugängliche Onlinekurse mit sehr vielen Teilnehmern bezeichnet (siehe Wikipedia).
Das Hasso Plattner Institut ist ein An-Institut der Universität Potsdam und betreibt seit September 2012 die E-Learning Plattform open HPI. Für den Kurs “Internetworking mit TCP/IP” haben sich knapp 10’000 Teilnehmer angemeldet, einer davon war ich. Hier gibt’s einen Bericht von Focus.
Wie ist das Internet aufgebaut, Routingverfahren wie Distanzvektor Routing oder OSPF, Netzwerkberechnungen mit IPv4 und IPv6, TCP und UDP als Protokolle der Transportschicht, Netzwerkanalyse mit Wireshark, Protokolle der Anwendungsschicht wie DNS oder SMTP und noch vieles mehr wurde einem in diesen 6 Wochen vermittelt.
Jede Woche gab es aufgezeichnete “Vorlesungen” von Prof. Dr. Meinel. Ausserdem konnte man die Folien und auch noch weiteres vertiefendes Lesematerial herunterladen. Meistens gab es noch ein Tutorial zu einem ausgewählten Thema und zwischen den Vorlesungsvideos noch diverse Selbsttests. In einem Forum konnte man Fragen stellen oder bei der Beantwortung mithelfen. Die engagierten Mitarbeiter des Instituts haben auch im Forum schnell und engagiert Hilfe angeboten. Am Ende einer Woche musste man eine Hausaufgabe als Prüfung durchführen. Das Resultat dieser Hausaufgaben-Prüfungen zählte am Schluss zum Total. Nach den 6 Wochen kam dann der grosse Tag mit der zweistündigen Abschlussprüfung…
Forefront Endpoint Protection Reporting
Wir setzen an unserer Schule Forefront Endpoint Protection (FEP) als Virenschutzlösung ein. Dies nicht, weil ich der Ansicht bin, dass es die beste Antivirenlösung auf dem Markt ist, sondern weil der FEP-Client beim School Agreement von Microsoft bereits enthalten ist und wir uns so das Geld für eine andere Antivirenlösung sparen können.
Verwalten lässt sich FEP aber nur über SCCM (System Center Configuration Manager). Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer School Agreement eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und FEP sogar bedeutend günstiger ist, als es unsere alte Antivirenlösung war.
Nun ist aber ein “worst case” eingetroffen. Ich habe keine Meldung mehr erhalten, dass ein Virenbefall abgewehrt wurde und auch in den Berichten standen 0 infizierte/gesäuberte Systeme. Daher bin ich davon ausgegangen, dass der Virenschutz problemlos funktioniert. Dank einem Hinweis unseres ISP’s bin ich auf einen Computer aufmerksam geworden, der mit dem Zeus-Trojaner infiziert wurde. FEP hat den Trojaner erkannt und in die Quarantäne verschoben, hat also seine Hauptarbeit erledigt, ABER hat mir keine Meldung zukommen lassen, damit ich über diesen Vorfall informiert gewesen wäre.
Damit FEP seine Meldungen an SCCM melden kann, muss der “Client-Agent für die Verwaltung gewünschter Konfigurationen” aktiviert sein.
Der muss früher schon einmal aktiviert gewesen sein, aber ist wahrscheinlich durch ein Layer-8 Problem meinerseits mal deaktiviert worden 
.
Gemäss einem Test mit EICAR funktioniert nun auch das Reporting wieder. EICAR ist eine Datei, die zu Testzwecken von allen Antivirenprodukten als Virus erkannt wird. Man muss nur die Zeichenfolge
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
in einem Texteditor als ausführbare COM Datei abspeichern, damit das Antivirenprogramm reagiert.
Danach bekommt man wie gewünscht eine Mail an die konfigurierte Adresse mit den Angaben zur gefundenen Malware und den ausgeführten Aktionen.
Werde mir also in Zukunft angewöhnen, in einem festen Zeitintervall so eine EICAR-Testdatei auszuführen, um sicherzustellen, dass das Reporting auch wirklich funktioniert.
Zeus Trojaner
Shadowserver ist eine Seite, die verschiedene Honeypots betreibt, um festzustellen, welche Malware im Umlauf ist und von welchen Clients aus, diese aufgerufen wird. Die Swisscom als ISP hat sich bei Shadowserver angemeldet, um informiert zu werden, wenn ein Kunde von ihnen in so einen Honeypot tritt.
Das Computer Security and Incident Response Team (CSIRT) von Swisscom überwacht verschiedene Informationsquellen im Zusammenhang mit der Computersicherheit. Eine dieser Quellen ist Shadowserver (http://www.shadowserver.org). Über Shadowserver haben wir erfahren, dass eine Adresse aus Ihrem IP-Bereich versucht hat, einen Virus zu verbreiten oder die Verbindung zu einem Botnet-Command-and-Control-Server herzustellen.
Dies deutet mit hoher Wahrscheinlichkeit darauf hin, dass ein oder mehrere Rechner in Ihrem Unternehmen mit einem Virus, Wurm oder Trojaner („Malware“) infiziert sind.
Ich habe nun die entsprechende “Target Address” erhalten, die über unser Netzwerk aufgerufen wurde.
Dies kann man nun über die Logs der Firewall überprüfen. Meine Überprüfung hat dann gezeigt, dass tatsächlich ein Computer an diesem Tag die entsprechende IP aufgerufen hat. Dazu habe notepad++ benutzt, mit dem man gerade alle Treffer einer Suche auf einmal anzeigen lassen kann.
Den Namen des betroffenen Computers kann man schnell herausfinden, indem man ein nslookup “IP-Adresse” in der Eingabeaufforderung eintippt.
Um aber sicherzugehen, dass am betroffenen Tag auch dieser Computer diese IP hatte, muss man noch auf dem DHCP Server anhand der Leasedauer überprüfen, ob der betroffene Computer auch an dem betroffenen Tag diese IP hatte. Dies war bei mir der Fall, also war der Computer identifiziert.
Nun eine Recherche zu Zeus. Da gibt es viele Beschreibungen, wie man überprüfen kann, ob man infiziert ist, oder wie man den Trojaner wieder wegbringt. Unter anderem gibt es von Microsoft ein Tool, das ich heruntergeladen und ausgeführt habe. Dieses hat aber keine Infektion gefunden.
Eine weitere Recherche hat dann gezeigt, dass nichts gefunden werden konnte, weil sich der Trojaner bereits in Quarantäne befunden hat.
Trotzdem handelt es ich um ein einmal infiziertes System und die vielen Internetressourcen deuten darauf hin, dass man nicht sicher sein kann, dass alles entfernt wurde (siehe für Informationen zu Zeus auch http://en.wikipedia.org/wiki/Zeus_(Trojan_horse))
Daher habe ich mich nun entschlossen, den betroffenen Computer neu aufzusetzen.
Swisscom Schulen ans Internet
Die Swisscom bietet den Schulen der Schweiz einen Internetzugang an. Dieser ist bisher gratis, was einer riesigen Investition in die Schulen gleichkommt. Vielen Dank dafür.
Wir haben unsere Firewall gewechselt und nun funktioniert der Zugang ins Internet nur noch schlecht. Scheinbar hat der Swisscom Proxy Probleme mit schnelleren/neueren Firewalls. Zumindest ist das gemäss Kantonswebseite auch ein Problem mit anderen Firewalls.
Die neuste Serie von Zyxel Firewalls (USG) ist nicht mit den Swisscom-Routern (Cisco) für Schulen ans Internet kompatibel. Das Problem zeigt sich in einer äusserst verlangsamten effektiven Internetgeschwindigkeit.
Die Swisscom stellt sich gemäss Auskunft auf den Standpunkt, dass nach ihrem Konzept nicht vorgesehen ist, dass die Schulen eine eigene Firewall einsetzen, weil sie ja hinter der Firewall des Kantons stehen. Damit wäre man ja gegenüber dem Internet geschützt, aber nicht gegenüber anderen Schulen. Ausserdem hätten wir gar nicht so viele IP Adressen zur Verfügung wie wir benötigen würden (wir haben 350 Computer und weitere Geräte wie Drucker, Kopierer, … im Einsatz). Komisches, nicht fertig gedachtes Konzept der Swisscom also.
Auch wenn ich sehr zu schätzen weiss, dass die Swisscom den Internetzugang bisher gratis angeboten hat (wenn man eine Leistungssteigerung möchte, muss man in Zukunft auch (massiv) mehr bezahlen) bin ich im Moment am studieren, ob wir wieder zurück auf unseren Kabelnetzanbieter wechseln sollen.
Im Moment empfehle ich allen grösseren Schulen, die eine neue leistungsfähige Firewall einsetzen möchten, dies genau zu testen und abzuklären (oder einen anderen ISP als die Swisscom zu verwenden). Am wenigsten Probleme gibt es scheinbar mit kleineren Firewalls aus dem SOHO Segment.
MSI Erstellung mit Admin Studio
Auf dem Technet gibts einen Link zu einer Admin Studio Version für Configuration Manager.
interTESS von Phywe
Unsere Natur- & Technik-Lehrpersonen auf der Oberstufe arbeiten mit TESS, dem Trainings- und Experimentiersystem für Schüler und Studenten von Phywe. Nun wurde an der Didacta noch die passende Software gekauft, die ich nun auf die gewünschen Computer verteilen soll.
InterTESS läuft auf Linux, MacOS und Windows. Zur Verteilung benötigt man nur den Ordner “interTESS_Windows”.
Wenn man die Setupdatei mit dem Parameter /? startet, erhält man die verschiedenen Schalter, mit denen man die InstallShield Installation starten kann.
Nach einer Installation mit dem folgenden Befehl gibt es aber doch noch einige Probleme.
Setup_interTESS.exe /S /v/qn
So muss man die Software nach der Installation zuerst mit dem Lizenzschlüssel aktivieren, dann kommt ein Hinweis wegen einer Registrierung und auf Deutsch muss man auch noch umstellen.
Also habe ich beim Hersteller Phywe nachgefragt, ob es eine Möglichkeit gibt, dies bereits beim Deployment einzustellen. Dies ist aber leider nicht möglich.
Also versuchte ich, die Einstellungen mit Process Monitor zu verfolgen, um allenfalls Änderungen an Dateien oder in der Registry nachzuverfolgen, aber das hat mich auch nicht weitergebracht. Auch eine Installation mit einer alten wininstall Version und eine Bearbeitung des MSI’s mit Orca hat nicht funktioniert.
Am Schluss habe ich es mit Admin Studio von Flexera versucht und nun funktioniert es.
Mit dieser Software kann man einen Snapshot des Computers vor der Installation erstellen, dann die Software installieren und am Schluss wieder einen Snapshot erstellen. Der Unterschied zwischen den beiden Snapshots wird dann so abgelegt, dass man ein MSI daraus erstellen lassen kann. Hier habe ich eine Anleitung zur Verwendung von Admin Studio erstellt.
Irfanview verteilen
Hinweis: Hier gibt es eine neue Anleitung für die Verteilung von Irfanview mit SCCM Current Branch.
Irfanview ist ein kleiner, schneller Bildbetrachter, mit dem man auch kleine einfache Korrekturen vornehmen kann. Ausserdem kann man damit mehrere Bilder auf einmal ändern (sogenannte Stapel- oder Batchverarbeitung). Ich habe mal für eine frühere Version eine Anleitung erstellt, die auch auf die Grundlagen von Bildern am Computer wie Speichergrösse, Dateiformate oder Auflösung eingeht.
Irfanview benötigt keine Installation, man kann einfach den Ordner mit den Programmdateien kopieren. Ausserdem könnte man Irfanview auch auf einem Server installieren und müsste dann nur eine Verknüpfung auf den Clients einrichten.
Diese beiden Wege sind meiner Meinung nach aber nicht optimal. Ich möchte das Programm lokal installieren und standardmässig alle Bildformate mit Irfanview statt mit der Windows-Fotoanzeige öffnen. Im Gegensatz zur Windows-Fotoanzeige kann man so einfach ein gescanntes oder aus dem Internet kopiertes Bild mit Irfanview zuschneiden, freistellen oder nur einen Bereich kopieren etc. ohne dazu ein zusätzliches Bildbearbeitungsprogramm zu benötigen.
Wenn man auf der Webseite von Irfanview unter FAQ’s nachsieht, findet man bei den letzten Einträgen die verschiedenen Möglichkeiten zur Verteilung von Irfanview. Man kann also unter “Download” –> “Other download sites (Mirrors)” die aktuelle deutsche Version als exe herunterladen. Ausserdem sollte man noch unter “Plugins” die Plugins als exe herunterladen.
Bei den FAQ’s sind die verschiedenen Startoptionen dokumentiert. Ausser den beiden exe’s kopiere ich noch folgende install.cmd in den gleichen Ordner:
@echo off
if exist „c:\programdata\microsoft\windows\start menu\programs\irfanview\“ rd /s /q „c:\programdata\microsoft\windows\start menu\programs\irfanview\“
%~dp0iview_setup.exe /silent /desktop=0 /thumbs=0 /group=1 /allusers=1 /assoc=1
%~dp0irfanview_plugins_setup.exe /silent
REM Return exit code to sccm
exit /B %EXIT_CODE%
Wie man sehen kann, habe ich die Versionshinweise bei den Dateinamen entfernt (die Anleitung wurde bis zur Version 4.38g getestet). Dies hat den Vorteil, dass ich bei einem Wechsel auf eine neue Version nicht nochmals ein neues Softwarepaket in SCCM erstellen muss, sondern einfach den Verteilungspunkt aktualisieren kann.
Wer keinen SCCM einsetzen kann und seine Software über Gruppenrichtlinien verteilt, kann das Skript auch ein wenig anpassen (nicht getestet):
@echo off
if exist c:\windows\irfanviewinstalled.log goto installed
\\serverfreigabe\iview_setup.exe /silent /desktop=0 /thumbs=0 /group=1 /allusers=1 /assoc=1
\\serverfreigabe\irfanview_plugins_setup.exe /silent
echo %computername%>>c:\windows\irfanviewinstalled.log
:installed
Viel Erfolg!
Nachtrag
Wenn man eine neue Version über eine alte installiert, funktioniert alles problemlos ausser, dass es nun im Startmenü zwei Einträge für Irfanview hat (die beide die neue Version starten). Dies kann man beheben, indem man vorgängig die Verknüpfung löscht. Weil ich nicht bei jeder neuen Version das Skript anpassen möchte, lösche ich gleich das ganze Menü:
Alte Version von Adobe Reader deinstalliern
Bei der automatischen Verteilung von Adobe Reader XI wurde die alte Version 10.1.4 nicht entfernt.
Durch eine Suche in der Registry nach dem Namen “Adobe Reader” findet man schnell den “product code”, in diesem Fall {AC76BA86-7AD7-1031-7B44-AA1000000001}
Nun kann man die alte Version also mit folgendem Befehl deinstallieren.
msiexec /x {AC76BA86-7AD7-1031-7B44-AA1000000001} /qn
Wenn man möchte, dass ein geöffnetes Adobe Reader Programm der Deinstallation in den Weg kommt, kann man Adobe Reader vor der Deinstallation schliessen:
taskkill /f /t /im AcroRd32.exe
Besser wär’s natürlich gewesen, die Deinstallation ins Skript mit der Neuinstallation zu übernehmen, aber es funktioniert auch danach mit einer neuen Verteilung.
ictschule 