Todo mundo odeia o “DeepFreeze”e afins.

Devaneios de Whats, de quem não é o admin de rede do laboratório de escolas (obviamente segregada da secretaria).

Ah meus caros, não espero consenso:

Pedir para alguém falar porque não gosto do DeepFreeze e afins é que nem falar que dá para ensinar lógica digital pegando leve no mapa de Karnaugh e Álgebra Booleana ou não ensinando isso aí (que sou a favor).

Parto do seguinte princípio:

Não tem como o Windows não ser gerenciável no aspecto de precisar de um software que desfaz tudo que foi instalado, cada vez que a máquina é reiniciada.

O ecossistema Windows, uma solução que é aplicada em 89% do planeta, não é possível que seja indispensável o uso desse tipo de ferramenta (Deepfreeze e afins).

Continuando com a polêmica:

Não precisa de Deepfreeze, afins e nem de antivírus. Turma da segurança de TI, acabou de surtar!

Na verdade, o que falta é treinamento.

Eu sei que a solução ideal seria colocar a máquina no domínio e configurar esse tipo de política, tudo direto no servidor.

O problema em fazer isso, principalmente em muitas escolas públicas, e que não tem gente treinada e muito menos braço para se administrar uma rede de computadores.

Uma opção para pensar:

Resumindo bastante, vou contar como faço para controlar um pequeno parque de máquinas sem usar o DeepFreeze e nem colocar todo mundo no domínio.

Lembra, não tem braço e nem gente treinada. Não estou esgotando o assunto e aceito sugestões.

Geração da imagem das máquinas:

A geração da imagem dos computadores precisa ser repensada e vou abordar mais adiante. Guenta aí!

Senhas:

Crio a uma senha de Admin_TI para cada uma das salas de aula. Dá para criar uma senha de administrador individual para cada um dos computadores se usar uma etiqueta com código de barras (tem umas marotagens aqui, mas dá para fazer).

Caso venha a vazar alguma senha de Admin_TI, ela vaza só de uma sala e não da Unidade inteira.

Crio a senha de Aluno sem direito de admin, bem fácil e igual para todos computadores: 123456 ou qualquer outra coisa ridícula.

Todas senhas senhas são armazenadas localmente.

Script de inicialização:

No lugar do DeepFreeze, eu crio um script Power Shell, edito as políticas de grupo e faço que o computador inicialize sempre que a máquina for ligada, com as seguintes características:

Deleta o conteúdo da pastas Desktop, Meus Documentos e a httpdocs se estiver usando o Xampp.
Pega um fundo de tela escondido na pasta Windows com extensão .dll, renomeia o arquivo para o nome certo e copia ele por cima do arquivo de fundo de tela padrão.
Faz a redefinição via script do fundo de tela para voltar a ser o padrão, caso alguém tenha conseguido modificar, dando boot pelo pendrive.
Tem mais alguns detalhes que só lembro quando fazendo configurando isso aí.
Não mexo nos processos de atualização automática do Windows. Só configuro para as máquinas da mesma rede buscarem atualizações de software entre si.

Essa parte é o básico para não precisar utilizar o DeepFreeze.

Anti vírus (outra polêmica para surtar a turma de segurança de redes):

Só utilizo o que vem com o Windows.

Nada de CClean, Avasta, Kaspersky, lembra: não tem braço para cuidar dessas coisas. Não adianta bufar. Um aluno dificilmente conseguiria instalar alguma coisa que exija direito de admin. Tem como burlar? Sim…. continue lendo 🙂

E se conseguir?

Tem que conversar com o espertinho, aprender como faz e pensar como resolver. Pode até ser um gancho para aula de segurança de redes. É uma máquina destinada a estudos.

Se o cara aprendeu a burlar o sistema, ele aprendeu um monte de coisa, a escola está fazendo o papel dela, está capacitando o aluno.

Dependendo como for, dispensa o aluno da disciplina, deixa ele estudar outra coisa. Nunca é caso de punir.

Por falar de antivírus, dá uma lida nesses dois artigos:

Fim do antivírus1
Fim do antivírus2

Criação da imagem dos computadores:

Particularmente não acho mais uma boa prática fazer uma imagem única para todas máquinas e sair clonando HDs utilizando softwares como Clonezilla ou DiskImage, ainda mais considerando que a maioria das máquinas usa o NVMe e usar um adaptador NVMe – USB é lento pra caramba.

Simplesmente evito ao máximo formatar o HD das máquinas.

Mesmo porque o fabricante dos computadores sempre manda imagem do Windows pronta com todos os drivers do PC, em uma partição separada do HD.

Se formatar o HD completamente, a gente perde o Windows do fabricante que vem pré configurado. É muita burrice.

Quando precisa reinstalar o Windows, a boa prática é fazer a recuperação do HD a partir da partição de manutenção do fabricante do PC.

Beleza, recuperou o Windows, e os softwares???

Para meu uso, e disponibilizado open source, estou desenvolvendo um instalador de software automatizado com script Power Shell.

Caso queira, clique aqui para clonar o repositório desse script.

O que vem no configurador:

Um arquivo de configuração (.ini) que permite selecionar quais aplicativos vou instalar.
Um script instalador que chama os scripts de instalação, inclusive o do pacote office, tudo no modo silent install.
Uma pasta para acomodar os aplicativos a serem instalados.
No arquivo de configuração, eu descrevo os parâmetros de instalação do aplicativo, tipo: <diretorio>;<executavel>;<parametro>;<descricao>.
Quando o script é iniciado, ele lê o arquivo de configuração e vai chamando os scripts de instalação de cada um dos programas.
Cada programa tem um script de instalação onde é realizada a instalação em modo silent.
Por conta do script, as variáveis de ambiente são ajustadas automaticamente, junto como o firewall, liberando todas portas necessárias e faço o acerto dos arquivos de configuração dos programas garantindo que eles tenham tudo configurado certinho.

Em outras palavras, o script faz barba e cabelo.

Alguns detalhes da instalação dos aplicativos:

Aplicações que não precisam de instalador como Eclipse, Java, NetBeans e Oracle J Developer entre outras e o Xampp, eu instalo na pasta “C:\Users\Public\Documents” e configuro todas as variáveis de ambiente e do aplicativo pelo script, garantindo que a aplicação funcione redondinho.

Mesmo que o aluno apague algum programa da pasta pública, basta copiar o programa de volta para a pasta pública, pois não tem como o aluno mexer nas variáveis de ambiente. Ele não tem acesso de admin e o programa não é instalado, é copiado.

Detalhe: Nunca enfrentei esse tipo de problema de ter que restaurar um aplicativo da pasta pública.

Por outro lado, o aluno está lá para aprender e se fizer M, a gente ensina.

Entendeu a filosofia? É um ambiente de estudo. Se bloquear toda a máquina, o cara nunca vai aprender as coisas.

Todos os ícones são colocados na pasta “C:\Users\Default\Desktop”. É por isso que é possível apagar todo o Desktop do aluno, sem dó, pois os ícones estão na área compartilhada do Desktop.

Mais uma:

TEM que usar o compactador de arquivos 7zip por dois motivos:

O 7zip é muito mais rápido para usar nos scripts. A diferença de velocidade, comparada com o descompactador do Windows é brutal.
Não podemos usar o WinRar. O WinRar é pago, portanto usar e não pagar, não é muito legal.

Tem que testar o script antes de fazer o deploy nas salas de aula:

Tem que testar o script instalador, antes de sair usando ele em todas máquinas da escola, “na doidera de meu Deus”.

Por que DeepFreeze é ruim:

TODAS as vezes que vi essa aplicação instalada, foi em ambientes cujo técnico estava sobrecarregado de serviço, fazendo milagres para administrar as máquinas e também com outras atribuições. Uns guerreiros de tirar o chapéu, que muitas vezes não tem tempo para se atualizar.

Voltando ao DeepFreeze, muitas vezes ele é instalado sem qualquer configuração e somente utilizando a versão gratuita de demonstração, que vem porcamente pré-configurada.

Pensa, muita gente reclama que a rede da escola é lenta...

Mas ninguém vê que cada vez que desligamos um computador com DeepFreeze (versão demo), todas as atualizações que foram feitas no Windows são perdidas e o Windows tem que refazer o download de todas as atualizações, cada vez que é reiniciado, congestionando a rede e deixando pouca ou nenhuma banda de rede para uso acadêmico. Esse problema só vai agravando à medida que as atualizações do Windows vão sendo liberadas e acumuladas.

Mais uma: Máquina levando horas para inicializar, tem que muitas vezes é HD bichado, dando milhares de retries de leitura/escrita, inclusive eventualmente impactando a rede. Basta um HD dando retry junto com DeepFreeze, para acabar com a rede local. Em muitos casos dá para resolver problemas de “rede”, somente trocando o HD!

Sempre tem mais coisas e outros pontos de vista…

Não tem como esgotar esse assunto tão amplo.
Nem falei do firewall que em época de liberdade de expressão só serve para encher o saco de todo mundo e dificultar a vida do professor e aluno.
De novo, é um ambiente de aprendizagem e estudo.
O certo é orientar o aluno e de vez em quando dar um pito nos que se excederem!
Comentem.
Quero saber o que vocês pensam.
É importante :-).

Publicado por Renato de Pierri em 07/11/2023.

Last updated by Renato Pierri at 2023-11-10.

Renato Pierri em Arduino e contador hexa – bastidores. Parte 3.2020-05-04
Melhor ainda sua sugestão, Greg! A ideia aqui foi eliminar a biblioteca original, que foi obtido com facilidade. Faz uma…
Greg Harbs em Arduino e contador hexa – bastidores. Parte 3.2020-05-01
oi então... bem legal a lógica ali, mas porque não usar uma tabela estática com 16 bytes? (1 bit de…