Skip to main content

Safe Exam Browser Configs für heterogene Computerräume und hochschulübergreifend kompatibel schreiben

In diesem Dokument wird eine Methode vorgestellt, die das Anpassen von Safe Exam Browser Configurationen unabhägig von den Computerpooladministratoren macht, wenn diese eine Startkonfiguration in die Benutzerkonten eingebunden haben zur Klausurvorbereitung.
Die grundsätzlichen Vorbereitungen für Computerpoolräume sind im Artikel (Vorbereitung der Computerpoolräume und Netzwerke) nachzulesen.
Das letzte Mosaikstück sind die Einstellungen am Prüfungssystem. Wir werden hier die Einstellungen in Moodle Test für Computerpoolräume aufzeigen.

Zustand der Computerpoolräume an den meisten Hochschulen

Computerpoolräume, die für den Zweck Übungen durchzuführen geschaffen wurden, sind üblicherweise eher klein. Jedoch sind diese Computerpoolräume groß genug, um ganze Übungsgruppen aufzunehmen. Also sind üblicherweise 24 bis 50 Computerarbeitsplätze vorgesehen. Computerpoolräume, die eher für den Zweck des freien Arbeitens geschaffen wurden, haben eine größere Varianz an Sitzplätzen, gerne mal von einem Dutzend bis 80 Computerarbeitsplätze.
Dann gibt es noch Poolräume, die für den Prüfungsbetrieb ausgelegt wurden. Solche Poolräume sind eher groß und sind meistens Raumgruppen mit 200 Sitzplätze und mehr.
Oft werden Poolräume dezentral betrieben und haben damit unterschiedliche Betriebssysteme, Loginsysteme, Software und Hardware. Insbesondere unterscheidet sich die Verwaltung der Poolräume mit Zeitzuteilung untereinander. Die verschiedenen Computerräume einer Hochschule brauchen einen gemeinsamen minimal Standard, damit diese gebündelt werden können.  

Anwendungsfälle für externe Computerpoolräume

Offensichtlich werden externe Computerpoolräume gebraucht, wenn die eigenen Computerpoolräume nicht ausreichen und aus guten Gründen Schichtbetrieb nicht möglich ist oder nicht ausreicht.
Manche Studiengänge oder einzelne Veranstaltungen werden hochschulübergreifend angeboten, beispielsweise Medizintechnik mit TUDa und GU. In diesem Falle können die Studierenden der jeweiligen Universität am Heimatstandort geprüft werden.
Einen weiteren Schritt in hochschulübergreifender Zusammenarbeit ist das Projekt Unite, dass eine virtuelle Hochschule pilotieren soll, die Ressourcen von 6 Pilothochschulen verwendet. Das Studienangebot werden dann im einfachsten Fall M.Sc Studiengängen sein, die aus vorhandenen Lehrveranstaltungen der Hochschulen bestehen. Die Kurse sind naturgemäß hybride oder online Lehrveranstaltungen. Im Sinne des Constructive Alignment und der finanziellen Zugänglichkeit sind E-Prüfungen entscheidend. In der einfachsten Form genügen Scanklausuren, damit Studierende nicht von Klausur zu Klausur reisen müssen. Klausuren am BYOD oder im Computerpool reduzieren die Arbeitsschritte, weil das Drucken und Scannen an den Standorten entfällt. Mit Fernaufsicht ließe sich das Ganze noch weiter verschlanken, weil ein gemeinsames Prüfungsteam nicht mehr ortsgebunden arbeitet und damit auch Vorbereitungen vor Ort entfallen. Ähnlich gelagert sind sogenannte materielle Eingangsprüfungen für Studiengangzulassungen, die auch gerne an weltweiten Standorten angeboten werden.    

Beispielszenario

Die Regularien der TUDa werden verwendet mit Computerpoolkapazitäten der h_DA für dieses fiktive Szenario. Lehrveranstaltung X will eine E-Prüfung ausrichten für 300 Teilnehmende. Annahme BYODs und Poolräume stehen zur Wahl. Per Antrag auch Fernaufsicht. Es entsteht eine eher typische Verteilung:

  • 135 wählen das BYOD
  • 90 wählen Poolcomputerraum
  • 5 stellen einen Antrag auf Fernaufsicht
  • 70 wählen nicht

  Die 70, die nicht abgestimmt haben, werden sicherheitshalber den Computerpoolräumen zugeschlagen.
Wir brauchen 160 Computerpoolraumplätze, damit wir sicher sind auch die Nichtwähler unterbringen können, wenn Überbuchung nicht zulässig ist.
  Die h_DA hat folgende Poolräume:

  • 70 Computerarbeitsplätze Campus Darmstadt ~ zentraler Raum 1
  • 30 Computerarbeitsplätze Campus Darmstadt ~ zentraler Raum 2
  • 24 Computerarbeitsplätze Campus Mathildenhöhe ~ FB-Medien Raum 3
  • 40 Computerarbeitsplätze Campus Dieburg ~ FB Wirtschaft Raum 4
  • Und die TUDa mit weiteren möglichen Computerpoolräumen könnte eine Option sein.

  Die Abfrage der Poolräume ergab: 140 Sitzplätze in 3 Poolräume vorhanden – FB Medien gibt den Raum nicht frei wegen eigener Veranstaltung.  

  • Option A: Überbuchen und hoffen (70 Nichtwähler anschauen und besonders inaktive gleichmäßig verteilen – die kommen eher nicht aus verschiedenen Gründen wie Abmeldung geplant, bereits Exmatrikuliert, Studiengangwechsel etc...)
  • Option B: Teilnehmende zum BYOD überreden – insbesondere Nichtwähler
  • Option C: Teilnehmende zum BYOD dazu buchen ~ kann zu Problemen führen
  • Option D: Teilnehmende ohne Wahl zur Fernaufsicht buchen  ~ das war im Lockdown okay
  • Option E: TUDa fragen, ob dort Computepoolräume verfügbar sind

Option B, C, D werden verworfen, weil wir keine Studierenden beeinflussen wollen und auch keine unnötigen Konflikte mit den Studierenden eingehen wollen.
Egal ob Option A oder E, es wird auf mindestens 2 verschiedene Computerpoolraumkonzepte hinauslaufen. Denn die Räume 1 und 2 haben virtuelle Betriebssysteme in denen verschiedene angepasste VMs mit z.B. Windows hochgefahren werden können. Der Raum 4 hat normale Computer.
Falls Poolräume von der TUDa dazu kommen, dann ist jetzt nicht klar welche Infrastruktur angeboten wird. Denn dort gibt es Poolräume mit VMs, normale Poolräume mit regulär installierten SEB, portabler SEB vom USB Stick, weil dieser nicht installiert ist oder SEB ist einem Netzwerklaufwerk abgelegt.

Zynischer Abschluss des Szenarios:

Von den 90 Personen die Computerpoolraum aktiv gewählt kommen 7 nicht, wegen Krankheit oder vergessen den Termin oder haben sich doch noch abgemeldet. Von den 70 Nichtwählern kamen 48 nicht. Es wurden nur 105 Computerpoolraumarbeitsplätze gebraucht ~  die hätten theoretisch in 2 Poolräume gepasst, wenn man es nur vorher gewusst hätte.

Konzept für heterogene Infrastrukturen

Es wird ein Konzept gebraucht um mit allen Infrastrukturtypen klarzukommen. Das vorgestellt Konzept besteht im Kern aus zwei „SEB“ Dateien – sogenannten Configdateien für den Safe Exam Browser sowie den Sicherheitseinstellungen und Plugins des Prüfungssystems – hier wird Moodle vorgestellt. Bei den beiden Dateien handelt es sich um eine Startkonfig für den Safe Exam Browser und einer Klausurkonfig. Es gibt zwei Hauptgründe für diese Aufteilung. Die Administrator:innen der Computerpoolräume bzw. das zuständige Personal wird unabhängig von Änderungen in der Klausur, weil sich Startkonfigs nur durch die Ziel URL und Passwörter unterscheiden. In der Regel ändert sich eine Startkonfig nicht und hält damit den Arbeitsaufwand für Administrator:innen niedrig. Der zweite Vorteil von Startkonfigs ist, dass diese derart eingestellt werden können, dass sie auf nahezu jeglichem Windows oder MAC Computer gestartet werden können.

  Die Startkonfig wird im Autostart, der zu verwendenden Benutzerkonten hinterlegt ist, oder von einem USB-Stick der Aufsicht gestartet oder ist bereits auf dem Computer hinterlegt worden, damit die Aufsichten starten können. Alternativ dazu können auch die Prüfungsteilnehmer:innen den Prüfungsstart anstoßen, wenn dauerhafte Benutzerkonten vorgesehen sind. Die Startkonfig wird als Parameter an den Safe Exam Browser übergeben innerhalb einer Batch oder in einer Verknüpfung für portablen Safe Exam Browser. Bei regulär installiertem Safe Exam Browser kann die Startkonfig auch direkt gestartet werden, weil der Dateityp „SEB“ für den Safe Exam Browser registriert ist. Die Startkonfig zeigt auf die vorgesehene Klausur – üblicherweise ein Moodle Test/Quiz oder Ilias äquivalent.

  Der zweite Teil des Startvorgangs besteht aus einer SEB Config, die normalerweise im Moodle Test hinterlegt ist, die dynamisch nachgeladen wird. Hier sind die Spezifika der Klausur enthalten wie erlaubte URLs und Programme. Der Dritte Teil des Konzepts sind die Sicherheitseinstellungen am Moodle Test selbst wie IP Filter/Beschränkung oder Spezielle Plugins die Browser/Computerwechsel bezüglich Logins feststellen.      

Startconfig schreiben

  Die Startconfig dient dazu, dass der Safe Exam Browser auf eine bestimmte URL einer Aktivität vom Typ in Moodle oder ähnliches in anderen Prüfungssystemen navigiert wird. Hierbei ist wichtig diese Config, von nun an “Startconfig” genannt, so generisch wie möglich zu halten. Ziel ist es, diese Startconfig auf jede Art von Computerpoolraum mit Safe Exam Browser Konstellation anwenden zu können. Mögliche Beispielkonstellationen mit Safe Exam Browser (der TUDa im Wise2022/2023):

  1. Win 64, remote Desktop, normal installierter Safe Exam Browser, allgemeiner TU-ID Login am Betriebssystem, Prüfungsteilnehmende starten Klausur mit SEB
  2. Win 64, lokales Betriebssystem, normal installierter Safe Exam Browser, Login am BS durch Staff
  3. Win 64, lokales Betriebssystem, “portabler” Safe Exam Browser auf Netzlaufwerk, Login am BS durch Staff,
  4. Win 64, lokales Betriebssystem, “portabler” Safe Exam Browser vom USB-Stick kopiert, Login am BS durch Staff
  5. Linux, lokales Betriebssystem, Staff Login, Autostart Chrome auf remote Win 64 Umgebung mit TU-ID Logins mit installiertem SEB (getestet aber nur im Notfall im Einsatz)
  6. Theoretisch auch: Win 64, lokales Betriebssystem, normal installierter Safe Exam Browser, personalisierte Einweg-Logins mit Autostart der Startconfig (Ähnlich zu GU Vorgehen)

Varianten 2 bis 4 werden erst durch die Startconfig gut handhabbar, weil die Startconfig entweder per Autostart oder manuell durch Startmenüeintrag, Batch starten bzw. durch Verknüpfung gestartet werden können. Der Staff muss schnell die einzelnen Rechner startklar bekommen.
  Variante 5: Startconfig sorgt für Ausschluss von Fehlbedienung.

Zentrale Intention der Startconfig:

Trennung der Zuständigkeiten – in diesem Fall wird die Startconfig benutzt, um die Computerpoolrauminfrastruktur unabhängig von der eigentlichen Prüfung vorzubereiten. Die eigentlichen Einstellungen wie erlaubte Webseiten, unerlaubte Applikationen, aus Safe Exam Browser heraus startbaren Applikationen usw. Kommen alle von der zweiten Config, die im Moodle Test hinterlegt ist. Durch die Trennung kann die Klausur eingestellt werden ohne die vorbereitetenden Startvorgänge anfassen zu müssen. Simple standardisierte Startconfigs sorgen für Verlässlichkeit. D.h. Nachbesserungen und Entfehlerung ist in der Klausurconfig zu erledigen. (Entfehlerung wie: URL vergessen im Whitelisting, kein PDF Reader aktiviert etc...)

Die Anleitung bezieht sich auf WIN 64x Safe Exam Browser Version 3.6.0.633
Wahrscheinlich bleiben die grundsätzlichen Einstellungen für Startconfigs über die nächsten Versionen gleich.

General:

Start URL zeigt auf die Aktivität, welche die Prüfung beinhaltet.

Admin Passwort nach interner Konvention
Quit: Passwort nach interner Konvention

Passwort Konventionen TUDa Stand Sose2023:

  • Startconfig und Prüfungsconfig haben gleiche Passwörter (Admin sowie Quit).
  • Adminpw: Zahlen + Buchstaben mindestens 10 Zeichen
  • Quit PW: einfaches in klein Wort ist üblich z.B. mauer, gelb, gold, insel,... Das * Quitpasswort soll auch mündlich gut kommunizierbar sein, weil es beispielsweise Passwörter werden im Prüfungsleitungsbereich hinterlegt (geschütztes Forum)

Allow user to quit SEB:
Haken ist eingeschaltet, weil das quit Passwort bei der Aufsicht bleibt für Computerpoolraumklausuren. (vgl. bei BYOD-Klausuren kann es sinvoll sein, das Passwort am Ende herauszugeben)

General-start.png

Config File:

  Wir nutzen SEB für “starting an exam”.  “Configuring a client” bereitet den Computer darauf vor beim nächsten Betriebssystart in die vorliegende Config mit SEB zu starten. Das ärgert Computerpoolraumbenutzer:innen, wenn ein Poolraum nicht exklusiv für Prüfungen genutzt wird. TUDa hat aktuell keine Computerpoolräume exklusiv für Prüfungen. Prüflinge auf MACs brauchen keinen Zugriff auf diese Einstellungen während der Klausur. Die restlichen Einstellungen nutzen wir aktuell nicht, weil keine zentrale Zertifikatsinfrastruktur für Safe Browser Browser implementiert ist.

Config_File-start.png    

User Interface

  Dieser Bereich ist für Startconfigs in Poolräume eher uninteressant. Jedoch für die eigentliche Prüfungsconfig ist er schon wichtiger.

Relevant für die Startconfig:  

  • Poolräume sind üblicherweise verkabelt, also gibt es keinen Grund W-LAN steuerbar zu machen.
  • Reload button schadet nicht, weil er ermöglicht, dass sich Prüfungsteilnehmende selbständig bei Seitenladeprobleme oder anderen Safe Exam Browser helfen können.   Relevant für die Prüfungsconfig:  
  • Browser view mode
  • Use browser window – wird üblicherweise genutzt, weil oftmals Hilfsmittel auch Platz auf dem Bildschirm brauchen und wir keinen Computerpoolraum haben mit Touchscreens.  
  • Browser Window Toolbar - Wird normalerweise nicht gebraucht, weil es einfacher ist per Link auf URL zuzugreifen und den Prüfungsteilnehmenden keine Adressbücher zur Verfügung stehen.  
  • Audio Control - Sollte auf Mute stehen, wenn keine Videos mit Ton abgespielt werden sollen. User_Interface-start.png
Browser:

  Für Startconfigs ist wichtig, dass “block when directing to a different server” aus ist.

Browser security
Die vierte Option delete cache when re-configuring or terminating SEB (Win). This setting is ignored if "Clear browser session when ending" in section Exam > Session Handling is deactivated! wird bei Ihnen ausgegraut sein, wenn Sie im Reiter Exam alles fertig eingerichtet haben.

Die Einstellungen sind für die Prüfungsconfig wichtig.

Restrictions in Exam Window
Navigations-Steuerelemente für vor und zurück sollten immer ausgeschaltet sein. -Moodle erzeugt in einigen Situationen unerwünschtes Verhalten. Show URLs sollte mindestens auf „OnlyOnLoadError“ aktiviert sein, damit können Whitelisting Fehler beim Testen schnell entdeckt werden.

Restrictions in Additional Windows Sind ungefährlich, weil das Hauptfenster mit der Prüfung/Prüfungsstart geschützt ist, das genügt üblicherweise. Show URLs sollte mindestens auf „OnlyOnLoadError“ aktiviert sein, damit können Whitelisting Fehler beim Testen schnell entdeckt werden.   Checkbox “use Seb without browser window...” Können wir nicht sinnvoll anwenden, weil keine Software in allen Hochschulen hierfür gleichermaßen zur Verfügung steht.   Alle anderen Einstellungen in Default-Einstellungen belassen.

Browser-start.png

Down/Uploads

    Für die Startconfig ist hier wichtig, dass “Download and open SEB Config Files” aktiviert ist.   Die anderen Einstellungen sind für die Prüfungsconfig wichtig. In der Startconfig bewirkt die EInstellung Download and open SEB Config Files, dass die Klausurteilnehmenden zur Moodle Einlogmaske geleitet werden. Nach dem einloggen werden die Klausurteilnehmenden auf die URL der Klausur weitergeleitet ~ Siehe URL in Reiter "General".

Down_Uploads-start.png

Exam

Hier werden die wichtigsten Einstellungen für die Startconfig getroffen.
Hier wird die Steuerung für das dynamische Nachladen von Safe Exam Browser Konfigurationen eingestellt.
Genau lesen!

Wichtig: “Use Browser Exam Key and Configuration Key” deaktivieren

Die Browser Exam Key werden in Computerpoolräume nicht zwingend gebraucht, weil die Sicherheitsmaßnahmen, im Vergleich zu BYODs stark genug sind. Wichtiger ist der ordnungsgemäße Start der Klausur. Insbesondere, wenn die Aufsicht oder der Autostart die Startconfig auslöst, dann ist auch die richtige Config gestartet und keine Betrugsconfig eines Prüflings möglich.   Durch die abgeschalteten Keys werden viele Unbequemlichkeiten ausgeschlossen, die schnell Fehler in den Einstellungen nach sich ziehen können, die einen Klausurstart verzögern, weil das Fehlererkennen und Ausliefern frischer Einstellungen ein paar Minuten braucht.

Im Vergleich dazu: Die Konfiguration der eigentlichen Klausur(im Moodle Test hinterlegt) erfordert, genau dann Browser Exam Keys, wenn Prüfungsteilnehmende eine eigene Konfigurationsdatei, die auf die URL der Klausur zeigt einbringen könnten. Folgende Szenarien können dazu führen:

  • Einsatz von BYODs ~ nur mit Safe Browser Key verwenden
  • Einsatz von Computerpoolraumrechnern mit eigenem dauerhaften Login mit Quotaspeicher / Speicherung von Lesezeichen -> TUDa HRZ Poolraum ~ Klausur im moodle Kurs bis zum Einlass in den Computerpool verstecken.
  • Einsatz von Computerpoolraumrechnern mit irgendeinem Login mit Zugangsmöglichkeiten zu eigenem Speicher (USB Stick, hochschulinterne Speicher oder freies Internet) -> Nach Computerstart sofort die Startconfig starten ~ Problem gelöst

Sicher sind im Vergleich sind:

  • Logins die direkt den SEB starten ~ normales Betriebssystem ist nicht erreichbar
  • Computerumgebungen mit beschränktem Netzwerk ~ Studierende können keine eigene Speicher erreichen
  • URL der Klausur kann bis zum Start der Klausur geheimgehalten werden – Vorbereitungen sind maximal erschwert.   Falls ein unsicherer Computerpoolraum gemeinsam mit den sicheren Computerpoolräumen mit der selben Aktivität vom Typ Test/Quiz Anwednung finden soll, dann gibt es zwei Optionen:
  • Entweder ist in der Testaktivität für jeden Computerraum bzw. Computerraumgruppe der Browser Exam Key zu ermitteln und zur Anwendung zu bringen. Hintergrund ist, dass verschiedene Konstellationen der verwendenten Computer auch verschiedene Browser Exam Key erzeugen können, aber nicht zwingend müssen. Bei einer sehr homogenen Computerpoolraumlandschaft wird möglicherweise überall der gleiche Browser Exam Key erzeugt.
  • oder die Klausur wird einfach versteckt bis zum Einlass

Beim Einsatz von BYODs bietet sich grundsätzlich an eine eigene Aktivität Test hierfür zu erstellen, weil:

  • sichergestellt werden muss, dass genau die Safe Exam Browser Konfiguration verwendet wird, die angegeben ist. Das klappt nur mit Browser Exam Keys für alle gängigen Computerplattformen (WIN 64 reicht nicht aus, MAC OS, IOS,...)
  • es beispielweise keinen Grund gibt, den Safe Exam Browser einer VM laufen zu lassen. Das würde alle Sicherheitsfeatures, die der Safe Exam Browser beinhaltet relativ einfach unterlaufbar machen.
  • Sicherheitsfeature Safe Exam Browser Service ist zu erzwingen, damit unerwünschte Programme so wirksam wie möglich ausgeschlossen werdem können und weil die Klausurteilnehmenden sich auf den BYODs Adminrechte geben werden in Benutzerkonten und damit Wege finden könnten den Safe Exam Browser zu abzuschwächen.
Reconfiguring Secure/Exam Session

Für das Startconfigkonzept ist wichtig, dass in “Recofiguring Secure/Exam Session” die Checkbox “Allow reconfiguring secure/exam session” aktiviert ist und bei ”reconfiguring URL” ein Eintrag gesetzt wurde wo die neue Config zu finden ist.Die einfachste Ziel URL ist * Die Startkonfig zeigt auf das Dashboard eines Moodle Test der Klausur. Im Dashboard der Klausur kann der Safe Exam Browser, die hinterlegte Konfiguration der Klausur starten. Die Prüfungsteilnehmenden haben keinen Einfluss auf diese Konfiguration.

Session Handling

Beim Starten des Safe Exam Browser können noch Dateien und interne Einstellungen von vorherigen Programmstarts in den Caches enthalten sein. Das können insbesondere auch Sessions von anderen Personen sein, die fahrlässig oder vorsätzlich Zugänge beispielsweise zu exam moodle offen halten. Schlichtweg kann es passieren, dass sich ein neuer User nicht einlog Damit dies verhindert wird ist die Einstellung Clear browser session when starting an exam or starting SEB -> aktivieren / anzukreuzen.
Beim Wechsel der Safe Exam Browser Konfiguration, soll gerade nicht die gestartete Moodle Session geschlossen werden. Während der Startkonfiguration wird die Login Seite von Exam Moodle geladen. Der Webbrowser wartet bis der Login stattfindet, damit die URL mit der Klausur geladen werden kann. Beim Laden der Klausur URL wird über das SEBS Protokoll, die neue Safe Exam Browser Konfiguration ausgeliefert. Der Safe Exam Browser läd neue Konfiguration dynamisch nach, die dann ausgeführt wird. Die Prüfungsteilnehmenden bekommen von den Abläufen nichts mit; außer es werden zusätzlich Knöpfe zum Starten von Programmen innerhalb des Safe Exam Browser Kiosks verfügbar. Clear browser session when ending an exam or terminating SEB (...) -> deaktivieren / nicht ankreuzen

Abbildung des Reiters Exam für eine Startkonfig:

Die Klausurkonfiguration unterscheidet sich somit sehr von der Startkonfiguration.

Applications

Permitted Processes ist meistens nicht besonders wichtig für eine Startkonfiguration. Meistens ist diese leer. Wir empfehlen die Applikationen erst in der Klausur

Abbildung: Beispiel für eine leere Liste Applications_permitted_empty-start.png

Programme mit normaler Startgeschwindigkeit können in der Klausurkonfig im Test definiert werden. Langsam startende Programme wie so beispielsweise einige der CAD Anwendungen können bereits in der Startkonfig eingetragen werden, damit Prüfungsteilnehmende die Programme bereits starten können mit der Option Icon in taskbar.

Abbildung: Beispiel für Applikationen mit langen Ladezeiten, die frühzeitig geladen werden sollten.

Prohibited Processes Eher unwichtig in Computerpoolräumen in denen die Prüfungsteilnehmenden keinen Zugang zum Betriebssystem haben oder keine Kommunikationsprogramme installiert sind bzw. keine Berechtigung haben solche auszuführen. Bei BYODs ist die Blacklist möglichst umfassend zu führen. In Computerpoolräumen bei denen Prüfungsteilnehmenden mit dem Betriebssystem in Kontakt kommem, sollte normalerweise bekannt sein, welche Software installiert und was davon für die Prüfung schädlich sein könnte.Prinzipiell sollten Programme unterbunden werden, die Bild und Ton herausstreamen dürfen außer Aufsichtssichtssoftware. Prinzipiell können USB und Line In bzw. festverbaute Mikrofone genutzt werden indem ein Voice Chat bereits vor dem Safe Exam Browser gestartet wurde. Mit vorgetäuschten Selbstgesprächen könnte die Klausur herauskommuniziert werden. Die nächste Hürde ist von den Helfenden auch wirklich Hilfe zu empfangen, dann die Systemlautstärke ist wie besprochen heruntergeregelt. (Toilettengang...?) Einige Videostreamingverfahren werden möglicherweise vom SEB nicht erkannt (siehe Reiter Security), das Prozedere ist ähnlich zum Audio. Mit jedem Programm was verboten wird, werden auch die Optionen weniger. Der Safe Exam Browser testet auf die verbotenen Programm und fordert zum Schließen selbiger vor der Klausur auf. Nicht verbotene Programme und nicht gewhitestete Programme sind zumindest nicht ansteuerbar während einer SEB Sitzung. Täuschungsversuche erfolgreich über Poolraumcomputer durchzuführen schwierig. Im Vergleich dazu ist es sehr viel einfacher mit Smartphone und Toilettengang Täuschungsverfahren zu implementieren.

Abbildungsbeispiel für eine Verbotsliste

Network

Für die Startkonfig kann im einfachsten Fall alles deaktviert bleiben. Die Prüfungsteilnehmenden bleiben nach dem Start des SEB in der Loginmaske von Moodle hängen. Die Klausurkonfig hat hier voll umfängliche Einträge mit bei aktiviertem URL Filtering. Die leere Whitelist soll helfen den administrativen Aufwand zu begrenzen. Es ist ja gerade nicht der Zweck der Startkonfiguration andauernd neue Startkonfigurationen zu den Computeradministratoren zu schicken bei kleinen Änderungen.

Abbildung: Beispiel einer Startkonfig im Reiter Network

In der Klausurkonfiguration werden die Whitelistfunktionen sehr ausgegiebig eingesetzt.

Security

[TODO] Beim Einsatz von Computerpoolraumrechner unterscheidet sich dieser Reiter gravierend von Einstellungen zu BYODs.
SEB Service Beachten Sie die orangefarbene Box. Es ist eine ausgegraute Checkbox zu sehen für "Allow remote session/screen sharing". Diese Box ist ** zu aktivieren/anzukreuzen**. Wenn dies nicht Fall ist, dann können Thin Clients, die bespielsweise auf CITRIX basieren nicht verwendet werden. Beispielsweise die TUDa HRZ Computerpools oder die geplanten FB20 Computerpools an der TUDa basieren auf solcher Technologie. Ebenso werden Computerpoolräume an der Hochschule Darmstadt oder der Goethe Universität Frankfurt auf diese Art betrieben.
Gehen Sie folgt vor:

  • Entfernen Sie die den Haken bei "Ignore SEB Service"
  • Aktivieren / Kreuzen Sie "Allow remote session/screen sharing" an
  • Aktivieren / Kreuzen Sie "Ignore SEB Service" an

Das deaktivieren des SEB Service macht den Safe Exam Browser portabel. Er kann mit dieser Einstellung von Netzlaufwerken, von der lokalen Festplatte oder zur Not auch von einem USB Stick gestartet werden ohne eine Installation. Die Dateien des Safe Exam Browser müssen lediglich entpackt vorliegen.

Registry

Hier gibt es nichts zu tun, weil der SEB Service deaktiviert ist für Computerpoolräume. Beim Einsatz von BYODs sind hier dringend Einzchränkungen zu treffen und der SEB Service ist anzuwenden, weil BYODs für die Prüfungsleitung Blackboxen sind. Aus diesem Grund müssen die Klausuren auf BYODs stärker gegen Täuschungsversuchsvorbereitungen gesichert werden.

Abbildung: Deaktivierter Registry Reiter

Hooked Keys

Bei den Hooked Keys gibt es für die Startkonfig nicht viel zu tun.

Abbildung: Startkonfig und übliche hooked Keys

Klausurconfig für Computerpoolräume

Diese zweite Safe Browser Konfiguration wird im Moodle Test der Computerpoolräume hinterlegt. Folgende Einstellungen gilt es zu treffen:

General

Die URL ist die gleiche wie in der Startkonfiguration.
Die Passwörter können von der Startkonfiguration übernommen werden. Aus Gründen der Vereinfachung ist die Empfehlung für Startkonfiguration und Hauptkonfiguration die gleichen Passwörter zu nehmen.

Config File

Die Einstellungen sind gleich der Startkonfiguration.

User Interface

Die Einstellungen sind die gleichen wie in der Startkonfiguration.

Browser

Im Reiter Browser sind die Einstellungen gleich wie in der Startkonfiguration.

Down/Uploads

Es wurden gute Erfahrungen gemacht mit dem eingebauten PDF-Reader (PDF plugin). Inbesondere bei der Verwendung von BYODs ist der eingebaute PDF-Reader von großem Vorteil. Alternativ kann ein PDF-Reader im Applikationsbereich freigeschaltet werden, was prinzipiell funktioniert, aber mehr Aufwand beim Testen erfordert.

Beispielabbildung: einer Klausurkonfiguration im Bereich Down/Upload

Wichtige Einstellungen sind:

  • Allow downloading and uploading zu deaktivieren, wenn kein Applikationeinsatz geplant ist und auch keine Webapplikationen verwendet werden sollen, die lokale Dateien verwenden. Die Speicherungsorte sind auszuprobieren mit Testläufen.
  • Allow using Acrobat Reader PDF plugin bei Bedarf aktiviern. Deaktivieren, wenn keine PDFs zu lesen sind.
  • Download and open SEB Config Files: Üblicherweise wird die Option in Klausurkonfigurationen deaktiviert. Das Nachladen ist nur interessant, wenn eine Klausur in beispielsweise zwei Teilklausuren geteilt ist mit verschiedenen Modalitäten wie Recherche oder Programmanwendung oder einfach nur getrennte Bewertung von Kompetenzen (Wissen und Essay Schreiben)
Exam

In Exam unterscheiden sich die Einstellungen von der Startkonfiguration. Wie für Computerpoolräume üblich bleiben die Browser Exam Key und Configuration Key deaktiviert.
Allow reconfiguring secure/exam session ist deaktiviert und Gründe zur Aktivierung sind analog zu Download and open SEB Config Files im Reiter Down/Uploads.

Session Handling: Die beiden Optionen müssen wie im Screenshot eingestellt sein. Clear browser sessionwhen starting an exam or starting SEB soll deaktiviert sein. Clear browser session when ending an exam or terminating SEB soll aktiviert sein.

Weitere Einstellungen

Back to Start Der Back to Start Knopf sollte bei unerfahrenen Prüfungsteilnehmenden lieber deaktiviert sein, weil er zwei Probleme erzeugt und nur einen Vorteil bringt:

  • Vorteil: Falls in der Klausur ein manuell gesetzter Link fehlerhaft ist, dann können Prüfungsteilnehmende normalerweise nicht mehr in die Klausur zurücknavigieren (Back/Forward ist normalerweise deaktiviert im Reiter Browser, weil dies noch schlimmeren Problemen führt). Apell: Testen Sie Ihre Prüfungen! Achten Sie auf Ihre Hyperlinks, die selbst setzen in den Aufgabenstellungen. Diese sollen immer in ein Neues Fenster bzw. Tab geöffnet werden.
  • Nachteil #1: Wenn dieser Knopf aktiviert ist und einem Prüfungsteilnehmenden verwendet wird, dann verhält sich der Moodle Test nicht wie gewohnt. Es wird keine Zwischenspeicherung der aktuellen Seite vorgenommen, weil der Knopf Back to Start nicht zwingend auf einen Hyperlink, den es auf der aktuellen moodle Test gibt verwendet wird (sofern sich der User nicht aus einer Sackgasse befreien will, wo es eh keine Hyperlinks zum Moodle Test seiner Klausur gibt!). Folge beim unnötigen Benutzen des Knopfes können die User Datenverlust erleiden.
  • Nachteil #2: Wenn der Back to Start Knopf mit dem Quit Password belegt ist, dann werden die User Aufsicht herbeirufen für die Eingabe des Quitpassworts und verlieren Zeit. Die Aufsicht wird mit unnötigen Aufgaben belastet und kommt Ihrer Hauptaufgabe nicht nach: Präesenz zeigen, Abschrecken, Täuschungsversuche vereiteln.

Abbildung: Beispiel Exam Reiter für Hauptkonfigurationen

Applications

Bei einfachen Computerprüfungen werden keine zusätzlichen Programme gebraucht. PDF Reader sind im Webbrowser integriert und machen die Verwendung von EBooks auf diesem Wege einfach. Recherche Arbeiten werden über das Whitlisting für URLs im Reiter Network realisiert. Somit gibt es bei Permitted Processes nichts zu tun.

Abbildung Application am Beispiel einer normalen Klausur

Grundsätzlich: Wir begrüßen kompetenzorientiertes Prüfen - es ist unser Auftrag kompentenzorientiertes Prüfen umzusetzen.
Wenn Sie planen Programme in der Klausur anwenden zu lassen, dann ist die erste Empfehlung: Webapplikationen vor lokalen Applikationen. Bei Webapplikationen genügt oft ein Eintrag für ein Whitelistung zur Bereitstellung. Lokale Applikationen müssen in den Computerpoolräumen jeweils installiert sein. Bei BYODs sind die Hürden viel höher - es müssen Lizenzen, Versionen, Startparameter und lokale Verzeichnisse festgeschrieben werden - das sind alles Parameter, die im Computerpoolräumen besser beherrschbar sind.
Empfehlung Nummer zwei: Lokale Applikationen nur in Computerpoolräumen verwenden
Die letzte Empfehlung ist Kunde nur eines Computerpoolraumbetreibers zu sein, um den Test- und Konfigurationsaufwand minimal zu halten (=weniger fehleranfällig).
Dem EPrüfungsteam ist klar, wenn sich auf einen Computerpoolraumtyp beschränken, dass die Klausur je nach Raumangebot auf 132 bis 156 Sitzplätze beschränkt ist, wenn kein Schichtbetrieb mit mehreren Aufgabensätzen geplant wird.

Abbildung Applications am Beispiel einer CAD Klausur applications.png

Network

Abbildung: Beispiel einer Klausurkonfig eines CAD Kurs im Reiter Network Network-Klausur_v2.png

Es ist für die Klausurkonfig zu testen, ob nicht Teile von Moodle durch nicht gesetztes Whitelisting geblockt werden. Der Haken bei "Filter also embedded content" muss je nach Hilfsmittel getestet, ob es noch funktioniert.

Hier ist der Haken bei Activate URL Filtering zu setzen, sonst wird nichts gefiltert.

Nach mehreren Jahren Anwendung von SEB haben wir neben den eigentlichen Hilfsmitteln in der Whitelist folgende Moodle-Pfade:
moodle
https://moodle-exam.tu-darmstadt.de/mod/quiz*
https://moodle-exam.tu-darmstadt.de/theme*
https://moodle-exam.tu-darmstadt.de/lib*
https://moodle-exam.tu-darmstadt.de/login*
https://cdn.jsdelivr.net/npm*
https://moodle-exam.tu-darmstadt.de/question*
https://moodle-exam.tu-darmstadt.de/repository*
https://moodle-exam.tu-darmstadt.de/draftfile.php*
https://moodle-exam.tu-darmstadt.de/h5p*
https://moodle-exam.tu-darmstadt.de/user*
https://moodle-exam.tu-darmstadt.de/plugin*
https://moodle-exam.tu-darmstadt.de/course*
https://moodle-exam.tu-darmstadt.de/mod*
https://moodle-exam.tu-darmstadt.de/auth*
https://moodle-exam.tu-darmstadt.de/Shibboleth*
sebs*
sebs://moodle-exam.tu-darmstadt.de/mod*

SSO
https://login.tu-darmstadt.de*
https://sso.tu-darmstadt.de*

Webseiten
https://safeexambrowser.org*
https://oeis.org/wiki/List_of_LaTeX*
https://latex-tutorial.com/tutorials/amsmath* https://www.iim.maschinenbau.tu-darmstadt.de/CAD-Tutorial*
https://viliusle.github.io/miniPaint/*
https://webdemo.myscript.com*
https://app.diagrams.net*
https://www.desmos.com/scientific*
https://uni-tuebingen.de/fileadmin/Uni_Tuebingen/Fakultaeten/MathePhysik/Institute/IAAT/AIT/Tools/taschenrechner.html
https://web2.0rechner.*
*.deepl.com*
*.pons.com/text-*
*translate.google.com/?hl*

Die Pfade von Moodle sind auf die eigene Organisation anzupassen. Das eigene SSO ist ebenso freizugeben.

Security

Die Einstellungen sind wie in der Startkonfiguration zu wählen. Das heißt insbesondere "Ignore SEB Service" aktivieren und dafür sorgen, dass das ausgraute "Allow remote session/screen sharing aktiviert ist".
Lediglich bei Clipboard Policy ist zu entscheiden, ob "Allow" oder "SEB Only" angewendet werden soll. Mit "Allow" kann zwischen allen Programmen im Kioskmodus copy and paste verwendet werden. Mit "SEB Only" nur innerhalb des bereitgestellten Webbrowsers. Für "Block" gibt es kaum gute Gründe, denn diese Option macht nur Sinn, wenn wirklich keine Interaktion mit anderen Webseiten vorgesehen ist - also nicht einmal ein online Wörterbuch oder Übersetzter.

Registry

Bei Registry gibt nichts zu tun, weil der SEB Service deaktiviert ist.

Hooked Keys

Die Hooked keys werden ebenfalls wie in der Startkonfig eingestellt.