- 积分
- 136
- 最后登录
- 2024-3-13
- 精华
- 0
- 阅读权限
- 20
- 主题
- 69
- UID
- 3583859
- 帖子
- 341
- PB币
- 754
- 威望
- 0
- 贡献
- 0
- 技术
- 15
- 活跃
- 474
- UID
- 3583859
- 帖子
- 341
- PB币
- 754
- 贡献
- 0
- 技术
- 15
- 活跃
- 474
|
本帖最后由 nidnil 于 2019-2-13 18:47 编辑
如果对封装环境的安全性不做要求,建议略过此帖。
下载后请验证 sha1。
pan.baidu.com/s/1gvaUl7q5-RSMipXHHkcStQ 提取码: 7wjp
文件名:
*ServerDatacenter* :windows server 2019 数据中心
*EnterpriseS* :windows 10 1809 LTSC 企业长期服务支持版
*WindowsPE* :提供了一个整合补丁且定制化的 winpe 文件(没有桌面)
Q:这个镜像有什么特点?
A: 可以达到线上部署的安全要求。
直接在联网使用过一段时间的 windows 操作系统上进行系统封装,存在受病毒木马影响的安全风险。
为了降低这个风险,封装操作是在无网络的虚拟机环境中进行,
操作系统环境则是由经过 sha1 验证无误的官方 iso 中的 winpe 提供(镜像 2)。
所有工具均来自经过 hash 验证的官方 iso,没有任何第三方工具参与。
与直接使用官方安装光盘部署操作系统的安全性接近。
Q:如何确保安全?
A: 利用虚拟机的资源隔离特性。
同时使用 hash 确保文件来源可靠。
安全补丁使用 iso 打包,然后验证内部文件 hash,最后挂载的方式导入虚拟机。
Q:打包流程是什么?
A: 1. 初始化虚拟机硬盘。
2. 释放原版镜像到目录(官方 winpe 不支持 wim mount)
3. 离线打 SSU (堆栈更新) 和 LCU (累积更新) 补丁。
4. 清理旧补丁。
5. 捕获至 wim 文件,并舍弃临时文件。(比如注册表的临时文件,官方 dism 不支持直接压缩成 esd)
6. 将 wim 转换成 esd。(这样可以保证镜像文件小于 4GB,可以支持 fat32 文件系统 U盘)
7. 计算 esd 文件的 sha1,并将结果添加到文件名末尾。
Q:winpe 封装流程是一样的么?
A: 除了上述的操作,(没有 6,esd 格式官方不支持作为可启动镜像)
额外修正官方 iso 自带 winpe 注册表中的路径数据(镜像 1),
修改开机启动逻辑为:执行特定设备上指定目录下的批处理脚本(不依赖盘符)。
Q:winpe 启动逻辑有哪些?
A: winpe 启动后会自动搜索 移动设备 的 二级目录是否包含 cmd 文件夹,仅匹配第一个。
1. 如果有,将此文件夹加入环境变量 path,并尝试执行 path 路径当中的 init.cmd。输出硬件信息并等待输入。
2. 如果搜不到,则从 本地磁盘、CD-ROM、移动设备上,依次搜索二级目录下的第一个 recovery.cmd 脚本并执行(如果有的话)。
ps:情况 1 可用于启动 U 盘上的指定工具。
情况 2 可以用于启动硬盘上的系统恢复逻辑。
Q:winpe 启动必要文件有哪些:
A:
\bootmgr (MBR 启动文件,需要活动分区标记)
\boot\bcd (MBR 启动配置文件,由 bootmgr 确定读取路径)
\boot\boot.sdi (镜像启动载入文件)
\efi\boot\bootx64.efi (EFI 启动文件,需要 fat32 文件系统)
\efi\microsoft\boot\bcd (EFI 启动配置文件,由 bootx64.efi 确定读取路径)
\sources\boot.wim (启动镜像,由 bcd 配置文件控制)
|
|
