[工业用] 17763 with kb4476976 esd & winpe

nidnil

如果对封装环境的安全性不做要求，建议略过此帖。


下载后请验证 sha1。
pan.baidu.com/s/1gvaUl7q5-RSMipXHHkcStQ 提取码: 7wjp

文件名：
*ServerDatacenter*  ：windows server 2019 数据中心
*EnterpriseS*       ：windows 10 1809 LTSC 企业长期服务支持版
*WindowsPE*         ：提供了一个整合补丁且定制化的 winpe 文件（没有桌面）

Q：这个镜像有什么特点？
A： 可以达到线上部署的安全要求。
    直接在联网使用过一段时间的 windows 操作系统上进行系统封装，存在受病毒木马影响的安全风险。
    为了降低这个风险，封装操作是在无网络的虚拟机环境中进行，
    操作系统环境则是由经过 sha1 验证无误的官方 iso 中的 winpe 提供（镜像 2）。
    所有工具均来自经过 hash 验证的官方 iso，没有任何第三方工具参与。
    与直接使用官方安装光盘部署操作系统的安全性接近。

Q：如何确保安全？
A： 利用虚拟机的资源隔离特性。
    同时使用 hash 确保文件来源可靠。
    安全补丁使用 iso 打包，然后验证内部文件 hash，最后挂载的方式导入虚拟机。

Q：打包流程是什么？
A： 1. 初始化虚拟机硬盘。
    2. 释放原版镜像到目录（官方 winpe 不支持 wim mount）
    3. 离线打 SSU (堆栈更新) 和 LCU (累积更新) 补丁。
    4. 清理旧补丁。
    5. 捕获至 wim 文件，并舍弃临时文件。（比如注册表的临时文件，官方 dism 不支持直接压缩成 esd）
    6. 将 wim 转换成 esd。（这样可以保证镜像文件小于 4GB，可以支持 fat32 文件系统 U盘）
    7. 计算 esd 文件的 sha1，并将结果添加到文件名末尾。

Q：winpe 封装流程是一样的么？
A： 除了上述的操作，（没有 6，esd 格式官方不支持作为可启动镜像）
    额外修正官方 iso 自带 winpe 注册表中的路径数据（镜像 1），
    修改开机启动逻辑为：执行特定设备上指定目录下的批处理脚本（不依赖盘符）。

Q：winpe 启动逻辑有哪些？
A： winpe 启动后会自动搜索 移动设备 的 二级目录是否包含 cmd 文件夹，仅匹配第一个。
    1. 如果有，将此文件夹加入环境变量 path，并尝试执行 path 路径当中的 init.cmd。输出硬件信息并等待输入。
    2. 如果搜不到，则从 本地磁盘、CD-ROM、移动设备上，依次搜索二级目录下的第一个 recovery.cmd 脚本并执行（如果有的话）。
    ps：情况 1 可用于启动 U 盘上的指定工具。
        情况 2 可以用于启动硬盘上的系统恢复逻辑。

Q：winpe 启动必要文件有哪些：
A：
    \bootmgr            (MBR 启动文件，需要活动分区标记)
    \boot\bcd           (MBR 启动配置文件，由 bootmgr 确定读取路径)

    \boot\boot.sdi      (镜像启动载入文件)

    \efi\boot\bootx64.efi       (EFI 启动文件，需要 fat32 文件系统)
    \efi\microsoft\boot\bcd     (EFI 启动配置文件，由 bootx64.efi 确定读取路径)

    \sources\boot.wim           (启动镜像，由 bcd 配置文件控制)

nidnil

打包时的排除文件列表：

\$*
\boot*
\hiberfil.sys
\pagefile.sys
\swapfile.sys
\ProgramData\Microsoft\Windows\SQM
\System Volume Information
\Users\*\AppData\Local\GDIPFONTCACHEV1.DAT
\Users\*\AppData\Local\Temp\*
\Users\*\NTUSER.DAT*.TM.blf
\Users\*\NTUSER.DAT*.regtrans-ms
\Users\*\NTUSER.DAT*.log*
\Windows\AppCompat\Programs\Amcache.hve*.TM.blf
\Windows\AppCompat\Programs\Amcache.hve*.regtrans-ms
\Windows\AppCompat\Programs\Amcache.hve*.log*
\Windows\CSC
\Windows\Debug\*
\Windows\Logs\*
\Windows\Panther\*.etl
\Windows\Panther\*.log
\Windows\Panther\FastCleanup
\Windows\Panther\img
\Windows\Panther\Licenses
\Windows\Panther\MigLog*.xml
\Windows\Panther\Resources
\Windows\Panther\Rollback
\Windows\Panther\Setup*
\Windows\Panther\UnattendGC
\Windows\Panther\upgradematrix
\Windows\Prefetch\*
\Windows\ServiceProfiles\LocalService\NTUSER.DAT*.TM.blf
\Windows\ServiceProfiles\LocalService\NTUSER.DAT*.regtrans-ms
\Windows\ServiceProfiles\LocalService\NTUSER.DAT*.log*
\Windows\ServiceProfiles\NetworkService\NTUSER.DAT*.TM.blf
\Windows\ServiceProfiles\NetworkService\NTUSER.DAT*.regtrans-ms
\Windows\ServiceProfiles\NetworkService\NTUSER.DAT*.log*
\Windows\System32\config\RegBack\*
\Windows\System32\config\*.TM.blf
\Windows\System32\config\*.regtrans-ms
\Windows\System32\config\*.log*
\Windows\System32\Recovery
\Windows\System32\SMI\Store\Machine\SCHEMA.DAT*.TM.blf
\Windows\System32\SMI\Store\Machine\SCHEMA.DAT*.regtrans-ms
\Windows\System32\SMI\Store\Machine\SCHEMA.DAT*.log*
\Windows\System32\sysprep\Panther
\Windows\System32\winevt\Logs\*
\Windows\System32\winevt\TraceFormat\*
\Windows\Temp\*
\Windows\TSSysprep.log

SysStorage

听着是个好东西，不知道用起来怎么样

liutr

有点深奥哦，特色不明显，吸引力不强

liutr

有点深奥，特色感不强，下载欲望不强烈

nuandong327

感谢楼主分享！

jrzy

谢谢楼主分享...

ranxudong

好高大上啊！！！

ycluojs

谢谢楼主分享...

韦小宝2

在工商局过检没？哪一个无尘车间生产的？哈哈

fantong

谢谢楼主分享，辛苦了，

追逐梦想的青年

谢谢楼主分享

sevenyu

一直没搞懂原版加个补丁封装有什么用？

HFL045219

雾里看花---------还是一片雾

王永胜1994

目测好东西

wzzok

这样是原版？还是精简版。。？

kissmewen

SysStorage 发表于 2018-12-16 13:38
听着是个好东西，不知道用起来怎么样

你装下看看不就知道了

kissmewen

HFL045219 发表于 2018-12-16 16:26
雾里看花---------还是一片雾

老哥一片好云彩

kissmewen

nidnil 发表于 2018-12-16 13:28
打包时的排除文件列表：

\$*

这些排除的是用dism++设置的么

HFL045219

衣服补个疤子，还要搞个撒嘛花样