打造安全的Windows安装盘[1]

每次安装好Windows之后还有很重要的一件事情要做，那就是加固处理——配置系统，增强其安全性、稳定性。加固Windows 2000/XP的关键步骤包括安装各种Service Pack、Hotfix，修改注册表，改变不安全的默认配置。遗憾的是，不是每一个人都注意到了加固Windows的重要性，因此Internet上才会有数不清的计算机脆弱得不堪一击，甚至沦落为传播蠕虫病毒的温床。 一种比较理想的解决办法是制作一个预装了各种Service Pack、Hotfix的Windows安装盘，然后用这种天生安全的安装盘安装Windows，安装好之后不必再另行安装Service Pack、Hotfix，从而实现Service Pack、Hotfix的一体化安装。遗憾的是，微软提供的这方面的工具很少，而且近期似乎不打算提供适当的工具来支持本文讨论的一体化安装。不过，只要借助于第三方工具，同时运用一些经验和技巧，我们还是可以手工制作出安全的Windows安装盘。 但必须指出的是：本文不是为那些想要偷懒或胆小的用户写作的。特别地，为Windows安装盘加载Hotfix的过程极其繁琐，而且微软有可能在将来的某一天突然更改其补丁安装策略，使本文介绍的操作方式不再有效。不过，如果你需要安装大量的Windows系统，本文介绍的办法值得一试。 一、准备安装文件 安装Win 2K/XP的方式很多，如网络安装、无人值守安装、磁盘克隆等，但有一种方式微软至今尚未直接支持，那就是定制可启动的安装CD——它可以作为其他安装方式的基础，非常实用。第一步是创建一个Windows的发布目录，将它作为可启动安装CD的源目录，为保证文件的完整性，应当严格确保该目录的安全。 以Win 2K为例，首先将Win 2K安装CD的所有内容复制到硬盘上的发布目录。通常，安装CD上有许多文件根本不会用到，为了给其他工具、Service Pack、Hotfix留出空间，最好将这些不用的文件和目录删除。 一般而言，删除下列文件和目录不会带来任何问题：\bootdisk，\setuptxt，\support，\valueadd，read1st.txt，以及readme.doc。如果Windows安装盘只用于全新安装，不用于升级，还可以安全地删除下列文件和目录：\i386\win9xmig，\i386\win9xupg，\i386\winntupg，autorun.inf，以及setup.exe。另外，常用的小软件也可以直接放入Windows安装盘，例如，我们可以为Windows安装盘创建一个存放常用软件的\software目录、一个存放更新文件的\updates目录。 二、加载Service Pack 将Service Pack直接集成到Windows安装文件的好处很多，例如，Service Pack将成为Windows安装文件密不可分的一部分，安装好Windows以后如果要添加或删除某些组件，系统将自动使用经过Service Pack更新后的文件，而不是原始安装盘上的文件。 当然，这种安装方式也有其缺点，这就是Service Pack不可卸载——所以如果有必要，首先应当确认一下安装Service Pack之后应用软件仍能正常运行。 首先从微软网站下载一份最新的Service Pack（例如，Service Pack 4，即SP4），执行w2ksp4.exe -s:<Windows发布目录>，命令执行完毕后，Windows发布目录中的安装文件已经被Service Pack更新了。 三、加载Hotfix 微软官方不支持将Hotfix加载到Windows安装文件，通常，当我们添加或重新安装了一个Windows组件（例如IIS），就必须重新安装所有的Hotfix，确保所有文件都是最新的。之所以如此，原因就在于添加组件时，安装程序会分析安装配置文件（.inf文件），据此确定从哪里获取当前安装的组件所需的文件。 如果我们安装的是Service Pack，.inf文件会指向Service Pack提供的更新后的文件；但如果安装一个Hotfix，.inf文件不会被更新，因此，如果要将Hotfix加载到Windows安装