浅谈1909版64位Win10专业版封装过程

2021-04-03王立勇

工程技术与管理 2021年10期

王立勇

国家能源集团国网能源新疆准东煤电有限公司，中国·新疆昌吉 831800

1 引言

随着信息化在企事业单位的全面普及，企事业单位一般具有百余台网络设备、几十台服务器和数百台计算机，作为公司的信息负责人，工作越来越重。针对这数百台计算机，重装原版系统耗时长，使用网上的免费系统部署快，但被预安装了很多第三方软件、插件，无法彻底清理干净，大多数系统被植入病毒、木马、广告或者危险程序，存在很大安全隐患，达不到集团公司软件正版化要求。在这种情况下，封装一个能够快速部署、安全、纯净、具有企业特色的Win10系统成为迫切需要。

2 系统封装

封装系统就是要把原版系统安装在计算机上，再进行更新、优化、精简、安装必要插件、软件、系统设置等，最后要剥离驱动进行封装，打包出自己想要的系统，使之部署后能直接达到最终要求。

2.1 系统选择

Win10系统官方提供的版本较多，最新Win10有商业版和消费版两大类，每类里面又分专业版、企业版、家庭版、教育版等。本次封装选用1909版本的Win10商业版，安装的是里面的专业版。

这是Win10最新版本，网上还没找到这个版本的封装教程，教程最多的是1709版本，使用最新版本也给笔者带来了很大的挑战性。

2.2 母盘制作

Win10为了使用的便利性，附带了太多的组件，如果为了满足办公需要，够用就行，有些组件在系统安装好后可以直接卸载，有些无法卸载，即使能卸载也会在系统中有残留，所以要在安装前对原始ISO映像文件进行组件精简，使用NTLite软件，移除不需要的组件和版本。

主要移除的组件有：Defender、Office等已购买相应的正版软件，必须移除；Edge、应用商店、时间线、邮件、手机、天气等，根据情况移除，把能移除的都去掉，原则是在确保正常使用的前提下，保留的东西越少越好，运行越小，以后出问题的几率越小，进而减少工作量。

Win10各版本区别很大，同一组件在不同版本中有的可移除，有的不可移除，并且归类位置也不尽相同。使用NTLite制作母盘时，移除组件是去掉勾选，移除版本是勾选。

精简ISO时，不要尝试去除各种硬件驱动、不要去除Windows自带的组件Media Player，否则会在生成ISO时出错。如果制作母盘时不精简组件，使用原版映像进行安装和封装，请务必第一时间关掉应用商店服务，最好是安装时先断网。

2.3 部署封装环境

安装虚拟机VMware、创建虚拟机、硬盘分区。封装系统一般在虚拟机里进行，如果把系统安装在物理台式机上，其中一步出错就要重新再来，而在虚拟机里每一步都可以保留快照，这一步出错直接恢复上一步的快照即可。而且物理光驱远没有虚拟光驱来的方便，使用虚拟机可以移除大部分硬件，使系统瘦身，最后封装时也会减少剥离。

综合来看使用物理机封装系统几乎不可能，所以必须使用虚拟机。I7七代及以上的CPU不支持普通启动模式，必须在UEFI启动模式下，Win10系统在新老机器两种模式下都可以安装和启动，硬盘模式MBR和GPT也都可以安装，考虑到对新机器的广泛适用，这次封装系统选择UEFI启动模式，硬盘选择GPT格式进行。在PE下把硬盘转换成GPT格式，再创建ESP和MSR这两个分区，然后再分其他区。

在安装系统中也可以对未分区的硬盘进行操作，但都达不到这种要求。顺便提一下，封装Win7安装系统时，也要先分好区再安装系统，在安装系统时进行分区会在前面自动分出一个100M的小分区，以后每次部署都要进行引导修复。

2.4 安装系统

使用精简好的系统映像挂载安装，不跳过开箱体验OOBE，进行完全安装。系统装好后，保存快照，重启几次确认没问题，先进行一次封装，验证一下制作的ISO是否正常、系统是否正常，否则还得重新再来。

接下来的每一步都要留快照，而且每一大步都进行封装检验，能通过再进行下一步，不能通过就在这一步找原因，或者跳到上一步重新再来。

2.4.1 安装必要软件和系统设置

把所需要的一切东西都装全，运行库、工具软件、杀毒、文字处理、输入法还有各平台插件、IE设置、语言设置等。Win10中的语言选项有两项，默认应用语言和默认输入语言。默认应用语言也就是Windows显示语言，选择中文，这个如果选择了英文，开始菜单以及打开的程序就都变成英文的了，相当于安装了英文版的win10。默认输入语言根据个人习惯，尽量选择英文。

另外安装第三方输入法，删除自带的微软拼音，更改一下输入法切换按键，默认设置和之前的winXP、win7的切换键不一样。

2.4.2 封装前的准备

所有工作完成后进行一次系统更新、清理和优化。

首先进行系统更新，因为用的是最新的1909版本，需要打的补丁没几个。安装完所有运行库、控件、插件、软件后，还会产生相应的漏洞，反复进行扫描、更新、重启，直到不再出现新的补丁。

清理使用Dism++中的空间回收进行全面清理，优化根据个人需要自行处理。Win10由于打的补丁较少，可回收的空间不是太多，这个在Win7中效果比较突出，Win7SP1大约有140个补丁需要更新，能够回收几个G的空间。

系统清理和优化软件非常多，能够进行系统清理、系统修复、启动项优化即可，不建议同时使用多个优化软件，选一个好用的就行。

清理优化完成后保存快照，接着要对系统进行全面测试。各种软件测试，通过浏览器登录各种应用平台，确保各项功能正常使用。虚拟机是一个最小测试平台环境，如果在这里出错，那以后部署到台式机上肯定会出更大的问题。

2.4.3 封装

使用的封装工具是Easysprep4.3，是一个比较老的版本，分两步进行，第一阶段直接在系统下进行，这一阶段非常重要，九成以上的错误会在这里报出来。第二阶段是在PE中进行，封装设置项较多，根据情况进行逐项设置。

2.4.4 导出映像

导出.gho映像使用GHOST，导出.wim映像使用Dism++，不要使用PE带的映像工具，会有第三方软件注入，以后部署亦是如此。

3 部署

所谓的部署就是把封装出来的系统映像安装在机器上。封装出来的Win10映像是可以部署在MBR格式的硬盘中的，这里不再讨论。

部署在GPT格式硬盘中时，先把目标硬盘转换成GPT格式，并分出ESP和MSR这两个分区，然后再分其他区。把Win10映像部署后，开机是无法启动的，因为新分的ESP分区中没有启动文件，需要进行引导修复，大多数能修复Win7引导的都不好用。

可以使用Dism++解决问题，选中系统进入工具箱，进行引导修复。这只针对硬盘新分区的部署，对正在使用Win10的机器重装系统不需要这一步。这样部署出来的系统，一定要在BIOS里设置UEFI启动[1]。

部署后要注意两点问题：

一是部署后设置好的IE选项会有一小部分恢复到默认设置，需要手动更改一下，Win7、Win10都有出现。

二是Win10语言项部分恢复默认状态，需要手动调整一下，Win7没问题。这种封装、部署不同于纯粹的GHOST备份，具有安装过程，一些地方恢复到默认状态也算正常。

4 ISO封装制作

系统封装绝大部分是导出WIM、ESD、GHO格式的文件，一直在使用GHOST制作GHO格式的文件。网上几乎没有封装ISO格式的教程，尝试使用了几种方法做出的ISO都不能很好地在云终端识别，使用网上流行的软碟通做出的ISO能够在PE和虚拟光驱里运行，并成功安装了一台计算机，但在虚拟终端里不能用，最终使用NTLite软件封装ISO映像。首先封装出WIM格式的映像，文件改名为install.wim，找到用来制作母盘的在微软下载的原版ISO映像，解压后里面有个sources文件夹，用封装出来的映像文件替换原版中的这个install.wim文件。

在NTLite软件里面选择挂载文件夹，把原版映像解压出来的文件夹（替换了install.wim文件的）加载进来，挂载好后在应用里勾选创建ISO，点击开始即可，不要做其他的任何操作。

通过这种办法得到的ISO映像文件，在云桌面虚拟终端里面能够运行，原理应该就是封装出来的wim文件加了一个原版的外壳。

5 封装出来的系统有哪些实用价值

5.1 提升公司信息安全防护能力

以前使用免费操作系统或者这种现成的系统进行加工，被预装了很多第三方软件，当然不排除会被放置一些木马和后门程序，绝大多数这种操作系统部署后会直接查杀出木马、病毒或者危险程序，给公司的信息安全工作造成很大隐患。自行封装的系统使用的是微软网站上下载的原版系统，安装的都是集团公司定制的正版软件，不存在危险程序被注入的可能，操作系统层面的安全性得到大幅提升，从而整体提升公司的信息安全防护能力。

5.2 系统纯净

相对于能够快速部署的免费系统，这次封装出来的系统高度纯净。网上的免费映像被植入了大量的第三方软件，如各种安全软件、浏览器、音视频播放器、网游、各种插件等，卸载有残留，无法彻底清理。纯净的系统带来良好的体验，系统资源占用少、运行流畅[2]。

5.3 能够在云桌面服务器上使用

公司部署的云桌面服务器，建立模板必须使用ISO映像文件，使用网上现成的ISO映像很不安全，用原版映像逐步安装又很麻烦，而且要制作多个模板。用自己封装的映像一次部署，几乎不用做其他修改，直接可以用来转换成模板，解决了被困扰很长时间的问题。

5.4 能够快速部署

使用新封装的系统部署机器，比以前所用时间大幅缩短。以前的做法是系统完全安装好后，在PE下用GHOST备份成GHO文件，部署系统时需要找到对应机器型号的GHOST文件进行恢复。

公司内各种型号的台式机年代跨度比较大，型号比较杂，部分机器服役都超过了10年，而且有时候同种型号的不同批次硬件配置还不一样，使用起来很麻烦[3]。

对于这些GHO文件，每隔一段时间都要重新制作一次，需要更新补丁、软件、配置等。现在使用自己封装的系统，只需准备32Win7、64Win7、64Win10这三个文件就可以了，而且更新也很简单，在虚拟机里更新一下，直接封装出来就行，简直就是一劳永逸的事情。可以有效缓解信息人员的工作压力，当然这仅限于重装系统[4]。