HOWTO: 解决 MS17-010 安全更新安装失败的故障问题
HOWTO: 解决 MS17-010 安全更新安装失败的故障问题
MS17-010 这个早在今年3月份就发布的安全更新,在这短短的几天里火遍了全球,其涉及的漏洞被恶意利用造成了不可估量的损失!针对事件本身 gOxiA 不再进行表态,而今天主要分享的内容是解决该补丁 - KB4012212(2017-03 Security Only Quality Update)在 Windows 7 上安装失败的故障问题。
周一上班相关同事开始着手处理补丁方案,但发现不少客户端都出现了安装失败的问题,提示部分更新安装失败,由于KB4012212是仅包含安全质量更新的补丁包,所以部分更新安装失败是无法保障MS17-010是否正确安装的,所以只能对故障进行排错,找到错误根因!还好在系统事件中记录了补丁的失败原因“0x80073712”即“组件存储已损坏”,但实际排错中发现安装其他更新是没有问题的。
只能跑一遍“sfc /scannow”先探探虚实,果然在27%时中断退出,提示无法完成修复,分析CBS 提取主要记录发现端倪,但貌似这些错误并不足以影响安全更新安装失败,看来焦点还是要回到 0x80073712 上,Msft Support 站点上扫了一圈还真找到了解决办法。
KB947821 中提到了“系统更新准备工具”可帮助修复一些 Windows 的损坏错误,补丁200-500MB左右,安装时间最少需要15分钟,在 gOxiA 的案例中该补丁足足打了1小时还多,在临近结束时(大概 90% 这个阶段)停滞不前,期间切勿重启计算机,因为扫描组件完整性确实耗时。KB947821 更新安装后,再次安装 KB4012212 顺利完成。
- KB947821 for Windows 7 x86:https://www.microsoft.com/zh-cn/download/details.aspx?id=3132
- KB947821 for Windows 7 x64:https://www.microsoft.com/zh-cn/download/details.aspx?id=20858
另外友情提示,在2016年5月微软为 Windows 7 和 8.1 提供了简化的更新方案,即更新汇总包!MS17-010 就包含在2017年3月汇总更新包中,当前最新版为5月汇总更新。(PS:懒惰或因规定不能每月常规补丁安装的,起码要坚持把安全汇总更新包给装上!!!)最后祝愿大家能安全度过此劫!
HOWTO: 使用预配置包为 Windows 10 设置默认应用关联
HOWTO: 使用预配置包为 Windows 10 设置默认应用关联
前段时间 gOxiA 与大家分享了一篇“HOWTO: 统一设置 Windows 10 的文件默认关联”的文章,文末提到可以使用 WICD 生成配置包供 Windows 10 用户使用。其中截图里的设置方式有误,gOxiA 表示由衷的歉意,实在对不住大家了!!!也为此,决定单独写一篇文章再与大家详细分享一下 WICD 制作默认应用关联预配置包的过程,希望能够将功补过!
要使用 ICD 通过预配置包来设置 Windows 10 的默认应用关联需要使用 Poilcy CSP ,借助 ApplicationDefaults/DefaultAssociationsConfiguration 进行预配置。但是该项的值需要使用 Base64 编码来填充,之前截图环境的服务器不能访问外网,也没有留意上一级的说明,导致犯下错误!DefaultAssociationsConfiguration 的说明如下:
DefaultAssociationsConfiguration
This setting specifies the XML file content (base64 encoded) thar contains file type and protocol default application associations. This file can be created using the DISM tool.
gOxiA 之前的错误也正是因为这个原因!我们需要将导出的默认应用关联文件 defaultappassoc.xml 内容借助 Base64 encoder 工具编码后再填写到配置中。例如配置IE为默认应用的 XML 内容如下:
<?xml version="1.0" encoding="UTF-8"?>
<DefaultAssociations>
<Association Identifier=".htm" ProgId="htmlfile" ApplicationName="Internet Explorer" />
<Association Identifier=".html" ProgId="htmlfile" ApplicationName="Internet Explorer" />
<Association Identifier=".url" ProgId="IE.AssocFile.URL" ApplicationName="Internet 浏览器" />
<Association Identifier=".website" ProgId="IE.AssocFile.WEBSITE" ApplicationName="Internet Explorer" />
<Association Identifier="http" ProgId="IE.HTTP" ApplicationName="Internet Explorer" />
<Association Identifier="https" ProgId="IE.HTTPS" ApplicationName="Internet Explorer" />
</DefaultAssociations>
在使用 Base64 encoder 编码后得到的值则如下示例,在这里推荐个网站真的很不错http://www.ofmonkey.com/
PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz4KPERlZmF1bHRBc3
NvY2lhdGlvbnM+CiAgPEFzc29jaWF0aW9uIElkZW50aWZpZXI9Ii5odG0iIFByb2dJZD0iaHRtbGZp
bGUiIEFwcGxpY2F0aW9uTmFtZT0iSW50ZXJuZXQgRXhwbG9yZXIiIC8+CiAgPEFzc29jaWF0aW9
uIElkZW50aWZpZXI9Ii5odG1sIiBQcm9nSWQ9Imh0bWxmaWxlIiBBcHBsaWNhdGlvbk5hbWU9Ikl
udGVybmV0IEV4cGxvcmVyIiAvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSIudXJsIiBQcm9nS
WQ9IklFLkFzc29jRmlsZS5VUkwiIEFwcGxpY2F0aW9uTmFtZT0iSW50ZXJuZXQg5rWP6KeI5ZmoIi
AvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSIud2Vic2l0ZSIgUHJvZ0lkPSJJRS5Bc3NvY0Zpb
GUuV0VCU0lURSIgQXBwbGljYXRpb25OYW1lPSJJbnRlcm5ldCBFeHBsb3JlciIgLz4KICA8QXNzb2N
pYXRpb24gSWRlbnRpZmllcj0iaHR0cCIgUHJvZ0lkPSJJRS5IVFRQIiBBcHBsaWNhdGlvbk5hbWU9I
kludGVybmV0IEV4cGxvcmVyIiAvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSJodHRwcyIgUH
JvZ0lkPSJJRS5IVFRQUyIgQXBwbGljYXRpb25OYW1lPSJJbnRlcm5ldCBFeHBsb3JlciIgLz4KPC9EZ
WZhdWx0QXNzb2NpYXRpb25zPg==
下面就跟随 gOxiA 参考截图实践一次,首先启动 Windows 配置设计器(WICD,貌似现在叫 Windows Configuration Designer,这里姑且简称 ICD),友情提示该工具已经提供 UWP 版,可以直接从 Windows 应用商店安装,访问地址是:https://www.microsoft.com/store/apps/9nblggh4tx22。
在 ICD 起始页选择“高级预配”,并确认为“预配桌面设备”,输入个便于识别的名称,默认情况下 ICD 预配相关文件存储在文档的 WICD 目录下。
在“可用自定义项”列表中定位到 Polices | ApplicationDefaults | DefaultAssociationsConfiguration,将之前通过 Base64 encoder 取得的数据填写到数值框中。
最后通过工具导航栏导出预配包,在“描述预配包”步骤中,版本号会根据修改次数自动添加,所有者可以根据要实施的优先级别进行选择,等级保持 0 即可,如果预配包包含敏感数据应当对其进行加密,最后将生成的 ppkg 格式文件发给用户执行即可。如果预配包安装时发生错误,可以在事件查看器的“应用和服务日志”-“Microsoft”-“Windows”-“DeviceManagement-Enterprise-Diagnostics-Provider”-“Admin”下找到记录。
HOWTO: 通过 GPO 限制访问 Windows 设置
HOWTO: 通过 GPO 限制访问 Windows 设置
Windows 控制面板一直以来都是作为设置 Windows 系统选项的重要入口,但随着 Windows 系统的不断发展它正被被全新的 Windows “设置”所替代。如果你正在使用 Windows 10 v1703 会发现进入控制面板已经变得“不那么容易”,以往通过右键单击开始图标已经再也找不到控制面板的踪影,取而代之的是“设置”。使用新的“设置”面板可以直接从命令行直接进行调用,例如在运行中输入“ms-settings:”或“ms-settings:batterysaver”,而且新的“设置”也满足了统一架构的需求,试想同一 Windows 核心的移动端系统是使用传统的控制面板方便,还是全新的“设置”方便呢?结果一目了然!
在对“设置”有了大致的了解后,下面就要分享本文的重点,Windows 10 的增长速度有目共睹,昨晚的 Build 2017 大会上公布的最新数据显示全球已有5亿的 Windows 10 用户,而企业环境中的占有率也在不断上升,对于 Windows ITer 的挑战之一,在部署 Windows 10 后如何按照合规性要求来限制用户访问新的 Windows 设置呢?!
非常有价值的问题,而该问题已有了解决方案,利用 GPO 的“设置页面可见性”就可以轻松的实现。该设置位于“计算机配置”-“管理模板”-“控制面板”,提供了两种设置模式:showonly - 只显示指定的设置;hide - 隐藏指定的设置。
例如 gOxiA 为“设置页面可见性”添加“showonly:bluetooth”,那么 Windows 所有设置中将仅保留“设备”设置,如下图所示(PS:截图环境为英文):
现在已经知道如何通过 GPO 来限制访问 Windows 设置,那么每项设置具体对应的名称可从微软官方网站获取:https://docs.microsoft.com/en-us/windows/uwp/launch-resume/launch-settings-app,为了方便查询,也单独copy了一份在文末。
| Category | Settings page | Supported SKUs | URI |
|---|---|---|---|
| Home page | Landing page for Settings | Both | ms-settings: |
| System | Display | Both | ms-settings:screenrotation |
| Notifications & actions | Both | ms-settings:notifications | |
| Phone | Mobile only | ms-settings:phone | |
| Messaging | Mobile only | ms-settings:messaging | |
| Battery Saver | Both Only available on devices that have a battery, such as a tablet | ms-settings:batterysaver | |
| Battery use | Both Only available on devices that have a battery, such as a tablet | ms-settings:batterysaver-usagedetails | |
| Power & sleep | Desktop only | ms-settings:powersleep | |
| About | Both | ms-settings:about | |
| Encryption | Both | ms-settings:deviceencryption | |
| Offline Maps | Both | ms-settings:maps | |
| Devices | Default camera | Mobile only | ms-settings:camera |
| Bluetooth | Both | ms-settings:bluetooth | |
| Connected Devices | Desktop only | ms-settings:connecteddevices | |
| Mouse & touchpad | Both Touchpad settings only available on devices that have a touchpad | ms-settings:mousetouchpad | |
| Network & Wireless | NFC | Both | ms-settings:nfctransactions |
| Wi-Fi | Both | ms-settings:network-wifi | |
| Airplane mode | Both | ms-settings:network-airplanemode | |
| Network & Internet | Data usage | Both | ms-settings:datausage |
| Cellular & SIM | Both | ms-settings:network-cellular | |
| Mobile hotspot | Both | ms-settings:network-mobilehotspot | |
| Proxy | Desktop only | ms-settings:network-proxy | |
| Status | Desktop only | ms-settings:network-status | |
| Personalization | Personalization (category) | Both | ms-settings:personalization |
| Background | Desktop only | ms-settings:personalization-background | |
| Colors | Both | ms-settings:personalization-colors | |
| Sounds | Mobile only | ms-settings:sounds | |
| Lock screen | Both | ms-settings:lockscreen | |
| Accounts | Access work or school | Both | ms-settings:workplace |
| Email & app accounts | Both | ms-settings:emailandaccounts | |
| Family & other people | Both | ms-settings:otherusers | |
| Sign-in options | Both | ms-settings:signinoptions | |
| Sync your settings | Both | ms-settings:sync | |
| Other people | Both | ms-settings:otherusers | |
| Your info | Both | ms-settings:yourinfo | |
| Time and language | Date & time | Both | ms-settings:dateandtime |
| Region & language | Desktop only | ms-settings:regionlanguage | |
| Ease of Access | Narrator | Both | ms-settings:easeofaccess-narrator |
| Magnifier | Both | ms-settings:easeofaccess-magnifier | |
| High contrast | Both | ms-settings:easeofaccess-highcontrast | |
| Closed captions | Both | ms-settings:easeofaccess-closedcaptioning | |
| Keyboard | Both | ms-settings:easeofaccess-keyboard | |
| Mouse | Both | ms-settings:easeofaccess-mouse | |
| Other options | Both | ms-settings:easeofaccess-otheroptions | |
| Privacy | Location | Both | ms-settings:privacy-location |
| Camera | Both | ms-settings:privacy-webcam | |
| Microphone | Both | ms-settings:privacy-microphone | |
| Motion | Both | ms-settings:privacy-motion | |
| Speech, inking & typing | Both | ms-settings:privacy-speechtyping | |
| Account info | Both | ms-settings:privacy-accountinfo | |
| Contacts | Both | ms-settings:privacy-contacts | |
| Calendar | Both | ms-settings:privacy-calendar | |
| Call history | Both | ms-settings:privacy-callhistory | |
| Both | ms-settings:privacy-email | ||
| Messaging | Both | ms-settings:privacy-messaging | |
| Radios | Both | ms-settings:privacy-radios | |
| Background Apps | Both | ms-settings:privacy-backgroundapps | |
| Other devices | Both | ms-settings:privacy-customdevices | |
| Feedback & diagnostics | Both | ms-settings:privacy-feedback | |
| Update & security | For developers | Both | ms-settings:developers |
Windows 10 v1703 支持 UFD 创建多分区
Windows 10 v1703 支持 UFD(U盘)创建多分区
Windows 10 v1703 开始支持普通 U 盘创建多分区的操作!!!在过去要实现这一操作是非常困难的,也许是因为 Windows 的安装镜像文件 ISO 越来越大,无法存储在 FAT32 格式的 UFD 上,而 UEFI 又开始普及,所以才会支持普通 UFD 创建多分区。不论原因如何,总之这个结果相信令不少 ITer 高兴!
要在 UFD 上创建多分区,建议使用 Diskpart 命令,因为使用 Windows 磁盘管理器只能在 UFD 上创建 FAT 和 FAT32 格式的多分区结构(不知道是设计使然,还是 Bug)。
另,可能是新功能不完善的原因,当 gOxiA 使用磁盘管理器创建多分区之后,再在 diskpart 下执行 clean 时会报错“The device is not ready.” 具体的事件日志为“VDS Basic Provider ID5 Error code: 15@01010012”,应该是个 Bug,因为创建多分区后盘符是分配给了分区,而 UFD 默认的盘符是在磁盘上的。不过还好,可以先删除分配给 UFD 的盘符在执行 Clean,或者多次尝试执行 Clean 即可。
所以在执行磁盘操作时,还是使用命令行是最靠谱的,参考下面的 diskpart 命令行截图,便可在 UFD 上创建 FAT32 和 NTFS 混合分区格式的磁盘结构。
文末,UFD 支持多分区的好处可能还是有网友不明白?!举个最简单的例子,为一台 UEFI 启动的服务器安装 Windows Server 2016 时,你会如何处理?!之前会准备两个 U盘,一个是支持 UEFI 引导的 FAT32 格式 PE U盘,另一个是支持单个大文件存储的 NTFS 格式 U盘用来存储 Server 2016 超大的 Install.wim,而现在只需在一个 U盘上搞定!!!
Windows 10 S 概览
Windows 10 S 概览
2017年5月2日 21:30(北京时间)微软举办了名为“Learn what's next.”的主题发布会,并通过网络做了现场直播。该会议围绕教育领域,并针对性的发布了新的操作系统版本 - Windows 10 S,以及 Surface Laptop 设备。
本文将着重分享 Windows 10 S 的相关咨询。据微软官方介绍,Windows 10 S 的灵感来自于师生间的互动,是目前为止最适合学校使用的 Windows,但是 Windows 10 S 也一样适用于对性能和高安全性有极高要求的用户。
Windows 10 S 基于 Windows 10 Pro 进行特定配置,除了提供了熟悉和高效的 Windows 体验外,还进行了简化处理。由于在该版本中只能安装和运行来自 Windows 应用商店的应用,且只能将 Microsoft Edge 作为默认浏览器,从而确保了应用源和网页访问的安全性,杜绝了含有恶意代码的应用程序和网站。简单理解,只要是 Windows 应用商店发布的应用程序就可以安装和运行在 Windows 10 S 上,而且也允许从应用商店安装其他第三方的浏览器,只是不能将其设置为系统默认浏览器而已,此外 Edge 的默认搜索程序是无法被修改的。
作为一款免费提供的 Windows 来说,Windows 10 S 的限制并没有想象中那么苛刻,通过下面的功能对比列表用户能更清晰得了解 Windows 10 S,整体来看 Windows 10 S 反而要强于 Windows 10 家庭版,相比较 Windows 10 Pro 主要缺失的是对本地 AD域 的支持,但是却增加了对 Azure AD 域的支持。在 goxiA 看来 Windows 10 S 绝对是 Windows 产品系列中的杀手锏,用户可轻松借助免费的 Windows 客户端加入到 Azure AD 实现对用户端的管理,试想日后 Windows Store for Business 全球发布,企业用户也能轻而易举的实现内部的软件市场。以满足用户体验和管理需求。(PS:微软借教育的口做了一个大局,实在干得漂亮!)
Windows 10 S 对硬件的需求并不高,而且对新款硬件将会提供很好的支持,目前微软正与众多合作伙伴协作解决相关的兼容性问题,相信未来的市场成熟度能满足大多数用户的需求,而企业其实更多关注的是打印机这些外设,只要搞定了打印机驱动,相信 Windows 10 S 在企业领域的普及速度也会非常快。
此外,在发布会上配套 Windows 10 S 的众多厂商设备都未明确提及 CPU,而且从 Surface Laptop 参数看,Windows 10 S 是一款支持 x86 架构的操作系统(PS:也许在未来会提供 ARM 架构的支持),所以 Windows 10 S 将支持就地升级到 Windows 10 Pro,且得到了微软的证实,用户将可以通过应用商店支付极少的费用进行升级。
在 gOxiA 看来,Windows 10 S 不单单是一个 SKU 发布那么简单,其有着重要的战略意义,不止于教育领域!
Windows 10 S + Azure AD + Windows Store for Business + Office 365 + Surface Laptop
HOWTO: 统一设置 Windows 10 的文件默认关联
HOWTO: 统一设置 Windows 10 的文件默认关联
在实践 Windows 10 的标准化部署时,由于要预先安装企业常用的应用软件,有些软件用于替换 Windows 自带的应用程序,所以 IT 人员通常会对 Windows 系统的文件默认关联进行预配置。以往我们都会先在参考映像下对 Windows 的默认关联进行手工指定,然后在配合 Unattend 应答文件,启用 Copyfile 选项将参考映像的用户设置应用到默认用户配置文件,以便后续向其他用户配置做继承达到统一配置默认关联设置的目的。
其实在 Windows DISM 中提供了默认关联的参数选项,/export-defaultappassociations 用于导出当前用户的默认关联,/import-defaultappassociations 则用于导入默认关联。
IT 人员可以现在参考映像系统环境下手工指定各文件的默认关联,然后使用如下命令行导出默认关联设置,以便后续进行导入。
dism /online /export-defaultappassociations:%userprofile%desktopdefappassoc.xml
在得到默认关联设置数据后便可导入其他映像或正在使用的系统中。例如对于一个脱机映像,我们可以执行如下命令进行导入:
dism /image:c: /import-defaultappassociations:c:defappassoc.xml
而对于用户正在使用的系统,可以借助组策略来进行配置,该选项位于:计算机配置-管理模板-Windows组件-文件资源管理器-设置默认关联配置文件,具体参考下图:
此外,我们也可以借助 WICD(Windows Imaging and Configuration Designer) 生成配置包供 Windows 10 用户使用,此法更适合通过网络传递,例如通过邮件方式发送给远端用户自助式导入配置。
更正说明:以上ICD部分截图有误,具体请参考“HOWTO: 使用预配置包为 Windows 10 设置默认应用关联”。2017年5月12日
Windows 10 Creators Update OOBE 重启故障
Windows 10 Creators Update OOBE 重启故障
Windows 10 Creators Update,即创作者更新(v1703 Build 15063)于 4月11日面向公众发布并推送。在经历了两年的洗礼,Windows 10 在质量和稳定性方面都有了极大的改进。众多企业用户也开始着手评估 Windows 10 的部署工作。
gOxiA 在去年年底完成了 Surface Pro 4 的 Windows 10 Pro v1607 的企业标准化部署工作,目前正进行 Windows 10 Ent 2016 LTSB 以及 Windows 10 Pro v1703 的评估。2016 LTSB 因为基于 v1607 所以评估过程相当顺利,但是 Windows 10 Pro v1703 却遭遇到了诡异的问题,大致的环境是一台基于 1703 ISO 安装的虚拟机作为参考映像,在系统审计模式下进行了标准化的定制,在参考映像配置完成后,使用 Unattend 配合 Sysprep 对系统重新封装,之后测试阶段都很正常,但是 OOBE 阶段提示“为什么我的电脑重启了”这样的提示,必须手动执行“下一步”才能继续,导致自动化部署会因此中断,但是在下一步继续后,系统还是能够正常进入桌面执行后续部署序列,而且系统部署完毕后也未发现其他异常。
针对该问题,排查了 setupact.log、setuperr.log 等安装日志,并未发现相关的异常和警告事件,无奈只能从 Unattend 下手逐项排查(PS:1703 和 1607 的应用和设置环境几乎相同),分别剔除 Oobesystem、Specialize 阶段的配置,几经折腾没有任何进展,最后干脆不加载 Unattend,结果故障依旧。既然如此,那么问题肯定出在参考映像系统环境上,这个初步的结果也算是一个里程碑。
分析参考映像系统环境,排除掉第三方的普通应用程序,值得关注的就只剩下国产的某安全软件,其实它也就是个“流氓性质”的 PC 管理应用,披着安全和管理的外衣,“私下干着不为人知的事情”,只是无奈于产品选型,否则坚决不会选择这类应用部署到企业环境。
孰是孰非,测试结果说话!还原到 Build Ready - Audit 状态,卸载该软件,重新执行 Sysprep 加载 Unattend 进行测试,经过漫长的等待,终于等到 OOBE,一切正常步步自动执行下去直至进入桌面,果然是第三方安全管理软件的原因,于是导入捕获映像,使用 MDT 任务序列再次跑了一遍,至此排查近 1周的问题终于得到了解决。
最后在普及一下,Windows 10 Defender 内置与系统,支持组策略管理,性能、稳定性、兼容性都相当出色,IT 人员不妨好好考虑一下!!!
Windows 10 创作者更新支持无损 MBR to GPT 转换
Windows 10 创作者更新支持无损 MBR to GPT 转换
Windows 10 Creators Update (创作者更新 - v1703 Build15063)即将在 4月11日面向消费用户推送,MSDN 订阅以及 Insider Preview 则会提前一周拿到 RTM 版本。1703 作为 2017年一次重大的 Windows 10 更新除了改进了系统的性能和稳定性外,还带来了许多新特性、新功能。其中 MBR2GPT 对于 ITPro 十分的有价值,因为他支持从 MBR 到 GPT 的无损转换。
作为常年与桌面系统部署打交道的 ITPro,应该知道在执行 Windows 升级操作时,不支持从 MBR 到 GPT。随着 UEFI 的普及,目前大多数的系统设备都已经默认支持 UEFI,配置有固态硬盘,并且还支持快速启动,而要想完全发挥硬件特性以及更好的管理磁盘,GPT 势必成为首选。但是在以往如果要将现有电脑转换为 UEFI,就必须备份和清理用户磁盘,这给 ITPro 带来了巨大的工作量。而随着 Windows 10 创者者更新的发布,那一切都将成为历史,微软听取了广大用户的建议,在系统内置了 MBR2GPT 无损转换工具 - mbr2gpt.exe,使用该工具可以轻松的执行 MBR 到 GPT 的无损转换。该工具同时还支持 Online 模式,这意味着无需引导进入 Windows PE,即可在当前生产环境直接进行转换。
gOxiA 专门抽出时间搭建了环境对 MBR2GPT 进行了实验,效果非常之好,没有复杂琐碎的干预操作,执行执行命令即可完成,期间获得了一些宝贵经验,希望借此与大家分享,避免大家踩坑。实验环境是一台 Windows 10 创作者更新的虚拟机,Gen1 类型 MBR 启动,鉴于国内用户通常都是将引导分区和系统分区放在一个卷上,并喜欢划分多个分区,所以这台虚拟机的分区结构如下:
下来,gOxiA 直接启动命令行环境,执行 mbr2gpt.exe 进行转换,因为是 Online 模式,所以除了转换参数 /convert 外,还需附加 /allowfullos 参数。完整的命令行即:
mbr2gpt /convert /allowfullos
执行结果显示失败“Disk layout validation failed for disk 0”,难不成跟没有使用独立的引导分区有关,随后收缩系统盘空间 500MB 出来打算手工做个启动分区,由于当前磁盘分区是 4个主分区如果要再添加分区必须转化为动态磁盘,否则就要使用 GPT。
看来思路不对,问题应该还是出现在这四个主分区上,检查了日志发现了线索“Too many MBR partitions found, no room to create EFI system partition.”显然由于分区过多,导致无法创建 UEFI 引导分区。
由于是实验环境,所以直接删除了第四个分区,保留系统三个有效分区,再次执行 mbr2gpt 顺利进行了转换,过程与结果如下图所示:
最后将该磁盘分配到 Gen2 类型 UEFI 的虚拟机上启动进行测试,成功进行了转换。
另据 gOxiA 所了解国内很多企业环境下,ITPro 并没有很好的执行标准化部署,喜欢用一些陈旧的第三方工具为电脑分区格式化,还喜欢创建多分区结构来替代目录实现分类数据存储,这就为以后标准化的推进埋下了隐患,建议还是基于产品多做分析多做实践,良性的使用习惯推广不仅是对自己负责也是对用户负责!
HOWTO: 解决因配置 FolderLocations 引发的软件安装故障
HOWTO: 解决因配置 FolderLocations 引发的软件安装故障
还记得前段时间 gOxiA 分享的一篇日志“HOWTO: 解决 Windows DISM error ID3 0x80070003 故障”,由于在 Windows 安装应答文件(Unattend.xml)中配置了“FolderLocations”来重定向用户目录,导致在离线模式下使用 DISM 配置系统失败。虽然微软官方确认了这是一个已知问题,并且给出了解决方案,但是发现并不能完全解决所有问题,例如当用户在使用 Folerlocations 重定向用户目录的系统环境中安装 AutoCAD 时就会出现故障问题,如下图所示:
可以看到 AutoCAD 安装向导在许可协议界面报错“错误: 1606。无法访问网络位置 Autodesk\AutoCAD 2014\R19.1”。
根据提示搜索了 AutoCAD 官方文档也未获得准确的提示和解决办法,有网友称需要安装什么 Windows 7 补丁,其实根据排错发现引发该问题的主要根源就是因为重定向了用户目录,而 Public 这个用户目录路径未能更新到注册表响应的键值上,而这罪魁祸首还是因为 FolderLocations,Sysprep 虽然能够处理 FolderLocaltions 并成功移动 Users 目录到其他分区,但是却未能更新所有的注册表键值。
要解决这个问题,就需要手工编辑注册表,定位到如下路径,修改其下 Public 的键值,确保路径正确。
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders”
修改完毕后,重新启动安装程序,便可解决故障问题。gOxiA 有幸加入到了 WDG Windows 10 TAP 项目,决心将这个 Bug 提交给产品开发组,希望能彻底解决这个问题。(从排错过程看,FolderLocations 导致的 Bug 可能涉及底层一些东西,因为在 Default 相关配置数据并未存储在注册表中!)
通过 WDS 环境应用 Windows Defender Offline - 下
通过 WDS 环境应用 Windows Defender Offline
上一篇文章“通过 WDS 环境应用 Windows Defender Offline - 上”,gOxiA 分享了如何制作 Windows Defender Offline 的 ISO 镜像,而今天这篇将开始我们的主题。在 WDS 环境下应用 Windows Defender Offline(以下简称:WDO),可以极大方便用户使用 WDO,通过企业网络 PXE 引导 WDO,比起 UFD 更安全也更高效。
但是,当我们将 WDO 的启动 WIM 文件添加到 WDS Boot Image,在用户端引导 WDO 后会发现,无法正常执行扫描工作,因为 Virus and spyware definitions: Out of date,即病毒特征库过期。如此,在 WDO 启动的初始化界面实际上是在加载最新的病毒特征库。
为了进行论证对 WDO 的 ISO 进行了分析,发现在 ISO 根目录中有一个名为 mpam-fex64.exe 文件,该文件就是最新的病毒特征库,那么接下来就要搞清楚 WDO 是如何调用这个病毒特征库的,首先要看看 Winpeshl.ini 是否定义了命令行,参考下图,确实调用了 Windows Defender 相关的执行命令,从文件名看是个专为 Offline 编写的命令,而且没有加参数,gOxiA 猜测对 mpam-fex64.exe 的调用是写在内部代码里的。
既然是固化在内部代码中的,就要确定调用特征库的具体路径,以便为后续能在 WDS 中应用 WDO 奠定基础。为此使用了 Sysinternals 工具集中的 Strings 对 OfflineScannerShell.exe 进行了分析,果然不出所料,特征库名称是固定的,但是没能找到定义路径。
重新分析 ISO 文件结构发现 mpam-fex64.exe 存储位置还包含一个 FilesList64.dll,从名字看貌似与遍历有关,难不成 WDO 是通过遍历目录寻找名为 mpam-fex64.exe 的文件,既然已经走到这一步,只能实验出结果,将 WDO 的
WIM 文件通过 DISM 命令 Mount 出来,然后直接将 FileList64.dll 和 mpam-fex64.exe 拷贝到 WDO 的 WIM 映像根目录中,保存更新添加到 WDS 启动映像,找台客户端开机 PXE 引导测试,通过!!!
问题解决,以后只需要手工下载最新版的 mpam-fex64.exe 打包到 WDO 的 WIM 中即可。Windows Defender 的最新特征库可以从下面的官方网站下载到,不要忘记将下载的文件名改为 WDO 定义的名字。
Updating your Microsoft antimalware and antispyware software:
https://www.microsoft.com/security/portal/definitions/adl.aspx
