新XPE操作系统说明书.docVIP

新XPE操作系统 说明书 研发人员：魏巍、刘辉 测试人员：陈丹、刘辉 报告编写：刘辉 报告审核：薛颖奇、魏巍 新系统的开发背景 新系统的开发过程 新系统的功能说明 新系统的使用说明 新系统的安装方法 六、 新系统使用过程中可能遇到的问题及处理方法 一、 新系统的开发背景 目前我们公司应用的无风扇嵌入式工控机采用的是windows XPE操作系统，该操作系统是windows XP系统的剪辑，裁剪了许多控制精雕机不需要的组件，节省了系统资源，使工控机更能长时间稳定运行。此系统中C盘使用了EWF（基于分区的写保护）功能，如果在使用工控机过程中，用户对C盘进行了操作，比如安装程序，在桌面上保存文件等，需提交C盘写保护，方可实行，否则重启后C盘自动恢复成操作前状态，即C盘实现写保护。按照微软的说法，在使用了EWF后，C盘即使受病毒感染重启后也能恢复成未被感染的状态。同时，考虑到杀毒软件也会占用一定的系统资源，且在客户处升级更新不方便，所以工控机中也没有安装杀毒软件。 通过近期对工控机使用情况的了解，病毒对工控机的危害还是比较严重的，有些病毒破坏程序运行，占用系统资源，造成死机，有些病毒删除工控机中*.gho文件或其他资料。病毒发作的方式多种多样，由于客户处局域网或者U盘带有病毒，一些病毒在客户往工控机上传输数据时，感染到工控机上，有的病毒存在于D、E、F盘或U盘中，需要用户运行才发作，例如带autorun的病毒，有的病毒存在于C盘windows文件夹或system文件夹下，如果不对C盘提交写保护，重启后C盘病毒会消除，而一旦用户进行了添加或删除en3d操作，或更改网络IP等提交了C盘写保护，那么病毒将会被保存在C 盘，并且每次启动电脑跟随系统一起运行。 基于病毒的危害性及其特征，公司对现在采用的XPE操作系统做了进一步开发，一是通过FBWF（基于文件的写保护）对D、E、F进行设置，防止病毒保存于D、E、F盘非法位置；二是通过组策略的软件限制策略，限制除公司软件外其他任何软件（包括正常软件和病毒）的运行，使XPE更专用更安全。 新系统的开发过程 应用微软嵌入式系统开发工具 添加FBWF功能 添加组策略功能 （由于之前的Windows XP系统不具备上述两种功能，所以想要应用新的XPE系统需要给工控机重新安装系统。） 新系统的功能说明 FBWF功能 C盘是系统盘，故采用整个磁盘的EWF保护功能，不保存任何对C盘未被提交的操作。而D、E、F需用来保存用户文件，包括安装文件、加工文件等，操作频繁，采用EWF不便捷，这样D、E、F就有可能成为病毒的藏身之所。FBWF功能和EWF类似，区别在于EWF保护的是整个分区，FBWF保护的是分区下的文件夹或文件。 目前FBWF的设置如下 Device2、3、4分别指D、E、F盘。FBWF中设置的D盘下的“存储文件夹”、pagefile.sys，E盘下的“存储文件夹”，F盘下的“en3d6_cfg”、“en3d7_cfg”文件夹可写的，可写是指在这几个文件夹中进行的操作是可以保存的，重启后依然存在。其中两个存储文件夹可用于用户保存en3d安装程序、加工文件、ghost文件等，pagefile.sys为虚拟内存文件，而en3d6_cfg、en3d7_cfg文件夹用于存储en3d软件信息、机床信息等。除去这几个文件夹和文件，其他D、E、F盘下的文件夹和文件是不可写的，例如在D盘下创建一个新建文件夹或者一个新的文件，重启后消失，不能保存。 这样，一些系统运行中在分区根目录下自动运行和释放的病毒重启后就没有了，阻止了病毒的写入。例如很多依靠在分区根目录下产生autorun.inf，在用户打开分区时自动运行的病毒，重启后自动消失。 此项功能在开发中已经设置完成，用户只需要按照使用方法应用，不需要修改。 组策略软件限制策略功能 虽然添加了FBWF功能，但是还是有些病毒会存在于D、E、F盘的指定文件夹下，或者存在于U盘中，网络上，一来位置多变，二来如果不清除病毒源，光靠EWF、FBWF保护，重启恢复完好系统后依然有可能再次从外部中毒（例如设计电脑上有病毒，用U盘拷路径到工控机时或客户访问带毒网络时），如果频繁依靠重启来保护系统，会影响工控机工作。所以又从软件限制策略上进行了设置，禁止病毒运行。 由于我们的工控机是专用设备，只需要运行我们公司的几个固定程序，其他程序一律不需要运行，这样，在组策略的软件限制策略中加入相关规则，即可对工控机运行的程序进行限制。 例如路径设置为D：\，安全级别为不允许的，那么此时D盘下任何可执行文件全被禁止，且不分文件类型。与此同时，添加路径D：\en3d 7.12.00\setup.exe，安全级别为不受限的，那么此时setup.exe可执行，因为在规则中绝对路径的优先级大