新XPE操作系统说明书

新XPE操作系统说明书研发人员：魏巍、刘辉 测试人员：陈丹、刘辉报告编写：刘辉 报告审核：薛颖奇、魏巍一、 新系统的开发背景二、 新系统的开发过程三、 新系统的功能说明四、 新系统的使用说明五、 新系统的安装方法六、新系统使用过程中可能遇到的问题及处理方法一、新系统的开发背景目前我们公司应用的无风扇嵌入式工控机采用的是windows XPE操作系统，该操作系统是windows XP系统的剪辑，裁剪了许多控制精雕机不需要的组件，节省了系统资源，使工控机更能长时间稳定运行。此系统中C盘使用了EWF（基于分区的写保护）功能，如果在使用工控机过程中，用户对C盘进行了操作，比如安装程序，在桌面上保存文件等，需提交C盘写保护，方可实行，否则重启后C盘自动恢复成操作前状态，即C盘实现写保护。按照微软的说法，在使用了EWF后，C盘即使受病毒感染重启后也能恢复成未被感染的状态。同时，考虑到杀毒软件也会占用一定的系统资源，且在客户处升级更新不方便，所以工控机中也没有安装杀毒软件。通过近期对工控机使用情况的了解，病毒对工控机的危害还是比较严重的，有些病毒破坏程序运行，占用系统资源，造成死机，有些病毒删除工控机中*.gho文件或其他资料。病毒发作的方式多种多样，由于客户处局域网或者U盘带有病毒，一些病毒在客户往工控机上传输数据时，感染到工控机上，有的病毒存在于D、E、F盘或U盘中，需要用户运行才发作，例如带autorun的病毒，有的病毒存在于C盘windows文件夹或system文件夹下，如果不对C盘提交写保护，重启后C盘病毒会消除，而一旦用户进行了添加或删除en3d操作，或更改网络IP等提交了C盘写保护，那么病毒将会被保存在C 盘，并且每次启动电脑跟随系统一起运行。基于病毒的危害性及其特征，公司对现在采用的XPE操作系统做了进一步开发，一是通过FBWF（基于文件的写保护）对D、E、F进行设置，防止病毒保存于D、E、F盘非法位置；二是通过组策略的软件限制策略，限制除公司软件外其他任何软件（包括正常软件和病毒）的运行，使XPE更专用更安全。二、 新系统的开发过程 应用微软嵌入式系统开发工具（一） 添加FBWF功能（二） 添加组策略功能 （由于之前的Windows XP系统不具备上述两种功能，所以想要应用新的XPE系统需要给工控机重新安装系统。）三、 新系统的功能说明(一) FBWF功能C盘是系统盘，故采用整个磁盘的EWF保护功能，不保存任何对C盘未被提交的操作。而D、E、F需用来保存用户文件，包括安装文件、加工文件等，操作频繁，采用EWF不便捷，这样D、E、F就有可能成为病毒的藏身之所。FBWF功能和EWF类似，区别在于EWF保护的是整个分区，FBWF保护的是分区下的文件夹或文件。目前FBWF的设置如下Device2、3、4分别指D、E、F盘。FBWF中设置的D盘下的“存储文件夹”、pagefile.sys，E盘下的“存储文件夹”，F盘下的“en3d6_cfg”、“en3d7_cfg”文件夹可写的，可写是指在这几个文件夹中进行的操作是可以保存的，重启后依然存在。其中两个存储文件夹可用于用户保存en3d安装程序、加工文件、ghost文件等，pagefile.sys为虚拟内存文件，而en3d6_cfg、en3d7_cfg文件夹用于存储en3d软件信息、机床信息等。除去这几个文件夹和文件，其他D、E、F盘下的文件夹和文件是不可写的，例如在D盘下创建一个新建文件夹或者一个新的文件，重启后消失，不能保存。这样，一些系统运行中在分区根目录下自动运行和释放的病毒重启后就没有了，阻止了病毒的写入。例如很多依靠在分区根目录下产生autorun.inf，在用户打开分区时自动运行的病毒，重启后自动消失。此项功能在开发中已经设置完成，用户只需要按照使用方法应用，不需要修改。(二) 组策略软件限制策略功能虽然添加了FBWF功能，但是还是有些病毒会存在于D、E、F盘的指定文件夹下，或者存在于U盘中，网络上，一来位置多变，二来如果不清除病毒源，光靠EWF、FBWF保护，重启恢复完好系统后依然有可能再次从外部中毒（例如设计电脑上有病毒，用U盘拷路径到工控机时或客户访问带毒网络时），如果频繁依靠重启来保护系统，会影响工控机工作。所以又从软件限制策略上进行了设置，禁止病毒运行。由于我们的工控机是专用设备，只需要运行我们公司的几个固定程序，其他程序一律不需要运行，这样，在组策略的软件限制策略中加入相关规则，即可对工控机运行的程序进行限制。例如路径设置为D：，安全级别为不允许的，那么此时D盘下任何可执行文件全被禁止，且不分文件类型。与此同时，添加路径D：en3d 7.12.00setup.exe，安全级别为不受限的，那么此时setup.exe可执行，因为在规则中绝对路径的优先级大于范围路径。目前的规则中，windows系统进程是用绝对路径设置的，可正常运行，病毒仿冒的进程不能运行。公司的程序，例如en3d.exe、en3dhelper.exe、jdtest.exe、en3d的setup.exe、engmaker.exe、jdpaint.exe、104key.exe（键盘测试软件）等，需要添加“jd_”前缀可运行，例如将“en3d.exe”更改为“jd_en3d.exe”，“setup.exe”更改为“jd_setup.exe”这样设置是为了使我们公司的软件更有特征，避免和其他软件或病毒同名。 软件限制策略文件Registry.pol保存在C:WINDOWSsystem32GroupPolicyMachine文件夹下，如果有新的规则，可直接制作自解压的升级包，安装即可替换该文件。此项功能在实际应用时，对于不同型号的机床及使用客户，应用的软件会有所不同，在客户有特殊要求时，可酌情为客户开放软件。四、 新系统的使用说明应用新系统的工控机严禁带U盘开机，开机前一定要把U盘拔出！（一）FBWF功能1、FBWF功能状态查看步骤1：点击系统桌面左下角【开始】按钮选“运行”，弹出下面的图4-1对话框 。图4-1步骤2：输入“cmd”，点击“确定”弹出图4-2。图4-2步骤3：在图4-2所示的界面中输入 fbwfmgr ，按回车键，弹出图4-3所示界面，界面显示的是FBWF功能的状态。图4-3在状态栏中显示 ENABLED ,表示FBWF功能开启状态；如果显示 DISABLED ,表示FBWF功能处于关闭状态。2、FBWF功能使用注意事项新系统的初始桌面如下图所示其中快捷方式D盘、快捷方式E盘指向的文件夹分别为D 盘下的存储文件夹、E盘下的存储文件夹。 用户在工控机上保存数据，例如拷贝加工文件，必须将文件拷贝到这两个文件夹内，若放在其他位置，重启电脑后将不被保存。（二）组策略软件限制策略功能1、组策略软件限制策略功能状态查看步骤1：点击系统桌面左下角【开始】按钮选“运行”，弹出下面的图4-5对话框 。图4-5步骤2：输入“cmd”，点击“确定”弹出图4-6。图4-6步骤3：输入“gpedit.msc”弹出图4-7图4-7步骤4：打开计算机配置-windows设置-安全设置-软件限制策略-其他规则，可查看已经编辑的软件限制策略，如图4-8图4-8 已经编辑好的规则请勿进行修改。2、组策略软件限制策略功能使用方法及注意事项当工控机需要添加新的应用程序时，需要进行一些操作以便组策略允许其运行。如果程序不保存在C盘，而是在D盘或E盘，例如测试薄膜键盘的104key.exe，那只需要将其名字改成jd_104key.exe就可以运行了。下面以安装JDP519为例说明。a.将安装程序JDP519.exe拷贝到D：存储文件夹内，执行安装，被软件限制策略阻止。 b.将其更名为jd_JDP519.exe，可执行安装请注意：在添加新的程序时，要对安装文件进行查毒以确定未被病毒感染，并将安装文件拷贝到存储文件夹中，安装到C盘下的Program Files文件夹下，再提交C盘写保护，这样，新程序就安装完成并且不会被破坏了。 为了避免客户处操作不当，组策略软件限制策略功能（包括程序安装及如何使程序运行不受限制）不对客户开放，工控机上能运行的程序由公司控制。 附件1为组策略功能介绍。五、 新系统的安装方法参照目前新汉的做法，新系统的安装采用的是ghost恢复方式。（一） 新系统的ghost镜像文件将会提供给新汉替换之前的镜像文件，新汉用新的镜像文件为嵌入式工控机做系统。（二） 对于已经出厂的工控机，可以在需要的情况下用总公司提供的专用U盘对其进行系统更新。XPE2.0操作系统安装方法 注意：（1）XPE2.0操作系统安装严格定义了D盘、E盘、F盘根目录下受保护的文件夹，即法定文件夹，再安装新系统之前，必须把D盘、E盘、F盘下需要保存的文件拷贝到U盘或其他电脑上，包括D盘、E盘的客户文件、软件安装程序、F盘的en3d_cfg文件。恢复好系统后，请参照FBWF功能使用说明，把各类文件保存到相应文件夹内。（2）安装XPE2.0操作系统，请务必执行步骤18和19的操作（即：在恢复完操作系统后，至少重新启动两次后再进行其他的操作），确保开启EWF和FBWF功能。XPE2.0操作系统的安装按以下步骤进行：步骤1：准备好总公司配发的U盘，或者自己制作U盘启动盘（制作方法见附件3）步骤2：把制作好的U盘启动盘插到主机上。步骤3：开启工控机并按Del键进入BIOS,在图5-1所示界面中选择第二项“Advanced BIOS Features”。图5-1步骤4：在“Advanced BIOS Features”界面中，根据U盘不同应该选择不同的启动模式，最好办法如图5-2所示：选择“First Boot Device”为“USB-HDD”，选择“Second Boot Device”为“USB-ZIP”。图5-2步骤5：按“F10”键弹出“SAVE to CMOS and EXIT（Y/N）”提示，按“Y”键保存以上所做修改并退出BIOS界面，如图5-3所示：图5-3步骤6：系统启动进入DOS界面，输入“ghost”，运行U盘里的“GHOST”程序，弹出图5-4所示界面。图5-4步骤7：进入GHOST界面，选择“OK”回车，弹出图5-5所示界面。图5-5步骤8：在图5-6所示的对话框中选择“Local”选项（用光标键进行选择）。图5-6步骤9：在图5-7所示的对话框中选择“Disk”选项（用光标键进行选择）。图5-7步骤10：在图5-8对话框中选择“From Image” 选项（用光标键进行选择），回车弹出如图5-9所示对话框。图5-8步骤11：在图5-9所示的对话框中用光标键选择要恢复的镜像文件“JD-0201-D.GHO”，按“回车”弹出图2-14所示对话框。图5-9步骤12：图5-10显示磁盘的状况，按“OK”确定，弹出图5-11所示对话框。图5-10步骤12：图5-11显示硬盘分区情况，直接使用“Tab”键切换到“OK”键，按“OK”确定，弹出图5-12所示对话框。图5-11步骤13：在图5-12所示的对话框中选择“Yes”并回车，开始恢复系统，时间约为30分钟。图5-12步骤14：系统恢复完毕后弹出图5-13所示对话框，选择“Reset Computer”。图5-13步骤15：重新启动系统并按“Del”键进入BIOS,选择“Load Fail-Safe Defaults”回车，如图5-14所示。图5-14步骤16：选择“Y”，回车，如图5-15所示。图5-15步骤17：按“F10”，回车 保存BIOS设置退出。图5-16步骤18：进入WinXPE2.0操作系统后，弹出“重新启动计算机”的提示对话框，选择“YES”重新启动工控机。图5-17步骤19：进入系统后，运行开始菜单中的cmd命令，观察fbwf功能的状态，如果显示如图4-18，图4-18“filter state disabled”表示fbwf功能处于未启动状态，需要输入fbwfmgr /setcompression 1，回车，如图4-19所示图4-19然后提交ewfmgr c: -commit，保存本次操作，重新启动工控机。至此，XPE2.0操作系统安装完毕！ 有些硬盘恢复成新系统后，在启动过程中可能出现停在第二页Verifying DMI Pool Data处不能正常启动的现象，这是由于开机程序(即Pre-Boot程序-引导程序)出了问题，解决方法为：1、 制作一个USB-ZIP格式的U盘启动盘（制作方法见附件4）2、 进入BIOS设置，将首启动项First Boot Device更改为USB-ZIP3、 通过ZIP格式U盘启动后在A:后键入fdisk/mbr的命令，清除掉Pre-Boot 程序在硬盘最最最开始的扇区MBR (Master Boot Record)4、 回车后出现下图表示执行成功如果出现下图，则按Y接受后执行成功5、 拔下U盘，将首启动项改回HDD-0，重新启动系统将恢复正常。如出现上图，键入Y后恢复正常。安装新系统时的注意事项：1、此系统的安装为ghost整盘恢复，之前硬盘内所有文件将在恢复后丢失，请将重要文件提前保存。2、恢复系统时，请将网线拔掉，断绝工控机与外界联系。3、恢复完系统后，必须重启两次