- 论坛徽章:
- 0
|
关于学校制作操作系统镜像的总结
本校作为一个新校,一直以来,硬件上没有出现大问题,但是系统都经历了很多次的重大病毒攻击,主要来源于第一次,U盘传播,影响很多机子的运作,尤其以“美女游戏”“橙色八月”为最显著,部分出现飘雪,发现及时,处理了。也幸亏没遇到熊猫烧香。万幸。
第二个是最近的一次以IP560.com网站的病毒为例,大量下载病毒,并且在局域网内广泛传播,主要一台机子没清除,最后还是会死灰复燃。大量ARP欺骗,局域网风暴阻塞,均造成电脑上不了网,严重影响了校内的日常工作。发现病毒源头后,在路由上屏蔽了该网站了。
有鉴于此,决定重新安装所有系统。原来有部分方正机子(不同批采购,不统一,没办法)已经有还原卡,都做好系统了,中毒的,主要轻易还原,几秒钟搞好,然后非C盘杀毒,一般都问题不大。所以决定着手搞联想品牌跟TCL的机子,都没保护卡。TCL的有所谓的智能盾,真是钝,手动还原,浪费很大空间,还不知道啥时候中的毒,老师水平有限呀,中毒的都不知道啥回事。为了保证网络的安宁,决定这些机子都装还原精灵。设置每周还原。方正机子也是每周还原的。要不时间久了不清理,电脑会成为毒源,毒窖。机子基本上每人一台,都喜欢装一些自己的软件。这点上是非常人性化的,某些学校更狠,已经做到每次重启就还原,C盘写保护,不给安装任何软件。学生机子就全盘写保护,文件需上交的,上传到服务器上。鉴于某些使用习惯还是以单机的为主,所以本校的学生机房电脑都是C盘写保护。
一、安装系统,现在懒得去用完全安装版了。网上说很多GHOST版本多后门,但是一般选择大的网站下的,都问题不大,而且高手优化过,美化过的,一般都比较好,尤其适用爱美的菜鸟们。
这次选用的是雨林木风的GHOST 6.0版本。
二、安装驱动
驱动本身是比较底层的东西,所以需要首先安装。每种不同的品牌都安装对应的驱动,防止驱动不同,出现不稳定,蓝屏等现象。所以最后做好的是三个系统。打印机驱动装上,本校有三种型号的打印机,驱动均装上,这样就很简单的设置好了,需要网络共享打印的,也很容易设置,况且本身已安装驱动。
三、装软件,Office要完全安装版本
因为教学上需要,公式编辑器,字库之类的,都要求比较多,尽量避免精简版,所以做系统的时候,卸载原来的Office,重新安装一个完整的版本。部分需要的字库也添加上去。
四、迅雷改写下载速度,
速度是影响网络稳定的一个主要原因之一。所以在迅雷上,设置了最多同时下载的任务数为5,将下载速度限制为50K。如果是下载课件的,这点足够使用的。对于快车(FlashGet)暂时没装,以后会装,毕竟用的场合也不多,速度比不上迅雷。这点上要说明一下,老师的习惯就是喜欢顺手捻来的,迅雷的速度改了,基本上没人会想为什么,或去深究设置的改写,就是会说网速慢。呵呵,掩眼法。
五、安装各类播放器。
安装暴风影音,或者Kmplayer,就是为了有足够的解码器播放,以不变应万变。RealPlayer安装最新版本,Windows Media Player,,比较常用的播放器,为了适用不同用户的需求跟习惯,怎能不安装呢。当然不要忘记Flash播放器,下课件70%的机会用到。
六、计算机名字修改,改用户,为了网管在网络上识别用户,计算机名字要写有意义的名字,例如一(1)班,就是yiyiban(系统只支持英文)。计算机描述就以改用户真实姓名改名字,用中文,(系统支持中文)
七、远程协助,开启远程协助为了不便之需,但是慎用。谁知道那些不懂的家伙还以为我用来偷窥他的隐私,那不就惨了。这点其实要不要都问题不大。很多时候机子还是要到现场处理的。有时候真的跑得太累了,才……
把共享文件夹开启可以读,可以写的权限。专门用于网络共享。习惯了用\\192.168.1.100的方式打开,不习惯从网上邻居上找。但是菜鸟们喜欢循规蹈矩的找出来。走自己的路,让他们去找吧。
GUEST用户启用,限制权限,为一般用户。
八、系统还原禁止,除了C盘之外的都禁止,免得浪费空间。编辑文件中,菜鸟们喜欢新建一个文件,打完长篇大论之后,才来保存,所以经常出现恨铁不成钢的事情,中毒,停电,死机等都没法保存,还原还是不能禁止。
九、安装好之后,安装上360安全卫士最新版本,默认文件夹是D:\Backup\系统辅助,这个文件夹以后还用到。
1、扫描清除木马,对它还是毕竟放心的,还因为它速度快,不用注册。
2、清理流氓软件,插件。
3、添加系统补丁。
4、开启各种拦截,但是不开ARP防火墙。就是怕它用不上的时候反过来影响网络。
十、另外是安装一个U盘专杀的最新版本,名叫USBCleaner,也是在D:\Backup\系统辅助 下,可以清除U盘病毒,还可以监控U盘插进去电脑时有没有病毒。如图:
360本身也增加了U盘监控的,但是感觉不够强大。两个互补吧。反正不耗资源。
十一、安装卡巴,设置好杀毒的选项。
设置为开机扫描。机子慢也没办法,为了大局网络着想。还有20台机子还是256M内存的。其他都是512M,问题不大。卡巴斯基升级到最新病毒库,杀毒一次,机子基本上都很干净了。除了C盘之外的盘也需要杀毒,一般都是U盘病毒居多,基本上经过三个软件的轮番攻击都没啥病毒了。
卡巴的升级文件转到D:\Backup\系统辅助里。
卡巴斯基之离线升级方法网上很多,如下:
1、 卡巴斯基6.0病毒库位置C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6,如果无法显示,请选取"工具"菜单中的"文件夹选项",在"查看"中选取"隐藏文件和文件夹"下的"显示所有文件和文件夹"。
图片:
2、备份C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6文件夹下Bases Data及Dskm 三个文件夹下所有文件。
图片:
注意:
① 一定要备份Bases Data及Dskm 三个文件夹下所有文件,这也是离线更新的关键所在,否则,如果只简单的备份bases这个文件夹将在离线更新中卡巴斯基报找不到相关文件。
② 如果你用U 盘,可建立AVP6文件夹,再将以上三个文件夹整体拷入AVP6文件夹下,而不是简单的全部拷入,因为其余文件夹是卡巴斯基的备份、隔离、报告等文件所用 文件,占用磁盘空间大。
③ 设置需要接收离线升级的卡巴斯基
在点完确定后回到卡巴斯基主界面。
十二、下一步是把系统的隐藏文件打开。方法如下:我的电脑——文件——文件夹选项——查看——隐藏受保护的操作系统文件(推荐)勾去掉——选中“显示所有文件和文件夹”——隐藏已知文件类型的扩展名。
打开各个盘的根目录下,都有一个文件夹,叫System Volume Information,这里面的文件全部清除。RECYCLER里的全部清空。作为临时文件夹,这里经常是病毒窝藏的地方。其他盘用类似的方法清除,搞好之后要逆序改回去,防止用户看见系统文件以为是病毒误删除了。
十三、HOSTS文件的覆盖。
网上找一些恶意代码的网站,可以搜索Hosts反黑文件,把它覆盖在C:\windows\system32\Drivers\Etc即可。
十四、转移文件夹到:D:\Backup下,有“我的文档”“收藏夹”。\Backup下有系统辅助。包含有360safe,USBCleaner,优化大师绿色版,卡巴斯基的升级文件,还原精灵(为了方便GHOST到其他机子之后安装)。
十五、组策略,禁止自动运行。
下面来看看如何用组策略设置禁止光盘U盘自动运行:
1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;
2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
十六、在C:\Documents and Settings中,把当前用户welcome以及GUEST用户的“桌面”文件转移到D:\backup里,方便不同的用户资料都备份好在D盘中,在“桌面”上添加常用的软件的快捷方式,例如word,珠海教育信息网,家校通等,
同样的办法,把“我的文档”“收藏夹”也改了在D:\backup中,
目前对于QQ是否需要也安装D盘中还保留意见,因为QQ是一个传播病毒的根源之一。当断不断,反受其乱。决定QQ暂时不放D盘。
│ lixt.txt
│
├─桌面
├─收藏夹│
├─系统辅助
│ ├─360safe
│ ├─USBCleaner
│ ├─kav
│ ├─优化大师
│ └─还原精灵
└─我的文档
十七、清理垃圾,用优化大师,清除临时文件,注册表的垃圾文件。同时改主页为news.qq.com,目的就是让老师多点了解新闻,把它锁定,可以用优化大师锁定,或者注册表实现。
十八、现在可以GHOST一个镜像了。一般都有2点多G,没关系,可以用移动硬盘来装。GHOST 11.0已经支持用移动硬盘安装了。Ghost文件的扩展名,改.GHO为.tan,为的就是防止以后有病毒改写GHOST文件,而且以自己姓为扩展名,不得不为一个创举。嘻嘻。这个是备份用到,真正GHOST的时候还是用回.gho扩展名。
十九、不得不提一个是雨林木风里的win PE非常好用,运行速度快,是系统崩溃,或者中毒,运行慢情况下,最好的转移文件,备份的工具。比起以前用过的ERP等都好(不知道高手如何修改过呢?)
GHOST之前,为了确保没问题,通常是用DOS下的工具DISKFIX,修复分区表一次,看也没有问题。或者是DISKGEN重写引导区。有问题的一般直接检测过程就看出。
2点多G的文件一般要10分钟吧。因为我是GHOST中下用HIGH选项的。
二十、还原精灵的安装
GHOST系统,听到美妙的声音时,别提多高兴了。修改一下计算机名字就OK.。把原来说了很久的Backup文件夹直接复制到D盘。所有的相对路径都不会改变的。现在开始做保护,安装还原精灵。完成后,设置为每7天还原一次。
联网测试一下,可以自动获取IP,没问题了,一切搞定,OK。大功告成。 |
|