“我的補藥可能就是你的毒藥!”。Windows XP SP2的推出,無疑極大地提升了Windows XP在系統安全上的保護能力,但對於很多機構用戶或個人用戶來說,急於給操作系統中加裝SP2卻未必會為他們帶來最大的好處。例如,軟件兼容方面的問題,至今微軟公司已列出了上百種可能會與SP2產生大大小小沖突的應用軟件。當中還包括有微軟公司自己推出的軟件產品,例如Small Business Server 2003、Microsoft Baseline Security Analyzer及Visual Studio.Net等。在未能完全解決這些問題前,很多用戶都可能打算暫緩SP2的安裝。
為了讓用戶有一段適應期或過渡期將不兼容SP2的應用軟件升級,以及讓用戶完成升級SP2時所需的各類測試,微軟公司特地為用戶准備了一些暫緩安裝SP2的方案,避免用戶的電腦意外地從Windows Update或Automatic Update下載並安裝上SP2。
我們都知道,SP2是可以通過操作系統的Windows Update或Automatic Update功能下載和安裝的。可是,如果為了避免意外下載SP2而不啟動Windows Update或把Automatic Update關掉,這又會使用戶錯過其他重要的升級下載,未免顯得有點“因噎廢食”。本來系統管理員是可以通過SUS(Software Update Services)這類升級管理系統進行操控,使局域網內的電腦系統有選擇性地進行更新下載。但問題是,現在並不是所有用戶都已架設並采用了這種管理系統。因此,如果想第一時間禁止SP2的意外下載和安裝,用戶最好采用微軟公司提供的以下任何一個方法。
一、組策略
如果局域網正在運行Active Directory的組策略,通過微軟公司專門提供的ADM范本文件,系統管理員就能方便、快捷地以中央統籌的方法,為局域網內每台電腦進行暫緩下載安裝SP2的設置。
二、專用執行程序
對於沒有使用組策略的用戶,微軟公司提供了一個名為XPSP2Blocker.exe的可執行文件,和一個以Visual Basic編寫的程序供用戶使用。
XPSP2Blocker.exe必須在Windows XP的命令行“Command-line”模式中運行,若配合參數“/B”來使用(即運行XPSP2Blocker.exe /B),它就能阻止系統從Windows Update或Automatic Update中下載安裝SP2。至於解除禁制,只需再在命令行模式中執行XPSP2Blocker.exe /U即可。
此外,微軟公司還提供了兩個Visual Basic編寫的程序樣本。
第一個樣本可讓用戶(需以系統管理員或域管理員的身份進行)在網絡中一次性為指定的多部電腦進行設置。其方法是: 打開記事本(Notepad.exe)程序,將樣本程序(樣本下載地址:http://www.microsoft.com/technet/scriptcenter/solutions/blockxpsp2-multi.mspx)復制到記事本中,並將它保存為一個後綴為.vbs的文件。之後再新建另一個記事本文件,按照下面的排列方式將各電腦的名稱記錄在其中,並將之保存成一個名為Hosts.csv的文件。
Hosts.csv文件的內容包括:
client1,b
client2,u
server1,b
server2,u
(當中client1、client2、server1及server2代表電腦名稱,b代表禁制、u代表解禁。最後一行請不要按回車鍵)
最後,用以下方法運行vbs文件:cscript blockxpsp2-multi.vbs
第二個程序樣本則能夠逐一設置網絡上任何一台電腦。同樣是將程序樣本(樣本下載地址:http://www.microsoft.com/technet/scriptcenter/solutions/blockxpsp2.mspx3/)復制到記事本中,並保存成一個VBS文件,例如blockxpsp2.vbs。然後再按以下命令行方式運行即可:
cscript blockxpsp2.vbs /b client1(b代表禁制,client1代表電腦名稱)
三、電子郵件
如果你不會使用上面兩種方法,微軟還為大家准備了兩個Word文檔樣本,系統管理員只需將文件以電子郵件方式發放給用戶,用戶只要點擊Word文檔中的URL鏈接,相關的電腦就會被自動設置。
要注意的是,相關電腦用戶需有系統管理員的身份。
四、修改注冊表文件
最後,用戶還可以通過修改注冊表文件(Registry)的方式來進行封鎖設置。在Windows XP的“開始”中輸入“regedit”,運行注冊表編輯程序後,查找以下的主鍵:HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdate,為其增加一個名為“DoNotAllowsXPSP2”的DWORD值,輸入數值“1”,這樣可設置成禁止從Windows Update中下載安裝SP2升級包。
以上幾種方法涉及到的所有EXE文件、ADM文件及Word文件,全都可在下面的鏈接地址一次性下載(http://go.microsoft.com/fwlink/&#LinkId=33517),它們包含在一個名為XPSP2BlockerTools.exe的自解壓文件中。
最後,有一點大家必須注意的是,本文介紹的SP2禁制方法都是暫緩性的。畢竟SP2是一個重大的更新,最終Windows SP系統都要安裝它。所以禁制設置是有限期的,共120天。即從2004年8月16開始計算,到期時間為2004年12月14日。期限一到,以上的所有設置都將不再生效,Windows Update和Automatic Update到時會重新允許下載並安裝SP2。另外,就算做了以上的封鎖設置後,用戶仍可利用光盤或其他途徑,例如從網上先下載再運行來安裝SP2。