Win7 SP1 x64集成补丁方案（IE8.0+IE11）by 2020.01.14 非ESU

wu733

youlin211 发表于 2025-3-31 12:35
侦测到补丁，是要交钱给微软的？

这句话是有问题的，2020年1月14日开始结束Win7免费支持的，以后的补丁需要给巨硬付费

wu733

去掉MicrosoftRootCertificateAuthority2011.cer，已验证它被KB3004394-v2取代

wu733

IE8.0方案去掉KB2882822（2013年08月29日添加ITraceRelogger接口支持，IE11可选补丁）

wu733

保留MicrosoftRootCertificateAuthority2011.cer，虽然它被KB3004394-v2取代

wu733

重大更新：
1、新增可选补丁KB0977206（2010年01月04日免除安装Windows Virtual PC和XP Mode的硬件需求）；
2、IE11方案新增可选补丁KB2882822（2013年08月29日添加ITraceRelogger接口支持）；
3、不再去掉KB3118401（2015年12月13日通用C运行库，修复KB2999226），虽然它被KB4534310官载取代，但是还是要打，不打WU还会继续推送；
4、在月度汇总之后新增：KB3125574-v4（2016年04月便利汇总），最后对系统进行非安全性遗漏修复，包括质量和功能改进；
5、在KB3125574-v4便利汇总之后，添加三个更新汇总：
KB3172605（2016年07月21日更新汇总，仅包括质量改进，新增微软遥测AitAgent，July 21, 2016 — KB3172605）
KB3179573（2016年08月16日更新汇总，仅包括质量改进，August 16, 2016 — KB3179573）
KB3185278（2016年09月20日更新汇总，仅包括质量改进，修复KB3125574便利汇总，September 20, 2016 — KB3185278），被KB4534310官载取代（由于KB3185278的目标是修复KB3125574，故这一步并不多余）
另外：
KB3156417（2016年05月17日更新汇总）被KB3172605以及KB4534310官载取代，故不收纳，May 2016 update rollup for Windows 7 SP1
KB3161608（2016年06月20日更新汇总）会导致Intel蓝牙设备失效，且KB3161608被KB3172605完全取代，微软已撤架作废，故不收纳，详见July update rollup KB3172605 to replace June's KB3161608

wu733

gwaijyut 发表于 2025-3-19 09:34
分享和交流，共同进步呀！我们就不必用敬语了^_^
我在给E版加中文补丁并升级字体的时候偶然发现这个问题 ...

您在隔壁的关于不使用KB3125574方案的一些观点一贴，其中21楼的 “还有一个补丁值得重视：
Windows6.1-KB2716513-x64_na_MS12-073-2012年11月13日-针对 InternetInformationServices7.0-FTP服务7.5和FTP服务7.0的安全更新catalog.update上没有替代信息，实际检验也没发现月度汇总有替代行为。”

实在不好意思，我当时由于其它原因并没注意到，关于这个KB2716513在https://learn.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-073?redirectedfrom=MSDN中有描述：

“KB2489256 in MS11-004 replaced by KB2716513 No bulletins replaced by KB2719033” ，见图一，翻译如下：
“MS11-004 中的 KB2489256 被 KB2716513 取代，无公告被 KB2719033 取代”

这里的 “无公告被 KB2719033 取代” 意思是 “MS11-004 中的 KB2489256实际被KB2719033 取代，只是官方没说明”
而KB2719033又被月度汇总（比如KB4534310）官载取代，也即取代路线为：KB2489256→KB2716513→KB2719033→月度汇总
故KB2716513属于冗余

小龙飞

老旧电脑才会使用win7系统，值得推荐收藏！！

2013ghyy

下载的系统链接在哪？

wu733

补丁方案最新修改，完善了相比ESU方案多出的补丁（17个），并标记

wu733

统一补丁方案重大更新：
1、取消可选补丁KB0977206（2010年01月04日免除安装Windows Virtual PC和XP Mode的硬件需求），微软于2010年3月18日取消了Windows XP Mode对硬件虚拟化技术的强制要求，故此KB0977206已经失效，表现为安装以后为 “被取代” ；
2、新增必选补丁KB2581464（2011年07月16日USB2.0提速补丁）；

3、新增可选补丁KB2607047（2011年10月22日更新为DFS复制(DFSR)管理界面是可用）；

4、取消必选补丁KB2760730（2012年11月05日解决Win8或Server2012与Server 2008 SP2、Win7 SP1或Server 2008 R2 SP1之间互操作问题）；

5、取消必选补丁KB2809215（2013年02月15日PowerShell3.0 安装回滚 2.0 安装，仅 x64，原PowerShell5.1组件之一）

6、IE11方案新增可选补丁KB2882822（2013年08月29日添加ITraceRelogger接口支持）；
7、不再去掉KB3118401（2015年12月13日通用C运行库，修复KB2999226），虽然它被KB4534310官载取代，但是还是要打，不打WU还会继续推送；
8、调整顺序，在月度汇总之后添加两个更新汇总Update rollup+便利汇总+KB2775511：
①KB3179573（2016年08月16日更新汇总，仅包括质量改进，August 16, 2016 — KB3179573）
②KB3172605（2016年07月21日更新汇总，仅包括质量改进，更正：不新增任何遥测，July 21, 2016 — KB3172605）
③KB3125574-v4（2016年04月便利汇总），对系统进行非安全性遗漏修复，包括质量和功能改进；
④KB2775511（2013年03月enterprise hotfix rollup，企业热修复汇总），仅非安全性热修复，主要针对网络性能优化修复，专为解决企业环境中遇到的特定问题（如 VPN 连接失败、域控服务器网络延迟等），不涉及任何安全漏洞修补。这个企业热修复汇总视情况最后集成。

wu733

KB3125574之后新增可选项 - 企业热修复汇总：
④KB2775511（2013年03月enterprise hotfix rollup，企业热修复汇总），仅非安全性热修复，主要针对网络性能优化修复，专为解决企业环境中遇到的特定问题（如 VPN 连接失败、域控服务器网络延迟等），不涉及任何安全漏洞修补。这个企业热修复汇总视情况添加。

wu733

新增：
一、十个非安全性热修补丁：
1、KB2752259   2012年09月04日可提高 Printbrm.exe 命令行工具性能的更新
2、KB2695321   2012年09月17日IPsec 会话需要 5 到 6 分钟才能连接到存储控制器
3、KB2727994   2012年10月04日您无法在 WebDAV 文件服务器上打开或保存 Office 2010 文档，衍生了KB3124280（2016年1月8日WebDAV安全更新）
4、KB2728738   2013年07月13日在具有漫游配置文件的计算机上登录时间较长
5、KB2891144   2013年09月19日通过 RD 会话运行应用程序时，应用程序无法正确绘制折线
6、KB2907020   2013年12月27日在 Windows 待机或恢复后访问映射的网络驱动器时，出现位置不可用错误
7、KB2918833   2014年02月06日第三方 IME 为用户提供不受保护的系统访问权限
8、KB2925489   2014年02月10日您无法与某些第三方设备建立 IPsec 连接
9、KB2923766   2014年02月12日在计算机上插入显示器或打开笔记本电脑盖子时出现黑屏
0、KB2990184   2015年03月20日无法将符合 FIPS 标准的恢复密码保存到 BitLocker 的 AD DS.（此补丁必须至少放在KB3125574之前，放在KB3125574之后会推送重复补丁KB3042058）

二、.NET3.5.1更新
1、KB2868725   2013年09月26日Microsoft 安全公告用于禁用RC4的更新，是KB2898851的前置
2、KB2898851   2014年03月07日此更新适用于 Microsoft .NET Framework，它通过修改系统注册表来禁用传输层安全性 (TLS) 中的RC4

三、KB3046480  2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows

四、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245使用，在操作系统级别启用TLS1.1+TLS1.2作为SChannel协议

wu733

再次完善所有方案

gzdsys

感谢大佬更新

whaozi1

win7，感觉好遥远的词了

wu733

whaozi1 发表于 2025-5-14 09:12
win7，感觉好遥远的词了

感觉Win7好遥远了，又忍不住进来看看，所以还是觉得Win7才是最好的

chentt2022

不错 不过现在用WIN7 的不多了吧，先回帖支持下。

asdddsa101

感谢分享

wu733

纠错：
由于MicrosoftEasyFix51044.msi的作用是 “添加DefaultSecureProtocols注册表值及其它相关注册表子项”，故它是KB3140245的前置，所以应该放在KB3140245前面。当然你也可以手工添加相关注册表子项及值。

gwaijyut

wu733 发表于 2025-4-22 07:01
您在隔壁的关于不使用KB3125574方案的一些观点一贴，其中21楼的 “还有一个补丁值得重视：
Windows6.1-K ...

是的，当时我没有阅读这份安全公告，结论草率了

wu733

收纳四个非安全性热修补丁KB2728738、KB2891144、KB2918833、KB2990184，其它的已验证被KB4534310文件取代

wu733

已验证KB3046480被KB4534310文件取代，补丁方案不再收纳

gwaijyut

1、catalog现已不再提供KB2534111，若选用“非KB3125574”方案，建议使用带U的母盘；
2、KB3125574替代并升级了KB2534111，选择此方案则推荐使用不带U的母盘；
3、windowsupdateagent-7.6-x64.exe可有可无，KB3138612取代了它

请楼主验证

wu733

gwaijyut 发表于 2025-5-22 09:56
1、catalog现已不再提供KB2534111，若选用“非KB3125574”方案，建议使用带U的母盘；
2、KB3125574替代并 ...

非常感谢您一直以来对我的帮助
一、对于您说的“非KB3125574”方案，建议使用带U的母盘，“KB3125574”方案则使用不带U的母盘
1、KB3125574的Package Details列表中明确取代的补丁为66个，其中并不包含KB2534111（2011年04月09日安装的时候输入计算机用户名不能仅包含数字）这个补丁；
2、KB2534111的作用并不大，此补丁通过修改OOBE的验证逻辑，强制要求用户名必须包含非数字字符，否则会提示错误。它默认不干预非OOBE阶段的用户创建，也即若通过控制面板 - 用户账户 或 lusrmgr.msc（本地用户和组管理器）手动创建账户，仍可以使用纯数字的用户名（例如 "123"）。故KB2534111只是在OOBE阶段的时候用用而已，用完后就再也没用了；
3、KB3125574虽然将KB2534111的文件版本升级到了23403，个人以为只不过玩的数字游戏而已，不可当真。包括WU单独推送的很多非冗余补丁，反而版本还没有KB3125574里面的新，您细品~

综上所述，无论“非KB3125574”方案还是“KB3125574”方案，统一使用不带U的母盘是最好的。最后，这个KB2534111补丁我会在最底下的补丁下载链接里面提供。

二、对于您说的“windowsupdateagent-7.6-x64.exe可有可无，KB3138612取代了它”
1、windowsupdateagent-7.6-x64.exe的作用是用于离线或手动更新Windows Update代理程序以便离线安装其他补丁；
2、.NET Framework 4.8的前置条件包含了这个windowsupdateagent-7.6-x64.exe，而KB3138612并不能取代windowsupdateagent-7.6-x64.exe作为.NET Framework 4.8的前置条件。为此我专门验证过。

wu733

非KB3125574补丁方案更新：
KB3172605，由于其中包含很多过时的冗余补丁，至于它会导致Intel蓝牙设备打不上驱动只是小事（有解决方案）。纠结的地方是不打的话WU会推送它。正在研究中，争取啃掉这块硬骨头!
结论：最终去掉KB3172605！

wu733

gwaijyut 发表于 2025-5-22 09:56
1、catalog现已不再提供KB2534111，若选用“非KB3125574”方案，建议使用带U的母盘；
2、KB3125574替代并 ...

abbodi1406 说过KB3138612 取代了 WindowsUpdateAgent-7.6-x64.exe，见下图，但是经我验证却不是的。
MicrosoftRootCertificateAuthority2011.cer证书+Windowsupdateagent-7.6-x64.exe作为最基础、最小化的必要条件，是.NET Framework 4.8的前置。

你试试MicrosoftRootCertificateAuthority2011.cer证书+KB3138612，然后看能不能安装.NET Framework 4.8 ？

事实证明我是对的

gwaijyut

wu733 发表于 2025-5-24 11:34
abbodi1406 说过KB3138612 取代了 WindowsUpdateAgent-7.6-x64.exe，见下图，但是经我验证却不是的。
Mi ...

WindowsUpdateAgent-7.6-x64.exe可以作为安装NDP48的前置，这个属实是诡异。
刚刚做了个测试，结果如下【注意命令行及回显】：
测试所使用的母盘信息：
SHA-256: 4e72b1389de9e1ca5611991ff2e698fc65710b56a59d259f172e9c1f0589334b

【插播一条大写的尴尬，我在这边没有权限上传图片】

结论：
1、使用最新的根证书（提取自Simplix）可以作为安装NDP48的前置；
2、WindowsUpdateAgent-7.6-x64.exe也可以作为安装NDP48的前置

二者之间如何取舍，只能是见仁见智啦。
我比较倾向于abbodi1406的看法，从更新的角度来说，KB3138612在功能上，确实取代了WindowsUpdateAgent，加之证书更新是必须的，所以，WindowsUpdateAgent可以弃用

hjkerty

感谢分享

wu733

gwaijyut 发表于 2025-5-24 20:57
WindowsUpdateAgent-7.6-x64.exe可以作为安装NDP48的前置，这个属实是诡异。
刚刚做了个测试，结果如下【 ...

想省事直接用Simplix的根证书即可作为NDP48的前置
如果担心污染，则用MicrosoftRootCertificateAuthority2011.cer证书+Windowsupdateagent-7.6-x64.exe作为NDP48的前置

gwaijyut

有时间的话一起研究一下HomeServer2011呗