Win7 SP1 x64 非KB3125574集成补丁方案（IE8.0+IE11）by 2020.01.14 非ESU

wu733

本人从国内各单位及公司的利益出发，制作了此Win7 SP1 x64 非ESU补丁方案（仅补丁方案，大家自己下载的补丁才是最放心的。

2020年1月14日月度汇总KB4534310官载取代了133个补丁，详情见如下链接中的Package Details列表：
https://www.catalog.update.micro ... d00e#PackageDetails

2020年1月14日月度汇总KB4534310对于IE11方案来说，推送取代了以下5+1个补丁（IE8.0方案不推送KB2888049）：
重要更新：
KB2532531   2011年04月29日蓝牙栈驱动远程代码执行漏洞
KB2984976   2014年08月30日受限管理的 RDP 8.0 更新
KB3092601   2015年10月14日特权提升漏洞
KB3101722   2015年10月13日特权提升漏洞
KB3150220   2016年04月22日Windows Media Center安全更新
可选更新：
KB2888049   2013年09月14日用于提高IE11在Windows中的网络性能

剔除：
1、KB2882822   2013年08月29日添加ITraceRelogger接口支持。
KB2882822中包含了很多过时的冗余，故不用安装KB2882822，直接用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴281楼所示初始增量即可。
2、KB2920188   2014年07月15日添加受信任的平台模块TPM2.0的支持。
KB3133977可作为替换KB2920188用。然后用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴277楼所示两个组件。
3、KB3046480   2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows
它被KB3071756无公告取代。验证见Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴265楼
4、KB2990184   2015年03月20日在Win7或 Server08 R2中，无法将符合FIPS标准的恢复密码保存到启用了BitLocker的Active Directory域服务(AD DS).
若采纳KB2990184这个非安热修，则引入了很多冗余，故不用安装KB2990184，直接用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴254楼所示初始增量即可。
5、KB3172605中包含了很多过时的冗余，这才是不选择KB3172605最主要的原因！！！原因见Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴249、250楼。但KB3172605对KB3042058中的CipherSuiteOrder.adml、olepro32.dll进行了最终更新(23452版)，月度汇总未再更新
新增：
一、KB2631813   2011年11月03日远程漏洞。KB3125574对其中的mstvcapn.dll进行了最终更新（月度汇总未更新）

二、KB2716513   2012年06月01日IIS7.0的FTP服务7.0和7.5安全更新，官载取代了KB2489256

三、KB2647753   2012年09月13日修复 "图片管理器"、RDP、"日志记录" 和 "打印到网络打印机" 中的各种打印问题。未被KB4534310文件取代

四、收纳两个非安全性热修补丁KB2891144、KB2918833，其它的已验证被KB4534310文件取代或其它情况不必安装：
1、KB2891144   2013年09月19日通过 RD 会话运行应用程序时，应用程序无法正确绘制折线，内置RDP显卡驱动（rdpdd.dll）更新，KB3125574对rdpdd.dll进行了最终更新（月度汇总未更新），Win7和Server08 R2补丁可以共用
2、KB2918833   2014年02月06日第三方 IME 为用户提供不受保护的系统访问权限，输入法管理器Imm32.dll更新，KB3125574对Imm32.dll进行了最终更新（月度汇总未更新）

五、.NET3.5.1安全更新
1、KB2868725   2013年09月26日Microsoft 安全公告用于禁用RC4的更新，是KB2898851的前置
2、KB2898851   2014年03月07日.NET3.5.1安全更新，它通过修改系统注册表来禁用传输层安全性 (TLS) 中的RC4：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001  ;强制使用强加密（禁用 RC4，隐含禁用弱加密）
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001  ;强制使用强加密（禁用 RC4，隐含禁用弱加密）
检查你的注册表，若无上述键名、键值，则说明你需要这个KB2898851，或者说KB2898851未被后续月度汇总取代。但是如果你是内网，需要用到弱加密，则不需要这个KB2898851。

六、KB3019978  2015年01月01日TS WebProxy Windows 组件漏洞。与KB3020388不同，KB3019978更新的是6.1.7601版tswbprxy.exe，而KB3020388更新的是6.3.9600版tswbprxy.exe，更新的技术栈不同。

七、KB3138378   2016年03月11日Journal.dll二进制更新（包含了InkDiv.dll、InkEd.dll、InkObj.dll、journal.dll、rtscom.dll五个文件更新），非日记本更新，实际为Microsoft Tablet PC 组件更新，它移除冗余代码以提升稳定性（与日记本核心功能无关），再次感谢隔壁gwaijyut。实践证明，WPS Office365需要调用其中的InkObj.dll文件。

八、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245使用，在相关注册表子项下添加未存在的DefaultSecureProtocols、SecureProtocols键名和键值以及修改已存在的SecureProtocols的键值

九、KB4054998  2017年12月19日.net3.5.1补丁（分属于.NET汇总KB4055532_18.01），它最终推送取代了两个.net3.5.1补丁KB2973112 、KB3122648，后续.net3.5.1自此掉了链子（隔壁gwaijyut提供）

十、MDL论坛的George King提出（见下图）：
1、AD LDS - Active Directory 轻量级目录服务KB975541最初提供版本为 6.1.7600.16494。微软从未创建过更新的软件包，所以他创建了SP1版本6.1.7601.17514，包含所有相关的17514版语言包。
2、VPC - Windows Virtual PC 更新KB958559包含两个版本 6.1.7600.16393 和 6.1.7601.17514。使用原始包时，DISM会安装这两个和所有LP。不需要将旧版本放进镜像里，然后再加上他提供的17514版语言包。
3、下载链接：KB975541和KB958559单独17514版组件+17514版语言包下载

最终，收纳六个安全更新补丁KB2534111、KB2631813、KB2716513、KB2868725、KB2898851、KB3019978，四个非安全性补丁KB2607047、KB2619497、KB2760730、KB2905454，一个.net3.5.1补丁KB4054998，六个AD LDS补丁KB975541、KB2462137、KB2539513、KB2589154、KB2647644、KB3012660，两个非安全性热修KB2891144、KB2918833，一个跟HyperV有关的补丁KB4072650。

非KB3125574补丁方案：
非KB3125574+IE11补丁方案（2020.01.14 非ESU）        提取码：3S0B

非KB3125574+IE8补丁方案（2020.01.14 非ESU）      提取码：Uvrp


提取UpdatePack7R2-25.11.11根证书更新

其中，安装根证书更新.exe是基本要求，安装未受信任的发布者.exe则更加严格。

PS：证书文件提取自UpdatePack7R2-25.11.11（与UpdatePack7R2-25.12.10相同），并用官方roots.sst进行了替换（UpdatePack7R2作者Simplix对roots.sst进行了精简），感谢隔壁论坛gwaijyut告知。获取官方根证书命令：
certutil.exe  -generateSSTFromWU  roots.sst

补丁下载        提取码：vifj

w12340

谢谢分享

wu733

至此，此补丁方案不再更新

wu733

新增剔除：
KB2920188   2014年07月15日添加受信任的平台模块TPM2.0的支持。
KB3133977可作为替换KB2920188用。然后用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴277楼所示两个组件。

jinghuanqd

感谢分享

wu733

gwaijyut 发表于 2026-1-4 14:43
RSAT 与此类似，可惜这个包没有提取的意义。因为在 SP1 中，微软没有升级这个包的底层文件，仍然使用 163 ...

是的，RSAT(16385版)与这个KB975541(17514版)拥有很多叠加的同类组件，比如：

RSAT(16385版)涵盖了KB2462137、KB2539513、KB2589154、KB2647644（同类组件涵盖），不涵盖KB3012660；KB975541(17514版)则涵盖了KB2539513、KB2589154、KB2647644、KB3012660（同类组件涵盖），不涵盖KB2462137。

以上三个补丁KB2539513、KB2589154、KB2647644是相同的覆盖点

long363669954

感谢分享

gwaijyut

“八、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245使用，在相关注册表子项下添加未存在的DefaultSecureProtocols、SecureProtocols键名和键值以及修改已存在的SecureProtocols的键值”

https工具//download.microsoft地址com/download/0/6/5/0658B1A7-6D2E-474F-BC2C-D69E5B9E9A68/MicrosoftEasyFix51044.msi

等效导入注册表文件：

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   
4. "DefaultSecureProtocols"=dword:00000a00
   
5. 
   
6. [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   
7. "DefaultSecureProtocols"=dword:00000a00
   
8. 
   
9. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   
10. "DisabledByDefault"=dword:00000000
    
11. "Enabled"=dword:00000001
    
12. 
    
13. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    
14. "DisabledByDefault"=dword:00000000
    
15. "Enabled"=dword:00000001
    
16. 
    
17. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    
18. "SecureProtocols"=dword:00000a80
    
19. 
    
20. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
    
21. "SecureProtocols"=dword:00000a80

复制代码

gwaijyut

wu733 发表于 2026-1-3 12:46
MDL论坛的George King提出（见下图）：
1、AD LDS - Active Directory 轻量级目录服务KB975541最初提供版 ...

RSAT 与此类似，可惜这个包没有提取的意义。因为在 SP1 中，微软没有升级这个包的底层文件，仍然使用 16385

view520

谢谢楼主分享

x377533099

谢谢楼主分享！辛苦了~

wu733

MDL论坛的George King提出（见下图）：
1、AD LDS - Active Directory 轻量级目录服务KB975541最初提供版本为 6.1.7600.16494。微软从未创建过更新的软件包，所以他创建了SP1版本6.1.7601.17514，包含所有相关的17514版语言包。
2、VPC - Windows Virtual PC 更新KB958559包含两个版本 6.1.7600.16393 和 6.1.7601.17514。使用原始包时，DISM会安装这两个和所有LP。不需要将旧版本放进镜像里，然后再加上他提供的17514版语言包。
3、下载链接：KB975541和KB958559单独17514版组件+17514版语言包下载

wu733

去掉那个KB4507004，补丁方案更新

wu733

再新增一个.net3.5.1补丁KB4507004（分属于.NET汇总KB4533095_19.12），它最终推送取代了一个.net3.5.1补丁KB2836942的，后续.net3.5.1补丁自此也掉了链子

更正：2020年1月的KB4532945（.net3.5.1）也取代了KB2836942，真是糊涂了，那个KB4507004不作数...

ygy413470244

还是wuin7经典

wu733

新增一个.net3.5.1补丁KB4054998（分属于.NET汇总KB4055532_18.01），它最终推送取代了两个.net3.5.1补丁KB2973112 、KB3122648，后续.net3.5.1补丁自此掉了链子。

womwom

学习学习

wu733

补丁方案更新，考虑再三还是新增非安热修补丁KB2891144，Win7和Server08 R2补丁可以共用

womwom

学习学习

wu733

gwaijyut 发表于 2025-12-25 10:50
@GeorgeKing  提供的那个吗？确实很好。在 SP1 环境中，官版会安装 16393 和 16385 以及 17514

好像是的，我单位这里不记得MDL登录密码了

gwaijyut

wu733 发表于 2025-12-25 10:21
是的，我实际安装的也是6个补丁，其中KB975541和KB958559（Virtual PC）安装的是MDL论坛中提供的17514版 ...

@GeorgeKing  提供的那个吗？确实很好。在 SP1 环境中，官版会安装 16393 和 16385 以及 17514

wu733

gwaijyut 发表于 2025-12-25 09:02
gwaijyut 发表于 2025-12-11 12:51
七个 AD LDS 补丁，hackandpwn 似乎提供了一个不太准确的列表，KB279 ...

是的，我实际安装的也是6个补丁，其中KB975541和KB958559（Virtual PC）安装的是MDL论坛中提供的17514版的组件
也就是说，不要安装KB975541和KB958559这两个补丁（均为16385版），改安装那两个17514版组件（组件+语言包）

gwaijyut

wu733 发表于 2025-12-11 17:08
收到，等我休假再作修改

gwaijyut 发表于 2025-12-11 12:51
七个 AD LDS 补丁，hackandpwn 似乎提供了一个不太准确的列表，KB2790338 应替换为 KB2898997

收到，等我休假再作修改

===========================

以上信息有误。更正：
KB2790338 仅适用于 2008 R2，无需用 KB2898997 代替。而 KB2898997 又被 KB3012660 取代。
AD LDS 使用 6 个文件就够了。(KB975541、KB2462137、KB2539513、KB2589154、KB2647644、KB3012660)

womwom

学习学习

wu733

gwaijyut 发表于 2025-11-29 18:05
“你说的缺少对应的 .manifest 文件，删除中间增量时，每个增量所对应的 .manifest 文件，都被我干掉了，可 ...

“比如把 23403.manifest 修改为 18365.manifest 再覆盖过去。”

非常感谢指导，这个.manifest文件有时竟然包含了注册表信息，到今天我终于明白了

wu733

非KB3125574+非ESU补丁方案稍作修改

wu733

gwaijyut 发表于 2025-12-11 12:51
七个 AD LDS 补丁，hackandpwn 似乎提供了一个不太准确的列表，KB2790338 应替换为 KB2898997

收到，等我休假再作修改

tcl123

谢谢分享

gwaijyut

wu733 发表于 2025-12-7 14:08
补丁方案更新：
完全收纳了七个AD LDS补丁以及KB4072650  2019年08月11日超V集成组件更新，去掉了KB304205 ...

七个 AD LDS 补丁，hackandpwn 似乎提供了一个不太准确的列表，KB2790338 应替换为 KB2898997

wu733

说明，补丁方案采纳了隔壁gwaijyut提供的六个跟HyperV有关补丁的取代路线：
KB3063109→KB3158626→KB3158627→KB4021918→KB4072650→KB4072650-x64-r2(2019,Final)
由于取代链中的很多补丁无法下载，所以无从验证，最后采纳KB4072650-x64-r2(2019,Final)。不过大家还是要感谢gwaijyut，他就像划破黑暗中的一道闪电，指引着至今还在坚守Windows7的粉丝（包括我）继续前进！！！

wu733

补丁方案更新：
完全收纳了七个AD LDS补丁以及KB4072650  2019年08月11日超V集成组件更新，去掉了KB3042058（被KB3172605推送取代）