2012yishuihana 发表于 2025-6-14 19:06
如果是原版，仅加补丁就好了，无所谓高配还是低配。

我制作的也仅仅是自用或给大家参考，如果需要未优化版，有现成的补丁方案，可以自己动手

如果是原版，仅加补丁就好了，无所谓高配还是低配。

提供集成至2020年01月14日补丁的镜像下载，仅IE11方案（高配、低配），未精简

1、高配版193个更新，低配版190个更新；
2、集成了公文字体；
3、TSforge集火；
4、下载链接：Win7 SP1 x64 批量授权专业版”无精简“集成2020年01月14日补丁       提取码：dZbb

所有补丁方案收纳两个补丁如下：

KB2647753   2012年09月13日修复 "图片管理器"、RDP、"日志记录" 和 "打印到网络打印机" 中的各种打印问题，虽然大部分被KB4534310文件取代，但缺少原补丁对系统的注册表写入

KB3046480   2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows，虽然被KB4534310文件取代，但缺少原补丁对系统的注册表写入

关于证书的问题，这里引述一个手搓的方法，基本上可以确保天然无污染，供各位强迫症大佬参考。
高手请绕路

Catalog检索关键字：KB3050995
程序名称：rvkroots.exe
www*microsoft*com/zh-CN/download/details.aspx?id=46394
描述：安装此更新可解决需要更新 Windows 系统上不受信任的证书存储区的问题，并使系统保持最新状态。安装本更新程序之后，可能需要重新启动系统
下载：//download.microsoft*com/download/e/5/9/e59e278c-9013-4ea7-83ea-f405b40ea499/rvkroots.exe

Catalog检索关键字：Windows 2000 证书更新程序
程序名称：rootsupd.exe
下载：//catalog.s.download.windowsupdate*com/msdownload/update/v3-19990518/cabpool/rootsupd_fe44934fd80dd11fec2f0f9b24431658a4f6d589.exe

步骤：
1、新建文件夹，例如；
        mkdir d:\UpdRoots


2、解压rvkroots.exe、rootsupd.exe，将解压后的文件合并到d:\UpdRoots；
        由于Server2003的文件较新，重复文件保留Server2003版本(rvkroots.exe)


       
3、得到以下文件列表：
        authroots.sst
        delroots.sst
        disallowedcert.sst
        roots.sst
        updroots.sst       
        rootsupd.inf
        rvkroots.inf       
        updroots.exe       
        ADVPACK.DLL
        W95INF16.DLL
        W95INF32.DLL

       
4、W95INF16.DLL、W95INF32.DLL是Windows95-98-me时代的产物，可以删除。完成清理后，文件列表如下：
        authroots.sst
        delroots.sst
        disallowedcert.sst
        roots.sst
        updroots.sst
        rootsupd.inf
        rvkroots.inf
        updroots.exe
        ADVPACK.DLL


       
5、使用以下地址，更新sst文件(更新频率，2-3个月)：
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/authroots.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/delroots.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/roots.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/updroots.sst


       
6、修改安装信息(rootsupd.inf、rvkroots.inf)：
        ·rootsupd.inf --> 第34行，VERSION修改为"41,0,2195,0"；第35行，Ver修改为"041"
        ·rvkroots.inf --> 第31行，VERSION修改为"5,0,2195,0"；第32行，Ver修改为"005"
       
7、至此全部完成。

注：
        此方法我最初在MSFN论坛看到(msfn***org/board/topic/175170-root-certificates-and-revoked-certificates-for-windows-xp/)
        作者是@heinoganda
        通过对比，发现Simplix在UpdatePack7R2中用了同样的方法

有时间的话一起研究一下HomeServer2011呗

gwaijyut 发表于 2025-5-24 20:57
WindowsUpdateAgent-7.6-x64.exe可以作为安装NDP48的前置，这个属实是诡异。
刚刚做了个测试，结果如下【 ...

想省事直接用Simplix的根证书即可作为NDP48的前置
如果担心污染，则用MicrosoftRootCertificateAuthority2011.cer证书+Windowsupdateagent-7.6-x64.exe作为NDP48的前置

感谢分享

wu733 发表于 2025-5-24 11:34
abbodi1406 说过KB3138612 取代了 WindowsUpdateAgent-7.6-x64.exe，见下图，但是经我验证却不是的。
Mi ...

WindowsUpdateAgent-7.6-x64.exe可以作为安装NDP48的前置，这个属实是诡异。
刚刚做了个测试，结果如下【注意命令行及回显】：
测试所使用的母盘信息：
SHA-256: 4e72b1389de9e1ca5611991ff2e698fc65710b56a59d259f172e9c1f0589334b

【插播一条大写的尴尬，我在这边没有权限上传图片】

结论：
1、使用最新的根证书（提取自Simplix）可以作为安装NDP48的前置；
2、WindowsUpdateAgent-7.6-x64.exe也可以作为安装NDP48的前置

二者之间如何取舍，只能是见仁见智啦。
我比较倾向于abbodi1406的看法，从更新的角度来说，KB3138612在功能上，确实取代了WindowsUpdateAgent，加之证书更新是必须的，所以，WindowsUpdateAgent可以弃用

非KB3125574补丁方案更新：
KB3172605，由于其中包含很多过时的冗余补丁，至于它会导致Intel蓝牙设备打不上驱动只是小事（有解决方案）。纠结的地方是不打的话WU会推送它。正在研究中，争取啃掉这块硬骨头!
结论：最终去掉KB3172605！

gwaijyut 发表于 2025-5-22 09:56
1、catalog现已不再提供KB2534111，若选用“非KB3125574”方案，建议使用带U的母盘；
2、KB3125574替代并 ...

非常感谢您一直以来对我的帮助
一、对于您说的“非KB3125574”方案，建议使用带U的母盘，“KB3125574”方案则使用不带U的母盘
1、KB3125574的Package Details列表中明确取代的补丁为66个，其中并不包含KB2534111（2011年04月09日安装的时候输入计算机用户名不能仅包含数字）这个补丁；
2、KB2534111的作用并不大，此补丁通过修改OOBE的验证逻辑，强制要求用户名必须包含非数字字符，否则会提示错误。它默认不干预非OOBE阶段的用户创建，也即若通过控制面板 - 用户账户 或 lusrmgr.msc（本地用户和组管理器）手动创建账户，仍可以使用纯数字的用户名（例如 "123"）。故KB2534111只是在OOBE阶段的时候用用而已，用完后就再也没用了；
3、KB3125574虽然将KB2534111的文件版本升级到了23403，个人以为只不过玩的数字游戏而已，不可当真。包括WU单独推送的很多非冗余补丁，反而版本还没有KB3125574里面的新，您细品~

综上所述，无论“非KB3125574”方案还是“KB3125574”方案，统一使用不带U的母盘是最好的。最后，这个KB2534111补丁我会在最底下的补丁下载链接里面提供。

二、对于您说的“windowsupdateagent-7.6-x64.exe可有可无，KB3138612取代了它”
1、windowsupdateagent-7.6-x64.exe的作用是用于离线或手动更新Windows Update代理程序以便离线安装其他补丁；
2、.NET Framework 4.8的前置条件包含了这个windowsupdateagent-7.6-x64.exe，而KB3138612并不能取代windowsupdateagent-7.6-x64.exe作为.NET Framework 4.8的前置条件。为此我专门验证过。

1、catalog现已不再提供KB2534111，若选用“非KB3125574”方案，建议使用带U的母盘；
2、KB3125574替代并升级了KB2534111，选择此方案则推荐使用不带U的母盘；
3、windowsupdateagent-7.6-x64.exe可有可无，KB3138612取代了它

请楼主验证

已验证KB3046480被KB4534310文件取代，补丁方案不再收纳

收纳四个非安全性热修补丁KB2728738、KB2891144、KB2918833、KB2990184，其它的已验证被KB4534310文件取代

wu733 发表于 2025-4-22 07:01
您在隔壁的关于不使用KB3125574方案的一些观点一贴，其中21楼的 “还有一个补丁值得重视：
Windows6.1-K ...

是的，当时我没有阅读这份安全公告，结论草率了

纠错：
由于MicrosoftEasyFix51044.msi的作用是 “添加DefaultSecureProtocols注册表值及其它相关注册表子项”，故它是KB3140245的前置，所以应该放在KB3140245前面。当然你也可以手工添加相关注册表子项及值。

感谢分享

不错 不过现在用WIN7 的不多了吧，先回帖支持下。

whaozi1 发表于 2025-5-14 09:12
win7，感觉好遥远的词了

感觉Win7好遥远了，又忍不住进来看看，所以还是觉得Win7才是最好的

win7，感觉好遥远的词了

感谢大佬更新

再次完善所有方案

新增：
一、十个非安全性热修补丁：
1、KB2752259   2012年09月04日可提高 Printbrm.exe 命令行工具性能的更新
2、KB2695321   2012年09月17日IPsec 会话需要 5 到 6 分钟才能连接到存储控制器
3、KB2727994   2012年10月04日您无法在 WebDAV 文件服务器上打开或保存 Office 2010 文档，衍生了KB3124280（2016年1月8日WebDAV安全更新）
4、KB2728738   2013年07月13日在具有漫游配置文件的计算机上登录时间较长
5、KB2891144   2013年09月19日通过 RD 会话运行应用程序时，应用程序无法正确绘制折线
6、KB2907020   2013年12月27日在 Windows 待机或恢复后访问映射的网络驱动器时，出现位置不可用错误
7、KB2918833   2014年02月06日第三方 IME 为用户提供不受保护的系统访问权限
8、KB2925489   2014年02月10日您无法与某些第三方设备建立 IPsec 连接
9、KB2923766   2014年02月12日在计算机上插入显示器或打开笔记本电脑盖子时出现黑屏
0、KB2990184   2015年03月20日无法将符合 FIPS 标准的恢复密码保存到 BitLocker 的 AD DS.（此补丁必须至少放在KB3125574之前，放在KB3125574之后会推送重复补丁KB3042058）

二、.NET3.5.1更新
1、KB2868725   2013年09月26日Microsoft 安全公告用于禁用RC4的更新，是KB2898851的前置
2、KB2898851   2014年03月07日此更新适用于 Microsoft .NET Framework，它通过修改系统注册表来禁用传输层安全性 (TLS) 中的RC4

三、KB3046480  2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows

四、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245使用，在操作系统级别启用TLS1.1+TLS1.2作为SChannel协议

KB3125574之后新增可选项 - 企业热修复汇总：
④KB2775511（2013年03月enterprise hotfix rollup，企业热修复汇总），仅非安全性热修复，主要针对网络性能优化修复，专为解决企业环境中遇到的特定问题（如 VPN 连接失败、域控服务器网络延迟等），不涉及任何安全漏洞修补。这个企业热修复汇总视情况添加。

统一补丁方案重大更新：
1、取消可选补丁KB0977206（2010年01月04日免除安装Windows Virtual PC和XP Mode的硬件需求），微软于2010年3月18日取消了Windows XP Mode对硬件虚拟化技术的强制要求，故此KB0977206已经失效，表现为安装以后为 “被取代” ；
2、新增必选补丁KB2581464（2011年07月16日USB2.0提速补丁）；

3、新增可选补丁KB2607047（2011年10月22日更新为DFS复制(DFSR)管理界面是可用）；

4、取消必选补丁KB2760730（2012年11月05日解决Win8或Server2012与Server 2008 SP2、Win7 SP1或Server 2008 R2 SP1之间互操作问题）；

5、取消必选补丁KB2809215（2013年02月15日PowerShell3.0 安装回滚 2.0 安装，仅 x64，原PowerShell5.1组件之一）

6、IE11方案新增可选补丁KB2882822（2013年08月29日添加ITraceRelogger接口支持）；
7、不再去掉KB3118401（2015年12月13日通用C运行库，修复KB2999226），虽然它被KB4534310官载取代，但是还是要打，不打WU还会继续推送；
8、调整顺序，在月度汇总之后添加两个更新汇总Update rollup+便利汇总+KB2775511：
①KB3179573（2016年08月16日更新汇总，仅包括质量改进，August 16, 2016 — KB3179573）
②KB3172605（2016年07月21日更新汇总，仅包括质量改进，更正：不新增任何遥测，July 21, 2016 — KB3172605）
③KB3125574-v4（2016年04月便利汇总），对系统进行非安全性遗漏修复，包括质量和功能改进；
④KB2775511（2013年03月enterprise hotfix rollup，企业热修复汇总），仅非安全性热修复，主要针对网络性能优化修复，专为解决企业环境中遇到的特定问题（如 VPN 连接失败、域控服务器网络延迟等），不涉及任何安全漏洞修补。这个企业热修复汇总视情况最后集成。

补丁方案最新修改，完善了相比ESU方案多出的补丁（17个），并标记

下载的系统链接在哪？

老旧电脑才会使用win7系统，值得推荐收藏！！