Win7 SP1 x64集成补丁方案（IE8.0+IE11）by 2024.10.08 ESU

wu733

我喜闻乐见论坛目前出现的百花齐放、百家争鸣的繁荣景象，也感谢各位大佬前辈一直以来，不分昼夜地辛勤付出，为我及大家分享了各种软件精品、PE精品、技术创新及宝贵经验。我也不敢藏私，现将我精心准备的Win7 SP1集成补丁方案（IE8.0+IE11）by 2024.10.08永久分享给大家（仅补丁方案，大家自己下载的补丁才是最放心的），也请大家验证并提出宝贵意见。

2024年10月08日月度汇总KB5044356官载取代了43个补丁（相比KB4534310取代的133个反而变少了...），详情见如下链接中的Package Details列表：
https://www.catalog.update.micro ...74db#PackageDetails

2024年10月08日月度汇总KB5044356对于IE11方案来说，推送取代了以下20+5个补丁（IE8.0方案不推送KB2888049）：
重要更新：
KB2491683   2011年02月15日远程漏洞（原疑似少推送的补丁，被2021-01-12月度汇总KB4598279及以后的月度汇总取代）
KB2506212   2011年03月12日远程漏洞（原疑似少推送的补丁，被2021-01-12月度汇总KB4598279及以后的月度汇总取代）
KB2532531   2011年04月29日蓝牙栈驱动远程代码执行漏洞  KB4534310就已推送取代
KB2579686   2011年08月18日远程漏洞
KB2620704   2011年10月01日远程漏洞（原疑似少推送的补丁，被2021-01-12月度汇总KB4598279及以后的月度汇总取代）
KB2621440   2012年02月18日远程漏洞
KB2690533   2012年03月21日本地漏洞（被2024年04月09日月度汇总KB5036967及以后的月度汇总取代）
KB2705219   2012年09月12日更正Windows Print Spooler及Windows网络组件处理远程管理协议(RAP)响应方式
KB2893294   2013年10月21日远程漏洞  推送取代KB2653956
KB2984976   2014年08月30日受限管理的 RDP 8.0 更新 10  KB4534310就已推送取代
KB2977292   2014年09月04日支持使用TLS的Microsoft EAP更新（被2024年04月09日月度汇总KB5036967及以后的月度汇总取代）
KB3011780   2014年11月13日域特权提升漏洞（原疑似少推送的补丁，被2021-02-09月度汇总KB4601347及以后的月度汇总取代）▲
KB3021674   2014年12月20日Windows用户配置服务漏洞（原疑似少推送的补丁，被2021-01-12月度汇总KB4598279及以后的月度汇总取代）
KB3060716   2015年07月16日特权提升漏洞
KB3092601   2015年10月14日特权提升漏洞  KB4534310就已推送取代
KB3101722   2015年10月13日特权提升漏洞  KB4534310就已推送取代
KB3109103   2015年11月06日PGM特权提升漏洞（被2024年03月12日月度汇总KB5035888及以后的月度汇总取代）▲
KB3115858   2016年01月08日日记本安全更新
KB3139398   2016年02月05日USB大容量存储驱动特权提升漏洞
KB3150220   2016年04月22日Windows Media Center安全更新 20
可选更新：
KB2719857   2012年08月23日USB RNDIS设备连接更新（被2024年04月09日月度汇总KB5036967及以后的月度汇总取代）
KB2726535   2012年12月04日增加南苏丹国家/地区列表（被2024年07月09日月度汇总KB5040497及以后的月度汇总取代）▲
KB2853952   2013年08月07日虚拟硬盘不一致
KB2888049   2013年09月14日用于提高IE11在Windows中的网络性能  KB4534310就已推送取代
KB3138378   2016年03月11日Journal.dll二进制更新，日记本安全更新

新增：
一、收纳两个非安全性热修补丁KB2918833、KB2990184，其它的已验证被KB5044356文件取代：
1、KB2752259   2012年09月04日可提高 Printbrm.exe 命令行工具性能的更新
2、KB2695321   2012年09月17日IPsec 会话需要 5 到 6 分钟才能连接到存储控制器
3、KB2727994   2012年10月04日您无法在 WebDAV 文件服务器上打开或保存 Office 2010 文档，衍生了KB3124280（2016年1月8日WebDAV安全更新）
4、KB2728738   2013年07月13日在具有漫游配置文件的计算机上登录时间较长
5、KB2891144   2013年09月19日通过 RD 会话运行应用程序时，应用程序无法正确绘制折线
6、KB2907020   2013年12月27日在 Windows 待机或恢复后访问映射的网络驱动器时，出现位置不可用错误
7、KB2918833   2014年02月06日第三方 IME 为用户提供不受保护的系统访问权限
8、KB2925489   2014年02月10日您无法与某些第三方设备建立 IPsec 连接
9、KB2923766   2014年02月12日在计算机上插入显示器或打开笔记本电脑盖子时出现黑屏
0、KB2990184   2015年03月20日无法将符合 FIPS 标准的恢复密码保存到 BitLocker 的 AD DS.（此补丁必须至少放在KB3125574之前，放在KB3125574之后会推送重复补丁KB3042058）

二、.NET3.5.1更新
1、KB2868725   2013年09月26日Microsoft 安全公告用于禁用RC4的更新，是KB2898851的前置
2、KB2898851   2014年03月07日.NET3.5.1安全更新，它通过修改系统注册表来禁用传输层安全性 (TLS) 中的RC4：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001  ;强制使用强加密（禁用 RC4，隐含禁用弱加密）
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001  ;强制使用强加密（禁用 RC4，隐含禁用弱加密）
检查你的注册表，若无上述键名、键值，则说明你需要这个KB2898851，或者说KB2898851未被后续月度汇总取代。但是如果你是内网，需要用到弱加密，则不需要这个KB2898851。

三、KB3046480  2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows，已验证被KB5044356文件取代

四、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245使用，在相关注册表子项下添加未存在的DefaultSecureProtocols、SecureProtocols键名和键值以及修改已存在的SecureProtocols的键值；

非KB3125574+IE11补丁方案（2024.10.08 ESU）                提取码：cnRS

非KB3125574+IE8补丁方案（2024.10.08 ESU）              提取码：TNYX


提取UpdatePack7R2-25.04.10根证书更新        提取码：pw5P

其中，安装根证书更新.exe是基本要求，安装未受信任的发布者.exe则更加严格。

PS：证书文件提取自UpdatePack7R2-25.04.10，并用官方roots.sst进行了替换（UpdatePack7R2作者Simplix对roots.sst进行了精简），感谢隔壁论坛gwaijyut告知。获取官方根证书命令：
certutil.exe  -generateSSTFromWU  roots.sst

wu733

已验证KB2882822、KB3046480被KB5044356文件取代，补丁方案不再收纳

wu733

收纳两个非安全性热修补丁KB2918833、KB2990184，其它的已验证被KB5044356文件取代

wu733

恢复提供补丁方案

ryuu

分享页面不存在

wu733

声明：

由于BypassESU-vX采用的代理路线跟最新的ESU方案不一致，所以2023年1月10日以后，且Bypass后的WU的推送是假的，这时就不要开WU了，只能采用UpdatePack7R2去处理。也由于我未能及时发现其中的奥秘，导致了错误的推导，请大家原谅！！！补丁方案不再提供.......

半夏微凉

感谢分享。支持一下

ttff2005

楼主辛苦啦！！！！感谢大大的好作品！！！

蓦小尘

wu733 发表于 2025-2-12 13:04
我再对离线集成和非离线集成补充解释一下：
一、离线集成相比非离线集成（封装）要复杂的多，里面很多坑 ...

哦，明白了，怪不得用NTLite离线镜像，有些补丁打了还推，有些打了再看，没打上继续推。离线集成就只是让镜像把这些个补丁揣着，非离线才是让系统消化掉这些个补丁。
感谢解惑！୧꒰•̀ᴗ•́꒱୨

蓦小尘

lanrsgwaijyut 发表于 2025-2-12 00:11
哈哈，我来抢答，先给你的问题添加编号
"1、KB3125574方案和非KB3125574方案，前者简化补丁集成，后者灵 ...

感谢解惑！୧꒰•̀ᴗ•́꒱୨

wu733

蓦小尘 发表于 2025-2-11 22:46
感谢解惑，对于楼主提到的几个方案，可以这么理解他们的区别吗？
KB3125574方案和非KB3125574方案，前者简 ...

我再对离线集成和非离线集成补充解释一下：
一、离线集成相比非离线集成（封装）要复杂的多，里面很多坑，而且很多程序比如.NET4.8需要采用第三方工具来集成，所有补丁不能整体上按照时间戳顺序来集成。
二、离线集成的补丁是“安装挂起”状态，非离线集成（封装）的补丁则是“已安装”或“已固化”状态。

wu733

由于BypassESU-v12采用的代理路线跟ESU方案不一致，故WU推送的KB2631813、KB2676562、KB2813347、KB3123479、KB2973351、KB3003743、KB3011780、KB3060716、KB3080079九个补丁最好还是判断为冗余，补丁方案中不再收纳。

lanrsgwaijyut

蓦小尘 发表于 2025-2-11 22:46
感谢解惑，对于楼主提到的几个方案，可以这么理解他们的区别吗？
KB3125574方案和非KB3125574方案，前者简 ...

哈哈，我来抢答，先给你的问题添加编号
"1、KB3125574方案和非KB3125574方案，前者简化补丁集成，后者灵活却复杂。
2、ESU方案和非ESU方案，前者需要绕过付费，后者不需要。
3、离线集成和非离线集成，前者统一部署推送补丁，后者根据系统实际灵活推送补丁。"

1、是的；
2、换个角度理解，对于正版软件，前者需要二次付费，后者也需要；
3、推送是被动的，客户端发送更新请求，服务端根据请求报文应答，推送对应补丁；其次，集成（integrate）和封装（sysprep）不是一个概念。

蓦小尘

感谢解惑，对于楼主提到的几个方案，可以这么理解他们的区别吗？
KB3125574方案和非KB3125574方案，前者简化补丁集成，后者灵活却复杂。
ESU方案和非ESU方案，前者需要绕过付费，后者不需要。
离线集成和非离线集成，前者统一部署推送补丁，后者根据系统实际灵活推送补丁。

wu733

蓦小尘 发表于 2025-2-10 12:43
楼主，还有几个问题想请教一下：
1.带U和不带U版本的镜像，除了KB2534111补丁，就只有可以删除Microsoft-W ...

建议你参考Win7 SP1 x64集成补丁方案（IE8.0+IE11）by 2020.01.14一贴的图一和图二，你就会明白。

wu733

蓦小尘 发表于 2025-2-10 12:43
楼主，还有几个问题想请教一下：
1.带U和不带U版本的镜像，除了KB2534111补丁，就只有可以删除Microsoft-W ...

带U的镜像就比不带U的多了一个KB2534111，它们都有一个共同的组件Microsoft-Windows-LocalPack-CN-Package。而且KB2534111和Microsoft-Windows-LocalPack-CN-Package都是处于安装挂起状态。所以，使用不带U的镜像，可以只删除Microsoft-Windows-LocalPack-CN-Package，从而少删除一个KB2534111。

如果不删除Microsoft-Windows-LocalPack-CN-Package，对于非KB3125574方案带U和不带U都可以，也不过是一些人强迫症发作，硬是要用不带U的镜像才舒服。

蓦小尘

楼主，还有几个问题想请教一下：
1.带U和不带U版本的镜像，除了KB2534111补丁，就只有可以删除Microsoft-Windows-LocalPack-CN-Package这一个不同点了是吗？
2.Microsoft-Windows-LocalPack-CN-Package这个是占空间了还是有什么不好的地方？
3.如果不考虑删除Microsoft-Windows-LocalPack-CN-Package，对于非KB3125574方案来说，带U和不带U版本的镜像是否无区别？

2010laodu

感谢分享更新

wu733

蓦小尘 发表于 2025-2-9 16:12
楼主你好，自己在封装win7时，用的NTLite在镜像上更新补丁，这个和安装好系统用WU更新有什么区别吗？

我也是不是很了解，我从不用NTLite或Dism++更新补丁，好像它俩用的是数据库，至于跟WU有什么区别，就不懂了

蓦小尘

楼主你好，自己在封装win7时，用的NTLite在镜像上更新补丁，这个和安装好系统用WU更新有什么区别吗？

wu733

对补丁方案重新命名便于辨识，大家千万不要被绕晕啊，干脆普及一下吧，ESU方案也就是2024年10月08日这个节点。其实我自己也被搞晕了最后，大家各取所需，贪多嚼不烂的。

sleet

感谢分享

wu733

修改：

2、ESU方案（2024.10.08）中，KB2631813、KB2676562、KB2813347、KB3123479、KB2973351、KB3003743、KB3080079这七个补丁不是冗余，打完月度汇总以后WU仍然推送；
解释：由于非ESU方案的月度汇总时间早，其它要打的补丁比ESU的要多，而ESU的月度汇总时间晚，其它要打补的丁比非ESU的要少。故判断，ESU方案在取代旧补丁的过程似乎是掉了链子，那么这七个基础性补丁是用来弥补ESU方案的不足。
3、增加必选补丁KB2760730（2012年11月05日解决Win8或Server2012与Server 2008 SP2、Win7 SP1或Server 2008 R2 SP1之间互操作问题）及其衍生补丁KB2973351、KB3003743、KB3080079；

wu733

方案再次更新

wu733

PS：
1、由于huang111网盘服务器即将被迫关闭，已将以上链接重新转移至123云盘；
2、以Windows 7 SP1 2011-2-21镜像作为母盘，可选择删除Microsoft-Windows-LocalPack-CN-Package（中国地区的主题包），并清除相关垃圾文件及注册表信息，另外将KB2534111按照时间戳顺序纳入补丁方案；
3、可选组件增加微软的WebView2运行库；
4、补丁方案增加可选补丁KB2891638（2014年04月09日工作文件夹）及衍生补丁KB3081954（2015年09月05日确保用户从Win7升级到Win10后能继续使用工作文件夹）；
5、补丁方案增加可选补丁KB3020393（2014年12月06日Telnet服务中的漏洞可能导致远程执行代码），详情见补丁方案；
6、提取自UpdatePack7R2-24.12.12的根证书，并用官方roots.sst进行了替换（UpdatePack7R2作者Simplix对roots.sst进行了精简），感谢隔壁论坛gwaijyut告知。获取官方根证书命令：
certutil.exe  -generateSSTFromWU  roots.sst

新增及可选补丁KB2534111、KB2891638、KB3081954、KB3020393请自行下载

hiro2025

再次更新啊，我也及时吸收上我的离线集成方案

wu733

由于huang111网盘服务器即将被迫关闭，已将以上链接重新转移至123云盘

lanrsgwaijyut

2012yishuihana 发表于 2024-12-21 10:27
隔壁是哪里，可否发下链接

pcbeta

aek110809

下载地址

lanrsgwaijyut

huang1111网盘将于2025年1月1日停止服务，有需要的兄弟们尽快下载吧