本人从国内各单位及公司的利益出发,制作了此Win7 SP1 x64 非ESU补丁方案(仅补丁方案,大家自己下载的补丁才是最放心的。
2020年1月14日月度汇总KB4534310
官载取代了
133个补丁,详情见如下链接中的Package Details列表:
https://www.catalog.update.micro ... d00e#PackageDetails
2020年1月14日月度汇总KB4534310对于IE11方案来说,
推送取代了以下
5+1个补丁(IE8.0方案不推送KB2888049):
重要更新:
KB2532531 2011年04月29日蓝牙栈驱动长途代码实行漏洞
KB2984976 2014年08月30日受限管理的 RDP 8.0 更新
KB3092601 2015年10月14日特权提升漏洞
KB3101722 2015年10月13日特权提升漏洞
KB3150220 2016年04月22日Windows Media Center安全更新
可选更新:
KB2888049 2013年09月14日用于提高IE11在Windows中的网络性能
剔除:
1、KB2882822 2013年08月29日添加ITraceRelogger接口支持。
KB2882822中
包含了许多过时的冗余,故
不用安装KB2882822,直接用KB3125574的增量替换
Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴281楼所示初始增量即可。
2、KB2920188 2014年07月15日添加受信托的平台模块TPM2.0的支持。
KB3133977可作为替换KB2920188用。然后用KB3125574的增量替换
Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴277楼所示两个组件。
3、KB3046480 2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows
它被
KB3071756无公告取代。
验证见
Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴265楼
4、
KB2990184 2015年03月20日在Win7或 Server08 R2中,无法将符合FIPS标准的恢复密码生存到启用了BitLocker的Active Directory域服务(AD DS).
若采取KB2990184这个非安热修,则
引入了许多冗余,故
不用安装KB2990184,直接用KB3125574的增量替换
Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴254楼所示初始增量即可。
5、
KB3172605中包含了许多过时的冗余,这才是不选择KB3172605最主要的原因!!!原因见
Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴249、250楼。但KB3172605对KB3042058中的CipherSuiteOrder.adml、olepro32.dll进行了
终极更新(23452版),月度汇总未再更新
新增:
一、KB2631813 2011年11月03日长途漏洞。
KB3125574对其中的mstvcapn.dll进行了终极更新(月度汇总未更新)
二、KB2716513 2012年06月01日IIS7.0的FTP服务7.0和7.5安全更新,官载取代了KB2489256
三、KB2647753
2012年09月13日修复 "图片管理器"、RDP、"日记记录" 和 "打印到网络打印机" 中的各种打印问题。未
被KB4534310文件取代
四、收纳两个非安全性热修补丁
KB2891144、
KB2918833,
其它的已验证被KB4534310文件取代或其它情况不必安装:
1、
KB2891144 2013年09月19日通过 RD 会话运行应用程序时,应用程序无法正确绘制折线,
内置RDP显卡驱动(rdpdd.dll)更新,KB3125574对rdpdd.dll进行了终极更新(月度汇总未更新),Win7和Server08 R2补丁可以共用
2、
KB2918833 2014年02月06日第三方 IME 为用户提供不受掩护的系统访问权限,
输入法管理器Imm32.dll更新,KB3125574对Imm32.dll进行了终极更新(月度汇总未更新)
五、.NET3.5.1安全更新
1、KB2868725 2013年09月26日Microsoft 安全公告用于禁用RC4的更新,是KB2898851的前置
2、KB2898851 2014年03月07日.NET3.5.1安全更新,它通过
修改系统注册表来禁用传输层安全性 (TLS) 中的RC4
纠正:
一、
必须先安装KB2868725,然后才气禁用RC4
系统自带的SCHANNEL(安全通道)组件在计划上并没有预留一个“
开关”来关闭RC4算法,安装KB2868725以后提供了以下功能:
1.更新了SCHANNEL组件,重写了SCHANNEL的核心代码,让它能够读取和响应特定位置的注册表键值。
2.提供了编程接口允许开发者在编写应用程序时,通过API直接禁用RC4。
两个误区:
1. “组件被取代” 不意味 “功能被继承”
2. “文件版本更高” 不便是 “功能完全相同”
虽然后续月度汇总KB4534310、KB5073695更新了schannel.dll这个核心DLL文件,版本号比KB2868725的更高,然而KB2868725提供的能够通过注册表禁用RC4的开关,是其
独有的。也即,后续月度汇总KB4534310、KB5073695并没有包含KB2868725的特定功能。
二、
安装KB2868725以后,可以不安装KB2898851,直接修改注册表如下:
Windows Registry Editor Version 5.00
; 禁用 RC4 40/128 密码套件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
; 禁用 RC4 56/128 密码套件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
; 禁用 RC4 128/128 密码套件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
六、KB3019978 2015年01月01日TS WebProxy Windows 组件漏洞。与KB3020388不同,KB3019978更新的是
6.1.7601版tswbprxy.exe,而KB3020388更新的是
6.3.9600版tswbprxy.exe
,更新的技术栈不同。
七、KB3138378
2016年03月11日Journal.dll二进制更新(包含了InkDiv.dll、InkEd.dll、InkObj.dll、journal.dll、rtscom.dll五个文件更新),非日记本更新,现实为Microsoft Tablet PC 组件更新,它移除冗余代码以提升稳固性(与日记本核心功能无关),再次感谢隔壁gwaijyut。实践证明,WPS Office365需要调用其中的InkObj.dll文件。
八、MicrosoftEasyFix51044.msi 2016年06月27日配合KB3140245利用,在相关注册表子项下添加
未存在的
DefaultSecureProtocols、
SecureProtocols键名和键值以及修改
已存在的
SecureProtocols的键值
九、
KB4054998 2017年12月19日.net3.5.1补丁(分属于.NET汇总KB4055532_18.01),它终极推送取代了两个.net3.5.1补丁
KB2973112 、
KB3122648,后续.net3.5.1自此掉了链子(
隔壁gwaijyut提供)
十、MDL论坛的George King提出(
见下图):
1、AD LDS - Active Directory 轻量级目录服务KB975541最初提供版本为 6.1.7600.16494。微软从未创建过更新的软件包,以是他创建了SP1版本6.1.7601.17514,包含所有相关的17514版语言包。
2、VPC - Windows Virtual PC 更新KB958559包含两个版本 6.1.7600.16393 和 6.1.7601.17514。利用原始包时,DISM会安装这两个和所有LP。不需要将旧版本放进镜像里,然后再加上他提供的17514版语言包。
3、下载链接:
KB975541和KB958559单独17514版组件+17514版语言包下载
终极,收纳
六个安全更新补丁KB2534111、KB2631813、KB2716513、KB2868725、KB2898851、KB3019978,
四个非安全性补丁KB2607047、KB2619497、KB2760730、KB2905454,
一个.net3.5.1补丁KB4054998,
六个AD LDS补丁KB975541、KB2462137、KB2539513、KB2589154、KB2647644、KB3012660,
两个非安全性热修KB2891144、KB2918833,
一个跟HyperV有关的补丁KB4072650。
非KB3125574补丁方案:
非KB3125574+IE11补丁方案(2020.01.14 非ESU) 提取码:3S0B
非KB3125574+IE8补丁方案(2020.01.14 非ESU) 提取码:Uvrp
提取UpdatePack7R2-26.01.15根证书更新
其中,安装根证书更新.exe是基本要求,
安装未受信托的发布者.exe则更加严格。
PS:证书文件提取自UpdatePack7R2-26.01.15,并用官方roots.sst进行了替换(UpdatePack7R2作者Simplix对roots.sst进行了精简),感谢隔壁论坛gwaijyut告知。获取官方根证书命令:
certutil.exe -generateSSTFromWU roots.sst
补丁下载 提取码:vifj