Win7 SP1 x64 非KB3125574集成补丁方案（IE8.0+IE11）by 2020.01.14 非ESU

梦里的青蛙

本人从国内各单位及公司的利益出发，制作了此Win7 SP1 x64 非ESU补丁方案（仅补丁方案，大家自己下载的补丁才是最放心的。

2020年1月14日月度汇总KB4534310官载取代了133个补丁，详情见如下链接中的Package Details列表：
https://www.catalog.update.micro ... d00e#PackageDetails

2020年1月14日月度汇总KB4534310对于IE11方案来说，推送取代了以下5+1个补丁（IE8.0方案不推送KB2888049）：
重要更新：
KB2532531   2011年04月29日蓝牙栈驱动长途代码实行漏洞
KB2984976   2014年08月30日受限管理的 RDP 8.0 更新
KB3092601   2015年10月14日特权提升漏洞
KB3101722   2015年10月13日特权提升漏洞
KB3150220   2016年04月22日Windows Media Center安全更新
可选更新：
KB2888049   2013年09月14日用于提高IE11在Windows中的网络性能

剔除：
1、KB2882822   2013年08月29日添加ITraceRelogger接口支持。
KB2882822中包含了许多过时的冗余，故不用安装KB2882822，直接用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴281楼所示初始增量即可。
2、KB2920188   2014年07月15日添加受信托的平台模块TPM2.0的支持。
KB3133977可作为替换KB2920188用。然后用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴277楼所示两个组件。
3、KB3046480   2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows
它被KB3071756无公告取代。验证见Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴265楼
4、KB2990184   2015年03月20日在Win7或 Server08 R2中，无法将符合FIPS标准的恢复密码生存到启用了BitLocker的Active Directory域服务(AD DS).
若采取KB2990184这个非安热修，则引入了许多冗余，故不用安装KB2990184，直接用KB3125574的增量替换Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴254楼所示初始增量即可。
5、KB3172605中包含了许多过时的冗余，这才是不选择KB3172605最主要的原因！！！原因见Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总一贴249、250楼。但KB3172605对KB3042058中的CipherSuiteOrder.adml、olepro32.dll进行了终极更新(23452版)，月度汇总未再更新
新增：
一、KB2631813   2011年11月03日长途漏洞。KB3125574对其中的mstvcapn.dll进行了终极更新（月度汇总未更新）

二、KB2716513   2012年06月01日IIS7.0的FTP服务7.0和7.5安全更新，官载取代了KB2489256

三、KB2647753   2012年09月13日修复 "图片管理器"、RDP、"日记记录" 和 "打印到网络打印机" 中的各种打印问题。未被KB4534310文件取代

四、收纳两个非安全性热修补丁KB2891144、KB2918833，其它的已验证被KB4534310文件取代或其它情况不必安装：
1、KB2891144   2013年09月19日通过 RD 会话运行应用程序时，应用程序无法正确绘制折线，内置RDP显卡驱动（rdpdd.dll）更新，KB3125574对rdpdd.dll进行了终极更新（月度汇总未更新），Win7和Server08 R2补丁可以共用
2、KB2918833   2014年02月06日第三方 IME 为用户提供不受掩护的系统访问权限，输入法管理器Imm32.dll更新，KB3125574对Imm32.dll进行了终极更新（月度汇总未更新）

五、.NET3.5.1安全更新
1、KB2868725   2013年09月26日Microsoft 安全公告用于禁用RC4的更新，是KB2898851的前置
2、KB2898851   2014年03月07日.NET3.5.1安全更新，它通过修改系统注册表来禁用传输层安全性 (TLS) 中的RC4
纠正：
一、必须先安装KB2868725，然后才气禁用RC4
系统自带的SCHANNEL（安全通道）组件在计划上并没有预留一个“开关”来关闭RC4算法，安装KB2868725以后提供了以下功能：
1.更新了SCHANNEL组件，重写了SCHANNEL的核心代码，让它能够读取和响应特定位置的注册表键值。
2.提供了编程接口允许开发者在编写应用程序时，通过API直接禁用RC4。

两个误区：
1. “组件被取代” 不意味 “功能被继承”
2. “文件版本更高” 不便是 “功能完全相同”
虽然后续月度汇总KB4534310、KB5073695更新了schannel.dll这个核心DLL文件，版本号比KB2868725的更高，然而KB2868725提供的能够通过注册表禁用RC4的开关，是其独有的。也即，后续月度汇总KB4534310、KB5073695并没有包含KB2868725的特定功能。

二、安装KB2868725以后，可以不安装KB2898851，直接修改注册表如下：
Windows Registry Editor Version 5.00

; 禁用 RC4 40/128 密码套件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

; 禁用 RC4 56/128 密码套件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

; 禁用 RC4 128/128 密码套件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

六、KB3019978  2015年01月01日TS WebProxy Windows 组件漏洞。与KB3020388不同，KB3019978更新的是6.1.7601版tswbprxy.exe，而KB3020388更新的是6.3.9600版tswbprxy.exe，更新的技术栈不同。

七、KB3138378   2016年03月11日Journal.dll二进制更新（包含了InkDiv.dll、InkEd.dll、InkObj.dll、journal.dll、rtscom.dll五个文件更新），非日记本更新，现实为Microsoft Tablet PC 组件更新，它移除冗余代码以提升稳固性（与日记本核心功能无关），再次感谢隔壁gwaijyut。实践证明，WPS Office365需要调用其中的InkObj.dll文件。

八、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245利用，在相关注册表子项下添加未存在的DefaultSecureProtocols、SecureProtocols键名和键值以及修改已存在的SecureProtocols的键值

九、KB4054998  2017年12月19日.net3.5.1补丁（分属于.NET汇总KB4055532_18.01），它终极推送取代了两个.net3.5.1补丁KB2973112 、KB3122648，后续.net3.5.1自此掉了链子（隔壁gwaijyut提供）

十、MDL论坛的George King提出（见下图）：
1、AD LDS - Active Directory 轻量级目录服务KB975541最初提供版本为 6.1.7600.16494。微软从未创建过更新的软件包，以是他创建了SP1版本6.1.7601.17514，包含所有相关的17514版语言包。
2、VPC - Windows Virtual PC 更新KB958559包含两个版本 6.1.7600.16393 和 6.1.7601.17514。利用原始包时，DISM会安装这两个和所有LP。不需要将旧版本放进镜像里，然后再加上他提供的17514版语言包。
3、下载链接：KB975541和KB958559单独17514版组件+17514版语言包下载

终极，收纳六个安全更新补丁KB2534111、KB2631813、KB2716513、KB2868725、KB2898851、KB3019978，四个非安全性补丁KB2607047、KB2619497、KB2760730、KB2905454，一个.net3.5.1补丁KB4054998，六个AD LDS补丁KB975541、KB2462137、KB2539513、KB2589154、KB2647644、KB3012660，两个非安全性热修KB2891144、KB2918833，一个跟HyperV有关的补丁KB4072650。

非KB3125574补丁方案：
非KB3125574+IE11补丁方案（2020.01.14 非ESU）        提取码：3S0B

非KB3125574+IE8补丁方案（2020.01.14 非ESU）      提取码：Uvrp


提取UpdatePack7R2-26.01.15根证书更新

其中，安装根证书更新.exe是基本要求，安装未受信托的发布者.exe则更加严格。

PS：证书文件提取自UpdatePack7R2-26.01.15，并用官方roots.sst进行了替换（UpdatePack7R2作者Simplix对roots.sst进行了精简），感谢隔壁论坛gwaijyut告知。获取官方根证书命令：
certutil.exe  -generateSSTFromWU  roots.sst

补丁下载        提取码：vifj

北京首负

感谢分享！

清晨无雨

谢谢楼主分享

小鹿巴啦啦啦

感谢分享

科学胜

谢谢楼主分享！！！

易赫斋风水社

驚為天人的神作，看了讓人熱血沸騰，感謝分享。

夏日清荷

谢谢分享。

好开森

多谢楼主分享

北京首负

感谢分享！

小贵州

XP都有人在用