天下文章是一家，你抄我来我抄他。只不过我抄是讲道德的，我抄了谁都写在这里，而且不是拿来主义，整理后再次无私共享；不像某些人，抄完就完全当成自己的东西拿去卖。

分享一段大概是发生于2019年的，我与某位同性异地好友的对话（大致内容）：

我：……Windows系统有很多安全漏洞，有些是需要条件触发的，比如打开一个特定种类的文件，或者与恶意网站进行一些特定的用户交互；有些是不需要的，只要系统联网就会触发漏洞。

友：那会有什么后果呢？

我：后果是多种多样的。比如有些是让攻击者可以像小偷一样，窃取靶机操作系统的隐私信息，如本地用户账户登录输入密码后所需校验的NTLM哈希值或同类作用的类似哈希值，用于攻击靶机本地用户账户的登录密码。有些是内存泄漏，即程序关闭后内存中的数据没有完全释放和抹除；就像你去超市买东西，人家找给你的钱你忘拿了，你忘拿的钱就是在内存中泄漏的数据，可以被攻击者窃取和利用。有些是远程代码执行，让攻击者可以像间谍一样，在靶机后台进行权限提升，完全控制靶机，在靶机上随意运行任何程序。

友：听上去很可怕……

我：是的，其中某些漏洞与大众的固有认知完全不同。比如一七年的想哭病毒，就是通过MS17-010高危漏洞进行感染。用户只要使用包含这个MS17-010漏洞的Windows系统对自己的设备进行联网，不需要进行其它任何操作，该病毒即可感染设备并对本地文件进行加密，进而勒索。这是一种完全被动的攻击……

友：……这么多漏洞，微软咋不修呢？

我：……微软发的安全更新都是修复这些安全漏洞的。

友：……

更新分为4套，其中仅后3套适用于使用已经集成Windows 7 Service Pack 1（下简称为“SP1”，本文中SP1均指正式版SP1）的官方Windows 7镜像（2011年5月12日发布的版本，下简称为“集成版镜像”）全新安装且未额外集成过更新的Windows 7，每套又细分为适用于32位和64位Windows架构的版本。（由于补丁总体积过大，需要的读者尽量自己下载。实在需要的请私我，我单独把合集发给你。本文只给出更新列表。）

文末提供了建议的更新安装顺序及分享的更新文件。在所有更新安装完成前，Windows 7存在许多已知的安全漏洞，其中的部分高危漏洞使得暴露在联网环境中的Windows 7即使不进行任何用户操作也无法避免遭受来自其它计算机的恶意程序的联网攻击的风险，如蠕虫漏洞MS17-010和CVE-2019-0708；在此期间请注意采取适当的措施进行漏洞防护，如避免进行互联网连接，或安装可靠的安全软件。

第1套（SP1及其必备更新）

包含SP1的独立安装程序及安装SP1需要的所有其它更新；均为免费更新。

更新列表：

KB976902

KB976932

KB2534111

KB976932即SP1，是之后大部分更新的先决条件。请从以下地址参阅官方说明文档：

https://www.microsoft.com/en-us/download/details.aspx?id=269。

服务堆栈更新可确保Windows拥有强大且可靠的服务堆栈，便于接收和安装其它更新；服务堆栈更新无需重新启动Windows即可完成安装，但不可卸载。KB976902、KB2533552、KB4490628均为服务堆栈更新，KB2533552替代KB976902，二者均无先决条件；KB4490628替代KB2533552，但KB4490628不替代KB976902；KB976902或KB2533552是SP1的先决条件，但SP1是KB4490628的先决条件；故为避免冗余，此处不收录KB2533552，仅收录KB976902和KB4490628，其中KB976902收录于本套更新中。

与所有可卸载的普通更新一样，使用SP1独立安装程序安装SP1的过程中，所有被SP1替换的系统文件均会集中转存，故使用SP1独立安装程序安装的SP1可卸载；与之不同，使用集成版镜像全新安装的Windows 7，虽同样集中转存了所有被SP1替换的系统文件，但其SP1不可卸载，因为其映像注册表中的KB976932安装信息被移除（即SP1已像服务堆栈更新一样，被Microsoft人为地“固化”）。尽管如此，因为SP1足够稳定，仅建议在如下两种情况下使用SP1独立安装程序安装SP1，以避免不必要的硬盘空间占用：

1.希望为已经安装完成且未更新SP1的Windows 7安装SP1，而又不希望重新安装Windows 7。（在此情况下，如果希望进一步人为固化SP1，则SP1安装完成后再次启动Windows 7，挂载集成版镜像并运行安装程序，在“安装类型”一步选择“升级”选项。）

2.出于测试的目的安装原版Windows 7 RTM，测试过程中需要安装及卸载SP1。

在其它情况下，建议直接使用集成版镜像全新安装Windows 7，以此方法来安装SP1。

使用独立安装程序进入SP1的安装后，在关闭或重新启动Windows前将保持“安装挂起”状态。

SP1是KB2534111的先决条件。KB2534111的作用如下：

Microsoft于2011年2月21日发布了最初版本的SP1集成版Windows 7镜像。发布后，Microsoft收到用户反馈称，该版本存在一个bug：在特殊条件下，使用该日发布的集成版镜像安装的Windows 7在首次进入OOBE向导时会对用户输入的计算机名称进行一些不合理的限制，并且该限制的执行逻辑与触发限制报错的实际文字描述不符。Microsoft后续发布了更新KB2534111，用于修复这一bug，并于2011年5月12日重新发布了一套集成版镜像，这套镜像在前版镜像的基础上仅新增集成了KB2534111。

故KB2534111只需要在这样一种情况下被安装：使用Microsoft于2011年2月21日发布的集成版镜像安装了Windows 7，并且在安装完成后此Windows 7尚未进入过OOBE；此时可用Dism等工具将KB2534111离线集成至Windows 7映像中。对于已经执行过OOBE向导的Windows 7而言，KB2534111无任何用处，可不另行安装。

第2套（适用于SP1集成版的服务堆栈更新合集）

包含正确安装第1套更新后，为保证之后的大部分更新正确安装，建议预先安装的所有服务堆栈更新；均为免费更新。必须先正确安装第1套更新，再安装本套更新。

更新列表：

KB4490628

KB5017397

KB4490628作为极其重要的服务堆栈更新，替代除KB976902外先前所有的服务堆栈更新，同时也是之后所有更新的先决条件（不被之后的任何服务堆栈更新取代）。

KB5017397是最新的服务堆栈更新，先决条件为KB4490628及KB4474419；它是安装最新的扩展安全更新的先决条件之一。无论是仅安装免费更新，还是安装免费更新的同时安装扩展安全更新，都建议在KB4490628及KB4474419安装完成后立即安装此更新。KB4490628之后的服务堆栈更新均存在新替旧的替代关系，且先决条件亦存在包含关系，故尽管KB4536952是Windows 7免费扩展支持终止（2020年1月15日）前最新的服务堆栈更新，此处仍不收录KB4536952。

第3套（适用于SP1集成版的累积更新合集）

包含用于改善Windows基础组件的功能性及安全性的所有更新。必须先正确安装第2套更新，再安装本套更新。

更新列表：

IE11 RTM

IE11 RTM简体中文语言包

KB917607

KB982018 v3

KB2479943

KB2491683

KB2506014

KB2506212

KB2506928 v2

KB2545698

KB2547666

KB2552343

KB2560656

KB2564958

KB2574819 v2

KB2579686

KB2592687

KB2603229

KB2620704

KB2621440

KB2631813

KB2640148 v2

KB2654428

KB2660075

KB2667402 v2

KB2670838

KB2685811

KB2685813

KB2690533

KB2698365

KB2705219 v2

KB2719857

KB2726535

KB2727528

KB2729094 v2

KB2732059 v5

KB2750841

KB2761217

KB2770660

KB2773072

KB2786081

KB2791765

KB2799926

KB2800095 v2

KB2807986

KB2808679

KB2813430

KB2830477

KB2834140 v2

KB2843630 v3

KB2847927

KB2852386

KB2853952

KB2857650

KB2862330 v2

KB2864202

KB2868038

KB2871997 v2

KB2884256

KB2891804

KB2893294

KB2893519

KB2900986

KB2908783

KB2912390

KB2918077

KB2919469

KB2923545

KB2970228

KB2973201

KB2977292

KB2978742

KB2984972

KB2985461

KB2991963

KB2992611

KB2999226

KB3004375 v3

KB3006121

KB3006137

KB3010788

KB3011780

KB3013531 v2

KB3020370

KB3020388

KB3021674

KB3030377

KB3035126

KB3045685

KB3046017

KB3046269

KB3054476

KB3059317

KB3060716

KB3067903

KB3071756

KB3075226

KB3078667

KB3086255

KB3093513

KB3102429 v2

KB3107998

KB3108371

KB3108664

KB3109103

KB3109560

KB3110329

KB3126587

KB3133977

KB3137061

KB3138378

KB3138612

KB3138910

KB3139398

KB3139914

KB3140245

KB3147071

KB3156016

KB3159398

KB3161102

KB3161949

KB3172605

KB3179573

KB4019990

KB4474419 v3

KB4538483

KB4539601

KB5022338

从本套更新开始，部分更新的作用受MUI多国语言包的影响——对于旗舰版及企业版，建议先安装好SP1和所有需要的MUI多国语言包，而后再进行后续的更新安装。

本套更新中不收录无用的更新KB971033（反软激活盗版）、KB3021917（系统诊断和遥测以升级到Windows 10）、KB3068708（更新以提高遥测质量和诊断）、KB3080149（CEIP和遥测诊断更新）、KB3150513（更新了兼容性诊断配置）、KB3184143（移除Get Windows 10应用）、KB4493132（Windows 7服务终止通知）等，以及与固态硬盘兼容性相关的更新KB2990941、KB3087873。不收录固态硬盘兼容性相关更新的原因在于，实践发现KB2990941仅包含较老型号的固态硬盘通用驱动，不能作为改善Windows 7固态硬盘兼容性（正确驱动固态硬盘、正确区分固态硬盘和机械硬盘、自动停用磁盘碎片整理程序的整理计划）的通用解决方案。实践中建议使用第三方工具在具体的场景下为Windows 7单独安装对应型号的固态硬盘的驱动程序，并且手动停用磁盘碎片整理程序对固态硬盘的整理计划。

KB917607不需要任何先决条件，也不包含在SP1中。

按官方说明文档，KB982018已包含在SP1中；但KB982018在SP1发布后又进行了修订，修订后的KB982018并不包含在SP1中。本套更新收录的是最终修订后的KB982018。

KB2506014、KB2603229无32位版本。

KB3161102删除“日记本”组件，因其文档存储格式被发现了太多漏洞。此删除不可逆。

本套更新已经包含除SP1外安装IE11的所有先决条件（或其替代更新）；月度安全质量汇总包含发布当月的IE11累积更新。严格按照文末建议的顺序安装更新，可保证IE11被成功安装，并且获得操作系统逻辑层面的许可范围内其最新的安全更新。配置好IE11后，会出现IE11的部分设置界面中中文文字非正常显示（变大、变粗、错位）的问题。此问题可通过安装“Microsoft YaHei UI常规”字体解决，该字体的3个文件位于原版任意版本Windows 10映像卷的系统字体文件夹中，文件名称分别为“msyh.ttc”、“msyhbd.ttc”、“msyhl.ttc”。注意，此字体不同于Windows 7自带的“微软雅黑”字体。

编号从KB917607到KB4474419的所有更新以及KB4539601均为免费更新。若要安装扩展安全更新，则其中部分更新可跳过，因为它们被扩展安全更新替代。已确认以下更新被最新的月度安全质量汇总替代：

KB2491683（从2020年9月月度安全质量汇总开始）

KB2506212（从2020年6月月度安全质量汇总开始）

KB2620704（从2020年7月月度安全质量汇总开始）

KB3021674（从2020年2月月度安全质量汇总开始）

KB4539601（从2020年2月月度安全质量汇总开始）

若不安装扩展安全更新，需要安装2020年1月月度安全质量汇总预览KB4539601。获得扩展安全更新的安装权限后，可跳过KB4539601，直接安装KB5022338，它是最新的月度安全质量汇总。最新的月度安全质量汇总及其所需的服务堆栈更新先决条件可查阅如下官方文档获知：

https://support.microsoft.com/en-us/topic/windows-7-sp1-and-windows-server-2008-r2-sp1-update-history-720c2590-fd58-26ba-16cc-6d8f3b547599

KB4539601存在一个隐蔽的限制功能——若Windows 7被安装在专为Windows 10而设计的电脑机型上，则安装此更新后安装更新的功能将不再可用；具体表现为，当尝试手动安装msu更新包或使用Windows Update检查更新时，显示错误代码0x80240037，强制终止操作。此限制在KB4539601被手动卸载后自动解除。因此在上述机型上，若要手动安装扩展安全更新，则禁止安装KB4539601。

第4套（适用于SP1集成版的.NET框架更新合集）

包含用于改善Microsoft .NET Framework（3.5.1及4.8版本）功能性及安全性的所有更新。必须先正确安装第2套更新，再安装本套更新。

更新列表：

KB2604115

KB2736422

KB2742599

KB2840631

KB2861698

KB2894844

KB2911501

KB2931356

KB2937610

KB2943357

KB2968294

KB2972100

KB2972211

KB2978120

KB3023215

KB3037574

KB3072305

KB3074543

KB3097989

KB3127220

KB4532945

KB4532941

KB5020861

KB5020879

编号从KB2604115到KB4532945的所有更新均为免费更新。若不安装扩展安全更新，需要安装2020年1月Microsoft .NET Framework安全和质量汇总KB4532945（3.5.1）及KB4532941（4.8）。获得扩展安全更新的安装权限后，可跳过KB4532945和KB4532941，直接安装KB5020861（3.5.1）及KB5020879（4.8），它们是最新的Microsoft .NET Framework安全和质量汇总。（安装KB4532941或KB5020879的前提是安装了Microsoft .NET Framework 4.8。）

最新的Microsoft .NET Framework安全和质量汇总可到Microsoft Update Catalog搜索查阅，其所需的服务堆栈更新先决条件可查阅对应的官方知识库文章获知。

关于扩展安全更新

扩展安全更新为Microsoft面向使用Windows 7的企业用户提供的截止至2023年1月10日的付费服务；该服务按官方说法仅支持Windows 7的专业版及企业版，但经网友实测，旗舰版也支持。所有Windows 7用户均可到Microsoft Update Catalog下载公开发布的扩展安全更新，但在不使用破解手段的前提下，扩展安全更新不允许用户使用第三方工具离线集成到映像卷中，也不允许没有安装权限的用户使用其执行热修复。企业用户配置安装权限的方法可参考如下官方文档：

https://support.microsoft.com/en-us/topic/procedure-to-continue-receiving-security-updates-after-extended-support-ends-on-january-14-2020-48c59204-fe67-3f42-84fc-c3c3145ff28e

若要安装扩展安全更新，需要先安装KB4538483或KB4575903（KB4538483收录于第3套更新中，KB4575903未收录），而后使用扩展安全更新MAK附加密钥进行权限激活或使用BypassESU屏蔽扩展安全更新安装权限的检测，以获得扩展安全更新的安装权限。本文不分享BypassESU的下载及使用方法。

以下为4套更新及MUI多国语言包总体的建议安装顺序。部分更新可以跳过，相关的具体情况前文已作说明。

第1套中的所有更新，具体顺序为KB976902→KB2534111→KB976932；

所有需要的MUI多国语言包；

第2套中的KB4490628；

第3套中的KB917607到KB4474419（按编号由小到大的顺序依次安装）；

第2套中的KB5017397；

第3套中的Internet Explorer 11 RTM、Internet Explorer 11 RTM简体中文语言包、KB4538483（按描述的先后顺序依次安装）；

第4套中的所有更新（按编号由小到大的顺序依次安装）；

第3套中的KB4539601、KB5022338（按前文的说明二选一安装）。

注意事项：

1.部分更新需要重新启动Windows才能完成安装，在关闭或重新启动Windows前Windows Update将保持记忆这些更新的“安装挂起”状态，占用内存，且可能影响第三方软件的安装及卸载。当准备集中安装的更新数量较多时，建议采用分批次安装，每批次在准备关闭或重新启动Windows时再集中进行安装，且安装的数量不要太多（参考数量为10个到20个），以免被安装挂起的更新占用太多资源，阻碍后面更新的安装。

2.以上每行列出的更新都建议在前一行列出的所有更新均彻底安装完成（解除安装挂起）后再执行安装。

3.部分更新可卸载且需要重新启动Windows才能完成卸载，在关闭或重新启动Windows前Windows Update将保持记忆这些更新的“卸载挂起”状态，占用内存，且可能影响第三方软件的安装及卸载。若要卸载更新，务必确认当前无更新处于安装挂起状态。若关闭或重新启动Windows之前同时存在被“安装挂起”及“卸载挂起”的更新，则当次关闭Windows的过程中Windows将假死，无法通过常规方法解除假死，并且解除假死后先前挂起的更新均操作失败，进度回滚；此后每再出现一次更新挂起操作，当次关闭Windows的过程中Windows还会出现同样不可挽救的假死症状，解除假死后先前被挂起的更新同样仍会全部操作失败，进度回滚（即需要重新启动Windows才能完成安装或卸载的更新将再也无法被正确地安装或卸载）。

4.若要使用BypassESU屏蔽扩展安全更新安装权限的检测，请确保该操作在安装扩展安全更新之前执行，并且运行脚本“LiveOS-Setup.cmd”之前无任何更新被挂起。

5.与KB4539601产生的现象类似，若Windows 7被安装在专为Windows 10而设计的电脑机型上，安装扩展安全更新中的月度安全质量汇总后，安装更新的功能同样将不再可用。为了避免在上述机型上造成该问题，扩展安全更新中的月度安全质量汇总应在最后安装；且若需要换装扩展安全更新中的月度安全质量汇总，必须先卸载先前安装的扩展安全更新中的月度安全质量汇总，再安装扩展安全更新中新的月度安全质量汇总；若需要换装扩展安全更新中的Microsoft .NET Framework 3.5.1安全和质量汇总，必须先卸载先前安装的扩展安全更新中的月度安全质量汇总，再安装扩展安全更新中新的Microsoft .NET Framework 3.5.1安全和质量汇总，最后重新安装扩展安全更新中的月度安全质量汇总。

最近一次（20230118）更新的扩展安全更新及其相关更新：

KB5022338，替代KB5021291

在所有机型上，均建议在安装新的扩展安全更新前彻底卸载被其替代的旧的扩展安全更新。记录此信息的目的是帮助依据此文档进行更新安装及定期换装更新的读者排除冗余，节约操作系统所在存储介质分区的存储空间资源。

文件分享：

第1套（除KB976932） & 第2套：

https://wwrh.lanzoul.com/iHSwR1g56suh

第1套（KB976932）：

https://pan.baidu.com/s/1FdcI9NaO5godmtio0e8yUA，分享密码5tvt

第3套 & 第4套：

https://pan.baidu.com/s/1HTj_3QkNpZfFo-YhrgSgSw，分享密码ps6u

（好了，你们只要看看文件大小，就知道我有多不想用百度网盘……）

第二个地址为分享合集，详见CV26802323。由于KB976932资源的特殊性，我将其单独分享，文件名为“Windows 7 SP1 多国语言 32位及64位.7z”；将其下载并解压缩后得到一个光盘映像文件，此映像为微软官方于2011年2月16日发布的KB976932安装光盘，其中还包括了Itanium 64位平台的兼容版本。

整理更新的过程中，以下网址包含的文本内容及附带的资源文件提供了重要参考：

https://www.chiphell.com/thread-2189099-1-1.html

http://www.smxdiy.com/thread-2429-1-1.html

http://www.smxdiy.com/thread-2969-1-1.html

关于为何不收录KB3125574，请参阅上述文章寻找答案。