Время на прочтение2 мин
Количество просмотров6.4K
9 августа 2022 года Microsoft выпустила патчи безопасности для Windows 7 и Windows Server 2008 R2 (KB5016679), а также Windows 8.1 (KB5016683) в рамках ежемесячного вторника патчей.
Обновления старых и неподдерживаемых ОС от Microsoft включают в себя заплатки для борьбы с утечкой токенов из подсистемы аутентификации LSASS. Также там исправлена проблема, из-за которой не запускалось средство устранения сетевых неполадок в ОС. Теперь корпоративные принтеры и сканеры, использующие смарт-карты для аутентификации, больше не пройдут проверку аутентификации в контроллере домена Active Directory без специального встроенного ПО. Ранее установленные в системах программные средства, позволяющие несовместимым устройствам проходить проверку подлинности, перестанут работать.
Согласно измерениям StatCounter, 11,99% пользователей настольных ПК все ещё работают в Windows 7, а их доля продолжает снижаться не так быстро после выхода Windows 10 и Windows 11. Причём доля Windows 11 пока составляет 11,73%.
Патчи безопасности для Windows 7, Windows Server 2008 R2 и Windows 8.1 доступны только корпоративным пользователям-участникам программы расширенных обновлений безопасности ESU (Extended Security Updates program). Это предприятия малого и среднего бизнеса и компании, которые дополнительно приобрели расширенные обновления безопасности и дополнительную техническую поддержку в Microsoft в рамках программ корпоративного лицензирования. Стоимость такой поддержки от $25 до $200 за одну рабочую станцию в год в зависимости от версии ОС (Enterprise или Pro).
В июле эксперты обнаружили, что Microsoft собирается продлить срок платной поддержки ОС Windows 7 ещё на три года. Они нашли в июльских обновлениях безопасности KB5015861 и KB5015862 для Windows 7 и Windows Server 2008 R2 необходимые лицензии и ключи ESU для получения выпусков обновлений безопасности на дополнительные годы (4, 5 и 6) до января 2026 года после завершения текущего трёхлетнего цикла поддержки. Эта опция, вероятно, будет доступна всем корпоративным клиентам с лицензиями ESU, использующие Windows 7 SP1 Enterprise/Pro, Windows Server 2008 R2, Windows Embedded Standard 7 и Windows Embedded POS Ready 7. По увеличению стоимости поддержки, если она вообще будет, для дополнительных лет пока данных нет. Microsoft официально не заявляла о продлении платной поддержки Windows 7 и Windows Server 2008 R2 на дополнительный срок.
14 января 2020 года закончился период расширенной поддержки операционной системы Windows 7 и Windows Server 2008 R2. Компьютеры под управлением этих ОС продолжают работать, но производитель операционной системы не гарантирует их безопасность. Обычным пользователям Microsoft советует купить новый компьютер или ноутбук с новой версией Windows (10 или 11) вместо своего устаревшего устройства с Windows 7. Пользователям лицензионной Windows Server 2008 Microsoft в качестве альтернативы предлагает мигрировать в облако Azure, в этом случае программа расширенных обновлений будет предоставляться бесплатно.
Last updated on: April 17th, 2025
With the May 2020 Windows 7 updates, I went on a mission to determine the minimum set of updates needed to enable all features within Windows 7, including optional hotfixes, and to have the most up-to-date installation possible. After extensive testing, I concluded that 42 updates not offered through Windows Update would need to be installed to reach this objective. The following sections describe the updates required and provide links to each.
The base test image used for this research was 64-Bit Windows 7 Ultimate SP1. Microsoft Update was enabled, and all updates offered through Windows Update were installed prior to starting this investigation.
I highly recommend both the KUC Update Checker and WSUS Offline Update utilities. I used both during this investigation in order to get to this minimum required set.
Note: October 2024 was the last month Microsoft released patches for x86 versions of Windows 7. Starting November 2024, only x64 versions of the patches will be updated in this post.
Prerequisite Updates For A Clean Install
If attempting to apply ESU patches to a clean install without fully updating through Windows Update first, then these updates need to be installed and the system rebooted prior to applying any additional updates.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB4474419 | SHA-2 Code Signing Support | To help protect the security of the Windows operating system, updates were previously signed (using both the SHA-1 and SHA-2 hash algorithms). Because of weaknesses in the SHA-1 algorithm and to align to industry standards, this update changes the signing verification of Windows updates to use the more secure SHA-2 algorithm exclusively. | Windows6.1-KB4474419-v3-x64.msu Windows6.1-KB4474419-v3-x86.msu |
| KB4490628 | March 2019 Servicing Stack Update | This update makes quality improvements to the servicing stack, which is the component that installs Windows updates. Servicing stack updates (SSU) makes sure that you have a robust and reliable servicing stack so that your devices can receive and install Microsoft updates. | Windows6.1-KB4490628-x64.msu Windows6.1-KB4490628-x86.msu |
Enabling ESU Updates
This next section holds a single update required for ESU updates further down the list. A detailed analysis on this update can be found on my Windows 7 ESU Analysis post.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB4528069 | Windows 7 SP1 ESU Verification | This optional update will help verify that eligible Windows 7 SP1 devices can continue to get Extended Security Updates (ESUs) after the end of support date of January 14, 2020. | Windows6.1-KB4528069-x64.msu Windows6.1-KB4528069-x86.msu |
Installing Optional Features
The next section of updates enables all optional features not available through Windows Update. The notable exception from this list is the AD LDS feature, which is discussed in more detail in the next section.
After installing the Work Folders for Windows feature (KB2891638), an update may appear as available in Windows Update (KB3081954). However, this update is not required and is replaced with Service Pack 2 (KB3125574). Once KB3125574 is installed, KB3081954 will no longer appear in Windows Update.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB917607 | Windows Help 32-bit Compatibility Update | WinHlp32.exe is required to display 32-bit Help files that have the «.hlp» file name extension. To view .hlp files on Windows 7, you need to install this application. | Windows6.1-KB917607-x64.msu Windows6.1-KB917607-x86.msu |
| KB943790 | File Management API Extensions For BitLocker | Install this update to extend the File Management APIs to not only enable the discovery and restoration of deleted files from volumes that are not encrypted but also enable the recovery of files from BitLocker encrypted volumes. | Windows6.1-KB943790-x64.msu Windows6.1-KB943790-x86.msu |
| KB958559 | Windows Virtual PC | Windows Virtual PC can be used to run more than one operating system at the same time on one computer, and to run many productivity applications on a virtual Windows environment, with a single click, directly from a computer running Windows 7. | Windows6.1-KB958559-x64.msu Windows6.1-KB958559-x86.msu |
| 1.3.7600.16423 | Windows XP Mode | Windows XP Mode provides a 32-bit virtual Windows XP Professional Service Pack 3 (SP3) environment, which makes it easy to run many of your productivity programs that run on Windows XP on Windows 7. | Windows-XP-Mode-en-us.exe Part 1 Part 2 Part 3 Part 4 Part 5 |
| KB958830 | Remote Server Administration Tools | Remote Server Administration Tools for Windows 7 SP1 enables IT administrators to manage roles and features that are installed on computers that are running Windows Server 2008 R2, Windows Server 2008, or Windows Server 2003, from a remote computer that is running Windows 7 SP1. | Windows6.1-KB958830-x64.msu Part 1 Part 2 Part 3 Windows6.1-KB958830-x86.msu |
| KB969168 | Microsoft Agent | Microsoft Agent is a set of software services that supports interactive characters within the Microsoft Windows display. Examples of the Microsoft Agent characters are the Office Assistants. | Windows6.1-KB969168-x64.msu Windows6.1-KB969168-x86.msu |
| KB970985 | Remote Administration Tools For Windows Media Services | The Remote Administration Tools for Windows Media Services update for Windows 7 SP1 enables the Windows Media Services snap-in for the Microsoft Management Console. | Windows6.1-KB970985-x64.msu Windows6.1-KB970985-x86.msu |
| KB974150 | Windows NTBackup Utility | NTBackup is the legacy Windows backup application included in previous versions of Windows. Files can be backed up to tape, ZIP drives, floppy disks, and hard drives using a proprietary backup format (BKF). It also features integration with Task Scheduler and has several command line switches for scheduled automated backups. | Windows6.1-KB974150-x64.msu Windows6.1-KB974150-x86.msu |
| KB974405 | Windows Identity Foundation | The Windows Identity Foundation helps simplify user access for developers by externalizing user access from applications via claims and reducing development effort with pre-built security logic and integrated .NET tools. | Windows6.1-KB974405-x64.msu Windows6.1-KB974405-x86.msu |
| KB974674 | Windows NTBackup Restore Utility | The Windows NTBackup Restore Utility for Windows 7 SP1 restores backups that are made on Windows XP and on Windows Server 2003 to computers that are running Windows 7 and Windows Server 2008 R2. | Windows6.1-KB974674-x64.msu Windows6.1-KB974674-x86.msu |
| KB981390 | Windows Server Update Services Best Practices Analyzer | You can use the Windows Server Update Services (WSUS) update for Best Practices Analyzer to scan a server that is running WSUS. A BPA scan of WSUS can help you determine whether WSUS was properly installed and configured on your server. Scan results are displayed as a list of issues that you can sort by severity, and results include recommendations for fixing issues and links to instructions. No configuration changes are made by running the scan. | Windows6.1-KB981390-x64.msu |
| KB981392 | Application Server Best Practices Analyzer | You can use the Application Server update for Best Practices Analyzer to scan a server that is running the Application Server role. BPA can help you determine whether Application Server was installed correctly on a server. Scan results are displayed as a list of issues that you can sort by severity, and results include recommendations for fixing issues and links to instructions. No configuration changes are made by running the scan. | Windows6.1-KB981392-x64.msu |
| KB2386667 | Application Server Best Practices Analyzer Rules Revision | Install this update to revise the rules of the Best Practice Analyzer (BPA) for the Application Server role. | Windows6.1-KB2386667-x64.msu |
| KB2666914 | DirectAccess Connectivity Assistant 2.0 | The Microsoft DirectAccess Connectivity Assistant (DCA) version 2.0 is used by DirectAccess client computers running Windows 7, to connect to Windows Server 2012 servers running DirectAccess. | Windows6.1-KB2666914-x64.msu Windows6.1-KB2666914-x86.msu |
| KB2790621 | Windows Server Essentials Connector | Windows Server Essentials Connector is software that helps you connect your PC or Mac client to Windows Server 2012 R2 with the Windows Server Essentials Experience server role enabled. It also enables and manages key client-side functionality of Windows Server Essentials Experience. | Windows6.1-KB2790621-x64.msu Windows6.1-KB2790621-x86.msu |
| KB2891638 | Work Folders For Windows | Work Folders is a place to store your work files so that you can open them from all computers and devices, even when you are offline. | Windows6.1-KB2891638-x64.msu Windows6.1-KB2891638-x86.msu |
| KB2959936 | Embedded Lockdown Manager Feature Set Update | Embedded Lockdown Manager uses Windows Management Instrumentation (WMI) providers to detect and change configuration settings and can export the settings to PowerShell scripts. | Windows6.1-KB2959936-x64.msu Windows6.1-KB2959936-x86.msu |
| KB2990999 | Internet Explorer 11 Web Driver Tool | The IE WebDriver Tool enables developers to create automated tests that simulate users interacting with webpages and report back results in Internet Explorer 11. It can also manage testing across multiple windows, tabs, and webpages in a single session. | Windows6.1-KB2990999-x64.msu Windows6.1-KB2990999-x86.msu |
| KB3191566 | Windows Management Framework 5.1 | Windows Management Framework 5.1 includes updates to Windows PowerShell, Windows PowerShell Desired State Configuration (DSC), Windows Remote Management (WinRM), and Windows Management Instrumentation (WMI). | Windows6.1-KB3191566-x64.msu Windows6.1-KB3191566-x86.msu |
The next table describes the updates required to enable and patch AD LDS.
There is an issue if the AD LDS feature is installed after Windows 7 SP1. If this situation occurs, updates included within the Convenience Rollup (SP2) do not apply correctly. Therefore, these updates need to be installed manually to fully update the feature. More details can be found here.
There are a dozen different updates related to AD LDS on Windows 7 SP1. However, after careful analysis, only half of them have components not replaced by other updates. These unnecessary updates related to AD LDS are: KB2898997, KB2922852, KB3042816, KB3160352 , KB3184471, and KB3198591. The required updates are listed in the table below.
After installing the first AD LDS Update (KB975541), an update may appear as available in Windows Update (KB2853587). However, this update is not required and is replaced with KB3012660. Once KB3012660 is installed, KB2853587 will no longer appear in Windows Update.
After installing the first AD LDS Update (KB975541), another update may appear as available in Windows Update (KB3184471). However, this update is not required and is replaced with the latest ESU Windows 7 Cumulative Update. Once that is installed, KB3184471 will no longer appear in Windows Update.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB975541 | AD LDS Feature | Active Directory Lightweight Directory Services (AD LDS) provides directory services for directory-enabled applications. | Windows6.1-KB975541-x64.msu Windows6.1-KB975541-x86.msu |
| KB2462137 | AD MMC & ADAC Country Update | The Active Directory Users and Computers MMC snap-in and Active Directory Administrative Center display Serbia and Montenegro as one country instead of as two countries in Windows 7 SP1. | Windows6.1-KB2462137-v2-x64.msu Windows6.1-KB2462137-v2-x86.msu |
| KB2539513 | Repadmin Indefinate Query | The repadmin command keeps running when you try to look up the users who have their passwords stored on the RODC. | Windows6.1-KB2539513-x64.msu Windows6.1-KB2539513-x86.msu |
| KB2589154 | AD MMC RODC Update | Active Directory Users and Computers MMC snap-in crashes when you try to remove an RODC in Windows 7 SP1. | Windows6.1-KB2589154-x64.msu Windows6.1-KB2589154-x86.msu |
| KB2647644 | AD Certificate Use Issuer Update | You cannot clear the «Use Issuer for alternate security identity» check box in Windows 7 SP1. | Windows6.1-KB2647644-v2-x64.msu Windows6.1-KB2647644-v2-x86.msu |
| KB2790338 | AD FS Update Rollup 3 | Update Rollup 3 for Active Directory Federation Services (AD FS) 2.0. | Windows6.1-KB2790338-v2-x64.msu |
| KB3012660 | Unable to install Security Update KB2853587 | «The update is not applicable to your computer» error when you install update 2853587 in Windows 7 SP1 with AD LDS. | Windows6.1-KB3012660-x64.msu Windows6.1-KB3012660-x86.msu |
Installing the Convenience Rollup (SP2) and running the System Update Readiness Tool
There are two large updates that can be applied next. The first is the Windows 7 Convenience Rollup, which is also considered SP2 for Windows 7 and includes a collection of hotfixes and updates. The second update is the System Update Readiness Tool. This update will not show as installed, so this is included to be executed once (verifying SP2 installation integrity).
After installing Service Pack 2 (KB3125574), an update may appear as available in Windows Update (KB4539601). However, this update is not required and is replaced with the latest ESU Windows 7 Cumulative Update. Once that is installed, KB4539601 will no longer appear in Windows Update.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB3125574 | Service Pack 2 | This rollup package includes most updates that were released after the release of SP1 for Windows 7, through April 2016, intended to make it easy to integrate these fixes. | Windows6.1-KB3125574-v4-x64.msu Part 1 Part 2 Part 3 Part 4 Part 5 Windows6.1-KB3125574-v4-x86.msu |
| KB947821 | System Update Readiness Tool | This tool fixes inconsistencies found in the Windows servicing store which may prevent the successful installation of future updates, service packs, and software. | Windows6.1-KB947821-v34-x64.msu Part 1 Part 2 Part 3 Part 4 Part 5 Part 6 Windows6.1-KB947821-v34-x86.msu |
Optional Software Updates
There are seven Windows 7 optional software updates that do not require an ESU license to install.
| Version | Name | Description | Download |
|---|---|---|---|
| 5.3.0.0 | Attack Surface Analyzer | Attack Surface Analyzer takes a snapshot of your system state before and after the installation of product(s) and displays the changes to a number of key elements of the Windows attack surface. | Attack-Surface-Analyzer-x64.msi Attack-Surface-Analyzer-x86.msi |
| 5.52 | Enhanced Mitigation Experience Toolkit | The Enhanced Mitigation Experience Toolkit (EMET) helps raise the bar against attackers gaining access to computer systems. EMET anticipates the most common actions and techniques adversaries might use in compromising a computer, and helps protect by diverting, terminating, blocking, and invalidating those actions and techniques. EMET helps protect your computer systems even before new and undiscovered threats are formally addressed by security updates and antimalware software. EMET benefits enterprises and all computer users by helping to protect against security threats and breaches that can disrupt businesses and daily lives. | EMET-Setup.msi |
| 12.0.0.0 | Enterprise Mode Internet Explorer Site List Manager | This tool lets IT Professionals create and update the Enterprise Mode Site List in the version 2.0 (v.2) XML schema. The Enterprise Mode schema has been updated to v.2 to be easier to read and to provide a better foundation for future capabilities. | EM-IE-Site-List-Manager.msi |
| 10.0.237.0 | Windows Journal | Windows Journal has been removed from certain versions of the Windows Operating System. This update allows users to install Windows Journal on versions of Windows where it has been removed. | Journal-en-us-x64.msi Journal-en-us-x86.msi |
| 2.3.2208 | Microsoft Baseline Security Analyzer | The Microsoft Baseline Security Analyzer provides a streamlined method to identify missing security updates and common security misconfigurations. | MBSA-Setup-x64-EN.msi MBSA-Setup-x86-EN.msi |
| 6.3.9723.0 | Microsoft Camera Codec Pack | The Microsoft Camera Codec Pack enables the viewing of a variety of device-specific file formats in Windows Live Photo Gallery as well as other software that is based in Windows Imaging Codecs (WIC). Installing this package will allow supported RAW camera files to be viewable in Windows Explorer. | Microsoft-Camera-Codec-Pack-x64.msi Microsoft-Camera-Codec-Pack-x86.msi |
| 10.0.7063.0 | Utilities and SDK for Subsystem for UNIX-based Applications | Utilities and SDK for Subsystem for UNIX-based Applications (SUA) includes the following base utilities, software development kits (SDKs), and shells for use with Subsystem for UNIX-based Applications: Base subsystem commands and utilities, SVR-5 commands and utilities, Base subsystem SDK, GNU SDK, GNU commands and utilities, SCO commands and utilities, UNIX-based Perl, Microsoft Visual Studio® Debugger Extension for debugging POSIX applications, Korn and C shells, and Subsystem for UNIX-based Applications HTML Help files (\*.chm). This release allows you to develop x64-based applications by using SUA, and develop and port custom UNIX-based applications to Windows by using the Windows OCI (Oracle Call Interface) and Windows ODBC libraries. | Utilities-and-SDK-for-Subsystem-for-UNIX-based-Applications-AMD64.exe Part 1 Part 2 Part 3 Utilities-and-SDK-for-Subsystem-for-UNIX-based-Applications-X86.exe |
Non-ESU SP2 Hotfixes
There are six hotfixes available to update components after Service Pack 2 has been installed. These do not require an ESU license to install.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB2818604 | AMD Microcode Update | A microcode update is available for Windows 7-based computers that use AMD processors. | Windows6.1-KB2818604-x64.msu Windows6.1-KB2818604-x86.msu |
| KB3046480 | .NET Framework 1.1 Migration Check | This update enables the system to determine whether to migrate the Microsoft .NET Framework 1.1 to a later version of Windows when you upgrade from Windows 7 to a later version of Windows. This determination is based on the usage of the .NET Framework 1.1. | Windows6.1-KB3046480-x64.msu Windows6.1-KB3046480-x86.msu |
| KB3064209 | Intel Microcode Update | June 2015 Intel CPU microcode update for Windows. | Windows6.1-KB3064209-x64.msu Windows6.1-KB3064209-x86.msu |
| KB4072650 | Hyper-V Integration Components Update | This update installs the latest integrated components for Windows 7 Guest Virtual Machines (VMs) that are running on a Windows 10-based or Windows Server 2016-based host, or a Windows Server 2012 R2-based host. | Windows6.1-KB4072650-x64.cab Windows6.1-KB4072650-x86.cab |
| KB4524752 | Windows 7 SP1 Support Notification | After 10 years of servicing, January 14, 2020 is the last day Microsoft will offer security updates for computers that run Windows 7 Service Pack 1 (SP1). This update enables reminders about Windows 7 end of support. | Windows6.1-KB4524752-x64.msu Windows6.1-KB4524752-x86.msu |
| KB4578847 | Update for Application and Device Compatibility | Adds functionality for evaluating the compatibility status of the Windows ecosystem to help ensure application and device compatibility for all updates to Windows. | Windows6.1-KB4578847-x64.msu Windows6.1-KB4578847-x86.msu |
ESU Updates
This section describes the latest ESU updates available for Windows 7. All of these updates are cumulative containing fixes from all previous versions of the updates. An ESU license is required to install these updates, and only the latest one needs to be installed.
| KB Number | Name | Description | Download |
|---|---|---|---|
| KB5056456
KB5039339 |
April 2025 Servicing Stack Update x64 |
This update makes quality improvements to the servicing stack, which is the component that installs Windows updates. Servicing stack updates (SSU) makes sure that you have a robust and reliable servicing stack so that your devices can receive and install Microsoft updates. | Windows6.1-KB5056456-x64.msu |
| June 2024 Servicing Stack Update (Final x86 Patch) |
This update makes quality improvements to the servicing stack, which is the component that installs Windows updates. Servicing stack updates (SSU) makes sure that you have a robust and reliable servicing stack so that your devices can receive and install Microsoft updates. | Windows6.1-KB5039339-x86.msu | |
| KB5055561*
KB5044356* |
April 2025 Windows 7 Cumulative Update x64 |
Security and Quality Rollup for Windows 7 SP1. | Windows6.1-KB5055561-x64.msu Part 1 Part 2 Part 3 Part 4 Part 5 |
| October 2024 Windows 7 Cumulative Update (Final x86 Patch) |
Security and Quality Rollup for Windows 7 SP1. | Windows6.1-KB5044356-x86.msu Part 1 Part 2 Part 3 |
|
| KB5044011 | October 2024 .NET Framework 3.5.1 Update |
Security and Quality Rollup for .NET Framework 3.5.1 for Windows 7 SP1. | Windows6.1-KB5044011-x64.msu Windows6.1-KB5044011-x86.msu |
| KB5055171**
KB5044027** |
April 2025 .NET Framework 4.8 Update x64 |
Security and Quality Rollup for .NET Framework 4.8 for Windows 7 SP1. | ndp48-KB5055171-x64.exe |
| October 2024 .NET Framework 4.8 Update (Final x86 Patch) |
Security and Quality Rollup for .NET Framework 4.8 for Windows 7 SP1. | ndp48-KB5044027-x86.exe |
* Note: a new ESU package has been integrated into this update. For details please see this post: Windows 7 ESU Analysis Updates.
** Note: The .NET Framework 4.8 Update will not install on Windows 7 without a proper ESU license. However, I am including it on this page so that it is known what is required to be fully updated.
Root Certificate Updates
Finally, the latest Microsoft Root Certificates need to be installed into the Local Computer Trusted Root Authority Certificate Store. A batch file to automatically install all certificates and revocation lists can be found here: Import.cmd
| Date | Type | Download |
|---|---|---|
| 2018-08-02 | Certificate | MicRooCerAut2011_2011_03_22.crt |
| 2018-08-02 | Certificate | Microsoft ECC Product Root Certificate Authority 2018.crt |
| 2018-08-02 | Certificate | Microsoft ECC TS Root Certificate Authority 2018.crt |
| 2018-08-02 | Certificate | Microsoft Time Stamp Root Certificate Authority 2014.crt |
| 2020-01-22 | Certificate | Microsoft ECC Root Certificate Authority 2017.crt |
| 2020-01-22 | Certificate | Microsoft EV ECC Root Certificate Authority 2017.crt |
| 2020-01-22 | Certificate | Microsoft RSA Root Certificate Authority 2017.crt |
| 2020-01-22 | Certificate | Microsoft EV RSA Root Certificate Authority 2017.crt |
| 2025-02-17 | Revocation List | Microsoft Time Stamp Root Certificate Authority 2014.crl |
| 2025-03-16 | Revocation List | Microsoft ECC Root Certificate Authority 2017.crl |
| 2025-03-16 | Revocation List | Microsoft RSA Root Certificate Authority 2017.crl |
| 2025-03-19 | Revocation List | MicRooCerAut_2010-06-23.crl |
| 2025-03-27 | Revocation List | Microsoft ECC TS Root Certificate Authority 2018.crl |
| 2025-03-27 | Revocation List | Microsoft ECC Product Root Certificate Authority 2018.crl |
| 2025-04-06 | Revocation List | Microsoft EV RSA Root Certificate Authority 2017.crl |
| 2025-04-06 | Revocation List | Microsoft EV ECC Root Certificate Authority 2017.crl |
Conclusion
Once these updates are installed on top of an up-to-date Windows 7 SP1 installation, the OS has been completely updated with hotfixes and optional features. All of these updates can be found on this GitHub repository: Windows 7 Patching.
The goal is to keep this list updated as changes are introduced. Please reach out to me via X or GitHub if there is an update that is missing, if there is an update in this list that you feel may not be needed, or if there are any other questions or feedback.
Update 2025-04-17
- Replaced January 2025 Servicing Stack Update (KB5050681) with April 2025 Servicing Stack Update (KB5056456) (x64 only).
- Replaced March 2025 Monthly Update (KB5053620) with April 2025 Monthly Update (KB5055561) (x64 only).
- Replaced January 2025 .NET Framework 4.8 Update (KB5049619) with April 2025 .NET Framework 4.8 Update (KB5055171) (x64 only).
- Updated Microsoft EV ECC Root Certificate Authority 2017.crl.
- Updated Microsoft EV RSA Root Certificate Authority 2017.crl.
- Updated Microsoft ECC Product Root Certificate Authority 2018.crl.
- Updated Microsoft ECC TS Root Certificate Authority 2018.crl.
For previous updates to this post, see Windows 7 ESU Patching Changelog.
Ограничения платного сервиса Windows 7 ESU легко обходятся
Компания Microsoft не планирует больше обновлять операционную систему Windows 7 для обычных пользователей, однако энтузиасты обнаружили способ продолжать получать апдейты бесплатно.
14 января компания прекратила официальную поддержку Windows 7 и настойчиво предупреждает пользователей о недостатках и опасностях такого статуса.
Тем не менее, корпоративные пользователи могут продлить поддержку Windows 7 до января 2023 года за дополнительную плату и продолжать получать обновления безопасности в рамках программы Windows 7 ESU (Extended Security Updates, расширенные обновления безопасности). Стоит это удовольствие немало — 25 долларов за каждый компьютер в первый год, с последующим повышением цены до 50 и даже 100 долларов.
Как оказалось, ограничения Windows 7 ESU можно легко обойти. Решение, опубликованное в сети, позволяет любому пользователю Windows 7 продолжать получать обновления безопасности, выпускаемые Microsoft в рамках Windows 7 ESU.
Для этого предлагается вручную установить специальный патч BypassESU и тестовое ESU обновление KB4528069, которое и отвечает за проверку того, имеет ли пользователь право получать апдейты. Затем потребуется выполнить ещё несколько шагов.
На данный момент лазейка работает, но Microsoft может закрыть её в любой момент. Конечно, пользоваться таким не одобренным Microsoft решением можно только на свой страх и риск.
В принципе, лазейка была найдена уже в конце прошлого года, но тогда было не понятно, продолжит ли она работать с выпуском февральского обновления Windows 7 ESU. Февральское обновление вышло и решение осталось работоспособно.
14 февраля 2020 в 07:27
| Теги: Windows, Microsoft
| Источник: Softpedia, Deskmodder
Менее чем через месяц, 14 января 2020 года, заканчивается расширенная поддержка Windows 7 SP1 (и Windows Server 2008 R2), соответственно, после этой даты Microsoft не будет выпускать обновления безопасности и исправления для этих ОС. В связи с этим Microsoft выпустила отдельные обновления, которые уведомляют пользователей Windows 7 о необходимости обновиться до более новых ОС (читай Windows 10).
Если вы используете на своем Windows 7 бесплатный антивирус Microsoft Security Essentials (MSE), он также не будет обновляться с начала 2020 года.
Содержание:
- Уведомление об окончании поддержки в Windows 7 Home
- Сообщение об снятии с поддержки Windows 7 Pro
- Полноэкранные уведомления об окончании срока службы Windows 7
- FAQ по программе расширенной поддержки Extended Security Updates для Windows 7
- Обход подписки Extended Security Updates и полуение обновлений в Windows 7
Microsoft предлагает корпоративным заказчикам, которые не успели мигрировать с Windows 7 на новую ОС, приобрести платную подписку для Win 7 по программе Extended Security Update (ESU). В рамках этой программы будут выпускаться и распространятся критические обновления безопасности для снятых с поддержки продуктов. В рамках этой программы за получение обновлений для 1 устройства с Windows 7 Pro в 2020 году нужно будет заплатить 50$, 100$ в 2021 и 200$ в 2022 году.
Уведомление об окончании поддержки в Windows 7 Home
Начиная с апреля 2019 года пользователи домашних редакций Windows 7 (Home Premium) стали регулярно получать уведомление о приближающемся окончании поддержки Windows. Уведомление об окончании поддержки Windows 7 выглядело так:
After 10 years, support for Windows 7 is nearing the end. January 14, 2020 is the last day Microsoft will offer security updates and technical support for computers running Windows 7. We know change can be difficult, that’s why we’re reaching out earlier to help you back up your file and prepare for what’s next.
Можно скрыть это уведомление поставив чекбокс “Do not remind me again”. Если нажать на кнопку “Learn more”, вы перейдете на страницу с описанием процесса обновления до Windows 10 (до сих пор есть варианты бесплатного обновления до Windows 10).
Это уведомление стало появляться после установки обновления KB4493132 (это небольшое обновление, размером около 250 кб, распространялось через Windows Update и относилось к категории “Необязательное/Optional”):
2019-03 Update for Windows 7 for x64-based systems (KB4493132)
Обновление помещает файл sipnotify.exe в каталог C:\Windows\System32\ и ежедневно запускает его через Task Sheduller (taskschd.msc). Для этого в планировщике созданы два задания Notify1 и Notify2 в разделе Microsoft\Windows\End of Support.
Сообщение об снятии с поддержки Windows 7 Pro
С 15 октября аналогичное уведомление об окончании поддержи стало появляться и у владельцев Windows 7 с редакцией Professional. Уведомление начинает появляться после установки обновления KB4524752. Текст сообщения:
Поддержка Windows 7 подходит к завершению. Примите во внимание, что после 14 января 2020 года Microsoft перестанет выпускать обновления системы безопасности и прекратит техническую поддержку Windows 7. Чтобы облегчить задачу перехода, мы рекомендуем вам создать резервные копии ваших файлов.
Или
Support for Windows 7 is coming to an end. Please note that after January 14. 2020, Microsoft will no longer provide security updates or technical support for Windows 7. We recommend backing up your files to ease the transition.
Обновление KB4524752 не показывает уведомление End of Support( EoF) на компьютерах с Professional и Enterprise версиями Windows 7, которые включены в домен Active Directory, в Windows Server, на устройствах, работающих в режиме киоска, на компьютерах, на которых ранее отключено уведомление о бесплатном обновлении до Windows 10 через реестр (параметр DisableOSUpgrade=1).
Вы можете скрыть уведомление об окончании поддержки Windows 7, поставив соответствующий чекбокс (при этом изменяется значение параметра DontRemindMe на 0 в ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SipNotify или скрыть обновление в Windows Update (в Панели Управления или через модуль PSWindowsUpdate).
- Бесполезно удалять обновление KB4524752, т.к. при следующем цикле поиска обновлений, оно установится с Windows Update автоматически.
- Администратор сервера WSUS может одобрить или отклонить обновление KB4524752 для установки на обслуживаемых компьютерах.
Если обновление KB4524752 уже установлено, вы можете запретить появление уведомления у пользователей через реестр командами:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\GWX" /v "DisableGWX" /t reg_dword /d 1 /f
– скрыть уведомление об окончании поддержки Windows 7 SP1
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "DisableOSUpgrade" /t reg_dword /d 1 /f
– скрыть уведомление об обновлении до Windows 10
Полноэкранные уведомления об окончании срока службы Windows 7
В декабре 2019 Microsoft выпустило еще одно обновление для уведомления пользователей о предстоящем окончании поддержки — Windows 7 — December 10, 2019—KB4530734 (Monthly Rollup). Обновление заменяет файл %windir%\system32\EOSNotify.exe. Уведомление сделано более заметным – теперь это полноэкранное всплывающее окно. Данное уведомление будет показываться, начиная с момента окончания поддержки ОС (с 15 января 2020 года).
В окне уведомления указываются риски при продолжении использования Windows 7 после 14 января 2020 года.
Your Windows 7 PC is out of support
As of January 14, 2020, support for Window 7 has come to an end. Your PC is more vulnerable to viruses and malware due to:
- No security updates
- No software updates
- No tech support
Microsoft strongly recommends using Windows 10 on a new PC for the latest security features and protection against malicious software.
Это окно предупреждение появляется при входе, а затем через день в 12 часов дня. Уведомление показывается заданиями с помощью задач планировщика EOSNotify и EOSNotify2 из раздела диспетчера заданий Microsoft\Windows\Setup\.
Вы можете отключить эти задания с помощью команд:
schtasks.exe /change /TN “Microsoft\Windows\Setup\EOSNotify” /Disable
schtasks.exe /change /TN “Microsoft\Windows\Setup\EOSNotify2” /Disable
Или изменив значение параметра DiscontinueEOS (тип DWORD) в ветке реестра HKCU\Software\Microsoft\Windows\CurrentVersion\EOSNotify на 1. Это значение параметра реестра также выставляется, если вы нажали на кнопку “Don’t remind me again” в окне уведомления. Можно создать и применить такой disableEOS.reg файл:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\EOSNotify] "DiscontinueEOS"=dword:00000001
При нажатии на кнопку «Remind me later» уведомление появится опять через 3 дня.
FAQ по программе расширенной поддержки Extended Security Updates для Windows 7
Обновления для Windows 7 и Windows Server 2008 R2 в рамках Extended Security Updates (ESU) доступны для компаний, участвующих в программе корпоративного лицензирования (Volume Licensing), а также через программу Cloud Solution Partner (CSP). Стоимость годовой подписки на обновления безопасности в рамках программка ESU:
- Первый год (январь 2020 – январь 2021) – 25$ за одно устройство Windows 7 Pro и 50$ за Enterprise
- Второй год (2021-2022) — 50$ за Windows 7 Pro, 100$ за Windows 7 Enterprise
- Третий год (2022-2023) — 100$ за Windows 7 Pro, 200$ за Windows 7 Enterprise
После приобретения подписки на программу Extended Security Updates для Windows 7, вы должны в личном кабинете на сайте лицензирования (VLSC) получить MAK ключ для Windows 7 (Licenses -> Relationship Summary -> Licensing ID -> Product Keys).
Количество активаций MAK ключа ESU зависит от количества устройств, подержки которых вы оплатили.
Полученный ESU ключ для Windows 7 нужно установить на клиенте:
slmgr /ipk <MAK ключ ESU >
Проверим статус активации:
slmgr /dlv
Обратите внимание, что тип лицензии изменился на Windows (R) 7, Client-ESU-Year1 add-on for Enterprise, Professional.
Активируйте вашу подписку ESU по значению Activation ID:
slmgr /ato <ESU Activation Id>
Используются следующие ID активации:
Windows 7 SP1:
- 1 год — 77db037b-95c3-48d7-a3ab-a9c6d41093e0
- 2 год — 0e00c25d-8795-4fb7-9572-3803d91b6880
- 3 год — 4220f546-f522-46df-8202-4d07afd26454
Windows Server 2008 R2
- 1 год — 553673ed-6ddf-419c-a153-b760283472fd
- 2 год — 04fa0286-fa74-401e-bbe9-fbfbb158010d
- 3 год — 16c08c85-0c8b-4009-9b2b-f1f7319e45f9
Для управления ключами ESU на клиентах удобно использовать Volume Activation Management Tool (VAMT).
Чтобы убедится, что ваши компьютеры с Windows 7 могут получать обновления в рамках программы Extended Security Updates, нужно скачать и установить обновление KB4528069 из Microsoft Update Catalog (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4528069). Это тестовое обновление можно попробовать установить в вашей среде для проверки готовности получать обновления Windows 7 по программе ESU после даты окончания расширенной поддержи.
После активации подписки ESU на клиенте вы можете использовать ранее используемую стратегию установки обновлений – Windows Update, WSUS, SCCM или любое другое средство распространения обновления.
Обход подписки Extended Security Updates и полуение обновлений в Windows 7
В Интернете уже появились инструкции, описывающие способ обойти защиту ESU и бесплатно получать обновления безопасности для Windows 7 после января 2020 (https://forums.mydigitallife.net/threads/bypass-windows-7-extended-security-updates-eligibility.80606/).
По заявлениям автора данный bat файл позволил автоматически получить и установить тестовое обновление ESU (будет ли работать этот способ после января 2020 годе — не понятно).
Можно протестировать получение этого обновления так:
- Проверить или установить обновления для поддержки SHA2:KB4490628 и KB4474419;
- Установить последнее обновление стека: KB4531786;
- Установить BypassESU;
- Установить тестовое обновление ESU — KB
Для информации: по статистике сайта WinITPro около 22% чиателей все еще используют Windows 7 (Windows 10 – 52%). Так что в ближайшее время рекомендую задуматься о переходе с Windows 7 на Windows 10, тем более уже сейчас нельзя установить Windows 7 на компьютерах с новыми моделями процессоров.
Still can’t let go of Windows 7? Well, on 14th January 2020, Windows decided to officially discontinue security updates for Windows 7. Though not a surprise, it came as a disappointment to many Windows 7 lovers and enthusiasts alike. This is because despite being a decade old, Windows 7 remains one of the most stable popular operating systems to have graced the world. It’s used mainly by organisations, and most of them stick to it as it requires less storage space, has legal requirements while others lack the needed funds for upgrading.
As of now, users who want to continue receiving security updates for Windows 7 have to pay some fee to Microsoft. This move is seen to target organizations that use Windows 7 as the core Operating system. This article seeks to shed light on how you can get Windows 7 extended security updates.
To fix various Windows 10/11 problems, we recommend Outbyte PC Repair:
This software will repair common computer errors, protect you from file loss, malware damage, hardware failure, and optimise your computer for peak performance. In three simple steps, you can resolve PC issues and remove virus damage:
- Download Outbyte PC Repair Software
- Click Start Scan to detect Windows 10/11 issues that may be causing PC issues.
- Click Repair All to fix issues with your computer’s security and performance.
This month, Outbyte has been downloaded by 23,167 readers.
Checking Eligibility for your Windows 7 system
Microsoft is only offering the Extended Security Updates to retail and pro users. Windows 7 Pro and Windows 7 Retail users will, therefore, enjoy extended security updates at a cost. Windows 7 Home users, on the other hand, will not enjoy extended security updates.
Organizations can access Extended Security Updates
If you’re a standard Windows 7 user, then I’ll advise you to upgrade to a newer and supported version such as Windows 8 or Windows 10. Also, if you have a device or software that must run on windows 7, then it’s best not to use the internet on that device. Or you can run that software in a modern version of Windows.
For businesses that use Windows 7 on a larger scale, Windows will continue offering security updates. However, they don’t come for free, and you’ll only access them when you pay. These updates are also not permanent but rather a stopgap that allows a smooth transition to modern Windows versions. Microsoft wants governments, businesses, and organizations to move to the latest Windows OS. Therefore, these extended security updates get more expensive as each year passes, forcing the companies to upgrade.
Who can access the updates?
Windows 7 extended security updates are not only available to large companies but are also accessible by smaller and medium companies. According to Microsoft officials, businesses and organizations will have to buy these updates from “qualified Cloud Solution Provider Partners.
According to The Verge, Extended updates for Windows 7 Enterprise, used in most big businesses, is approximately $25 per machine, and the cost doubles to $50 per device in 2021 and again to $100 in 2022. It’s even worse for Windows 7 Pro users, used in smaller firms, which starts at $50 per machine and jumps to $100 in 2021 and $200 in 2022.
However, there is a Tool for Bypassing Security Checks and Accessing Updates for Free.
To use this hack, you have to install three essential updates to your system: KB4490628, KB4474419, and KB4523206.
Next, follow the instructions below.
- Restart your system
- Navigate to My Digital Life Forums
Create a free account then download a free BypassESU tool. This tool enables you to download an Extended Security Update KB4528069. The tool also allows users to bypass Microsoft’s check for Extended Security Updates. Once you have used, you can uninstall it as you’ll be authenticated even for future security checks.
Windows 7 is finally coming to its end, but you don’t have to worry about missing critical security updates. If you still love the OS, then there is no need to upgrade to a modern version as you can tweak it to receive extended security updates. Follow our guide above to get your updates. In case of any queries or new methods of bypassing Microsoft’s Checks, feel free to share them with us.
Hey, this is Margaret, a Windows Systems Administrator who’s in love with everything about tech.