Кроме того, добавлены следующие обновления:

• Internet Explorer 11 (KB2841134)
  
• Твик реестра вместо MRT (KB890830)

Следующие обновления нежелательны и исключены:

KB971033-x86-x64 (Обновление для технологий проверки активации Windows)
KB2952664-x86-x64 (Обновление совместимости системы для перехода на Windows 10)
KB2977759-x86-x64 (Диагностика проблем совместимости для перехода на Windows 10)
KB3021917-x86-x64 (Диагностика системы и телеметрия для перехода на Windows 10)
KB3035583-x86-x64 (Обновление устанавливает приложение «Получить Windows 10»)
KB3068708-x86-x64 (Обновление для улучшения качества и диагностики телеметрии)
KB3075249-x86-x64 (Обновление добавляет точки телеметрии в файл consent.exe)
KB3080149-x86-x64 (Обновление для программы CEIP и диагностики телеметрии)
KB3081954-x86-x64 (Обновление для улучшения рабочих папок и телеметрии)
KB3123862-x86-x64 (Обновленные возможности для перехода на Windows 10)
KB3139923-x86-x64 (Обновление добавляет точки телеметрии в файл consent.exe)
KB3150513-x86-x64 (Обновленные конфигурации для диагностики совместимости)
KB3161608-x86-x64 (Обновление добавляет точки телеметрии в файл consent.exe)
KB3163589-x86-x64 (Сообщение о работе под управлением устаревшей версии Windows)
KB3172605-x86-x64 (Обновление добавляет точки телеметрии в файл consent.exe)
KB3173040-x86-x64 (Уведомление об истечении срока обновления до Windows 10)
KB4493132-x86-x64 (Уведомление об окончании поддержки Windows 7)
KB4524752-x86-x64 (Уведомление об окончании поддержки Windows 7 Pro)

Дополнительная информация

Использование
В системе должно быть не меньше 10 ГБ свободного места на винчестере и желательно не меньше 1 ГБ свободной оперативной памяти.
Для гибкой установки набора можно использовать следующие ключи и их комбинации:

• Ключ /Reboot для автоматической перезагрузки, если она потребуется.
  
• Ключ /S для полностью тихой установки без окон и сообщений. Регистр имеет значение.
  
• Ключ /Silent для пассивной установки - видно прогресс, но установка полностью автоматическая.
  
• Ключ /IE11 для установки браузера Internet Explorer 11 и его локализации.
  
• Ключ /Temp= позволяет задать временный рабочий каталог. Он не обязан быть пустым, но должен существовать.
  
• Ключ /NoSpace позволяет пропустить проверку свободного места на системном разделе, использовать не рекомендуется.
  
• Ключ /SmartFix интегрирует программу SmartFix в средство восстановления системы, если рядом с набором есть файл SmartFix.exe.
  
• Ключ /NoUSB отменяет интеграцию драйверов USB 3.0 и 3.1 в дистрибутив системы через проект Win7USB3.
  
• Ключ /NVMe интегрирует поддержку NVMe для системы и среды восстановления.

Примеры:

• Нужно автоматически установить все обновления, IE11 и перезагрузить компьютер: UpdatePack7R2.exe /ie11 /silent /reboot
  
• Нужно скрыто установить все обновления к имеющимся продуктам, версию IE не менять, компьютер не перезагружать: UpdatePack7R2.exe /S

Следующие ключи предназначены для интеграции обновлений в дистрибутив:

• Ключ /WimFile= указывает расположение wim-файла, необходимо задавать абсолютный путь.
  
• Ключ /Index= указывает индекс системы в wim-файле, для каждого индекса необходимо выполнять интеграцию заново.
  
• Ключ /Index=* позволяет выполнить поочерёдную интеграцию обновлений во все индексы wim-файла.
  
• Ключ /Optimize разрешает оптимизировать размер wim-файла после интеграции обновлений.

Примечания:

• Перед указанием индекса полезно выполнить команду: Dism /Get-WimInfo /WimFile:C:\install.wim (путь замените на свой).
  
• Не все обновления могут быть интегрированы (смотрите таблицу), но они не повлияют на безопасность системы.

Примеры:

• Нужно интегрировать IE11 и все обновления в 1 индекс: UpdatePack7R2.exe /ie11 /WimFile=C:\install.wim /Index=1
  
• Нужно интегрировать IE11 и все обновления во все индексы: UpdatePack7R2.exe /ie11 /WimFile=C:\install.wim /Index=*
  
• Нужно интегрировать только обновления к имеющимся продуктам, версию IE не менять: UpdatePack7R2.exe /WimFile=C:\install.wim /Index=1

-Дополнительный функционал

• Возможна автоматическая установка SP1, если он не установлен в системе. Для этого нужно расположить файлы Windows6.1-KB976932-X86.exe и Windows6.1-KB976932-X64.exe в одном каталоге с набором.
  
• Если рядом с набором есть UpdatePack7R2Start.cmd - он будет выполнен перед установкой обновлений, UpdatePack7R2Finish.cmd - после установки, UpdatePack7R2Wim.cmd - после интеграции обновлений. По умолчанию консольные окна будут показаны. Чтобы их скрыть, первая строка в cmd-файле должна начинаться с ":hide" (без кавычек). Набор обновлений отслеживает код выхода из cmd-файлов, на случай необходимости перезагрузки. Этот код равен 3010 (команда exit 3010).
  
• Если вы хотите применить свои твики после установки Internet Explorer 11 на рабочую систему, расположите в папке с набором файл ie11.reg и он будет импортирован автоматически.
  
• Некоторые ключи можно заменить переименованием самого файла набора. Так для установки IE11 можно добавить слово "ie11" в любое место имени файла набора, "--" для автоматический перезагрузки и "++" для пассивной установки.

Примеры:

• Нужно автоматически установить набор на рабочую систему вместе с IE11 и перезагрузить компьютер: переименуйте UpdatePack7R2.exe в UpdatePack7R2--ie11++.exe
  
• Это будет абсолютно аналогично использованию следующих ключей: UpdatePack7R2.exe /ie11 /silent /reboot

-Примечания

• Размер дистрибутива (wim-файл) будет увеличен на размер установленных обновлений.
  
• Интегрированные обновления можно будет удалить даже после установки системы.
  
• Рекомендуется выгружать из памяти резидентный антивирусный монитор на время работы набора.
  
• Подробный журнал установки обновлений находится в файле %WinDir%\UpdatePack7.log.
  
• Установка на рабочую систему будет произведена в несколько этапов с перезагрузками.

Исправление уязвимости повышения прав Windows 7 и Server 2008 R2

В блоге 0patch появилась информация о уязвимости нулевого дня для Windows 7 и Server 2008 R2, которая позволяет пользователям с ограниченными правами повысить их до системных. Суть в том, что по умолчанию в службах Dnscache и RpcEptMapper неправильно выставлены права доступа, что позволяет создать специально сконфигурированный подраздел и указать там свою библиотеку, которая в свою очередь будет загружена программой мониторинга производительности системы. Подробности и примеры можно прочитать на странице автора. На данный момент официальных исправлений нет, а ждать декабрьских обновлений долго, поэтому выпускаю обновление набора. В своей статье авторы публикуют микропатч, для которого нужно устанавливать программу и держать её запущенной, но в этом нет необходимости, достаточно забрать у ограниченных пользователей права создания подразделов в ветках указанных служб.
Соответствующий патч для UpdatePack7R2 можно загрузить здесь, на основе доступной 20.11.11 он создаст новую версию 20.11.27, которую и можно запустить для устранения уязвимости. Исправление будет сделано даже в том случае, если у вас уже установлены все ноябрьские обновления, проверить это можно вручную или скриптом PrivescCheck. Точно так же исправление будет установлено при интеграции обновлений в дистрибутив. UpdatePack7R2 не выводит дополнительной информации об установке этого исправления, однако если в его журнале будет запись о том, что версия 20.11.27 или выше запускалась, значит исправление установлено.
Скриншоты https://rutracker.org/forum/viewtopic.php?p=80473289#80473289