win7 sp1缺少SHA-2代码签名补丁会导致驱动无法安装，要安装KB4474419后才可以正常使用

但是实际过程中每次下载安装包后都提示安装失败。提供的 CBS.log 日志看，Windows 组件存储（WinSxS）中的多个驱动更新组件的 manifest 文件已损坏或丢失，最终导致 KB4474419 安装失败。具体情况如下：

运行 sfc /scannow 大约到6%左右提示出错

sfc /scannow

从你提供的 CBS.log 日志看，Windows 组件存储（WinSxS）中的多个驱动更新组件的 manifest 文件已损坏或丢失，最终导致 KB4474419 安装失败。具体情况如下：

---

🔍 关键错误定位：

[SR] Cannot verify component files for xxx.inf, manifest is damaged (FALSE)
...
Error STATUS_OBJECT_NAME_NOT_FOUND ... WinSxS\amd64_brmfcmf.inf.resources_...

这些日志说明 SFC 尝试验证并修复某些组件时找不到相关的组件文件或其 manifest 文件损坏，特别是在 WinSxS 目录下。

---

❌ 安装 KB4474419 失败的直接原因：

ErrorCode: 2147956498
ErrorString: 组件存储已损坏。

这是安装补丁失败时 Windows Update 报出的典型错误代码，意味着 Servicing Stack 无法对损坏的组件存储执行更新操作。

---

✅ 建议修复步骤

---

1️⃣ 再次运行 系统文件检查器（SFC）

你已经运行过 sfc /scannow，它报告多个驱动 .inf 文件的 manifest 损坏，但没有修复成功，因为这些组件不是核心组件，可能需要更高级修复工具。

---

2️⃣ 使用“系统更新准备工具”修复组件存储

这是当前最重要的步骤。

下载 SUR 工具（适用于 Windows 7 SP1 x64）：

👉 官方地址：
Microsoft Update Cataloghttps://www.catalog.update.microsoft/Search.aspx?q=KB947821

安装后会自动执行修复并生成日志：

查看修复结果：

C:\Windows\Logs\CBS\CheckSUR.log

---

3️⃣ 如果 SUR 工具也无法修复

说明系统组件存储损坏严重，考虑以下选项之一：

• ✅ 就地升级修复安装（使用 Win7 SP1 原版镜像启动安装，选择“升级安装”保留文件）

• ✅ 重装系统并迁移数据（干净重装）

---

✅ 附加建议

检查 WinSxS 状态：

dism /online /cleanup-image /scanhealth

（Win7 需安装 KB947821 才能使用部分 DISM 功能）

---

🔧

错误代码 0x80072F8F-0x20000 出现在 Windows 7 SP1 升级或运行 Windows 10/11 安装助手（Media Creation Tool） 时，说明操作系统在与微软服务器通信时遭遇了 时间/证书验证失败。这是 Windows 7 系统常见问题之一，尤其在未正确安装某些补丁或 TLS 设置错误时。

---

🔍 错误原因详解：

错误码含义：

• 0x80072F8F: 安全通道（TLS）验证失败，通常由于：

  • 当前系统时间错误

  • 根证书过期或未更新

  • 不支持 TLS 1.2（Windows 7 默认只支持 TLS 1.0）

---

✅ 解决方案（适用于 Win7 SP1）：

✅ 1. 同步正确的系统时间

打开控制面板 → 日期和时间 → 选择“Internet 时间” → 同步服务器为 time.windows

---

✅ 2. 开启 TLS 1.2 支持

Windows 7 默认不启用 TLS 1.2，需要手动注册：

打开注册表编辑器：

运行 regedit，导航至：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

然后依次添加以下路径（如不存在）：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

重启系统。

---

✅ 3. 安装关键补丁更新

必须安装以下补丁以启用 TLS 1.2 和 SHA-2 签名支持：

补丁名称	功能	下载地址
KB3140245	添加 TLS 1.2 支持	微软官网
KB4474419	支持 SHA-2 签名更新（必须)	微软官网
KB4490628	服务堆栈更新	微软官网

建议安装顺序：

1. KB4490628

2. KB4474419

3. KB3140245
   安装后 重启系统

---

✅ 4. 确保系统信任根证书更新

可尝试运行微软的 根证书更新脚本，或使用以下命令强制更新：

certutil -generateSSTFromWU roots.sst

然后双击 roots.sst 导入更新的证书。

---

✅ 5. 使用离线方式升级 Windows 10

如果在线工具仍无法运行，可考虑使用 Windows 10 ISO 镜像 离线升级：

1. 下载 ISO

2. 用解压软件（如 7-Zip）打开并运行 setup.exe

3. 按提示进行升级

---

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001