Кроме установки поддержки подписей SHA-256 (KB4474419) требуется ещё и обновить списки корневых/промежуточных УЦ, отвечающих за проверки подписей ПО. Ну и списки отзыва тоже не помешают.
Сертификаты "по цепочке" извлекаются из подписей проблемных драйверов, точка распространения списков отзыва - из свойств сертификатов.

P.S.
Глупо откладывать обновления системы, снятой с "обычной" поддержки около четырёх лет назад.
За такой срок можно было оптимизировать последовательность установки обновлений и найти технологическое окно в самом плотном графике.

Отредактировано пользователем 12 сентября 2024 г. 18:09:22(UTC)  | Причина: Не указана

Возьмём, например, CSPSetup-5.0.11455.exe, откроем свойства файла, перейдём на закладку "Цифровые подписи".
Там мы увидим две ЭП (SHA-1 и SHA-256).
Последовательно выбираем каждую из них и нажимаем кнопку "Сведения".
В окошке "Состав цифровой подписи" нажимаем кнопку "Просмотр сертификата".
В окошке "Сертификат" переходим на закладку "Путь сертификации" и, если "всё хорошо", то мы видим полную иерархию: от корневого УЦ, через промежуточные - к "оконечному" сертификату подписанта.
Если это не так, то выбираем "самый верхний", нажимаем для него кнопку "Просмотр сертификата", переходим на закладку "Состав" и выгружаем сертификат по кнопке "Копировать" в файл.
sostav-ehksport-EhP.png (24kb) загружен 6 раз(а).
Повторяем процедуру для выгруженного сертификат и так - до тех пор, пока не "дойдём до корня" (издатель совпадает с подписантом).
Обращаем внимание, что "Состав цифровой подписи" отображает еще ЭП штампа времени, у которого тоже есть "Сведения" и цепочку которого тоже надо проверить/экспортировать.
Может получиться так, что из разных цепочек будут экспортироваться одинаковые ЭП для одних и тех же корневых/промежуточных УЦ. Тут надо смотреть на издателей, сроки действия и серийные номера.

Отредактировано пользователем 14 сентября 2024 г. 8:30:12(UTC)  | Причина: Не указана