51 ответов в этой теме

[Dmitriy-spb]

1. обновление KB3004394 установлено. https://yadi.sk/i/z58Xvq4px3DAQ
2. в силу своей неопытности не понял как это проверить.
3. данной ветки Реестра у себя не нашел https://yadi.sk/i/tQOMdNJXx3DWX


Все ж, как мне кажется, что дело не в количестве Сертификатов... Вроде по логике, если у меня хоть три Сертификата в "оснастке управления сертификатами" (certmgr.msc), то они должны отображаться и в "Управлении Сертификатами" в Браузере, а там пусто! Где "неисправность" и такое рассогласование? Мне кажется, что основная причина засора именно в этом...

[IlyaS]

1. обновление KB3004394 установлено. https://yadi.sk/i/z58Xvq4px3DAQ
2. в силу своей неопытности не понял как это проверить.
3. данной ветки Реестра у себя не нашел https://yadi.sk/i/tQOMdNJXx3DWX
Все ж, как мне кажется, что дело не в количестве Сертификатов... Вроде по логике, если у меня хоть три Сертификата в "оснастке управления сертификатами" (certmgr.msc), то они должны отображаться и в "Управлении Сертификатами" в Браузере, а там пусто! Где "неисправность" и такое рассогласование? Мне кажется, что основная причина засора именно в этом...

третий раз набираю этот пост в IE11 (cross site scripting)...
Для начала:
1. проверьте установлены ли KB2677070 и KB2813430
2. проверьте ключ в реестре

reg query HKLM\Software\Policies\Microsoft\SystemCertificates\AuthRoot

3. сосчитайте сертификаты

certutil -store AuthRoot|find /c "==="
certutil -store Root|find /c "==="

Логика ваша безошибочна на первый взгляд.
Я бы грохнул все в Trusted Root и загрузил их заново (как, написано выше).
Хотя может стоит начать с sfc /scannow из привилегированной cmd (как администратор).

[Dmitry_rus]

sfc - всё чисто. А вот реестр убит.

[Dmitriy-spb]

Сосчитали сертификаты.

AuthRoot - 19 вхождений, Root - 3. 

В реестре вроде нормально.

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot

    DisableRootAutoUpdate    REG_DWORD    0x0

Браузеры сертификатов не видят. На другой машине получил сертификаты в *.sst и *.crt. При попытке добавить certutil выдает ошибку.

C:\cert>certutil -addstore AuthRoot Rootstore.sst

AuthRoot

CertUtil: -addstore команда НЕ ВЫПОЛНЕНА: 0x8009310b (ASN: 267)

CertUtil: Встречено неверное значение тега ASN1.

При попытке добавлять сертификаты (более 300 *.сrt) через оснастку certmgr.msc импорт проходит нормально, но положительных результатов нет.

[IlyaS]

Сертификатов крайне мало, вы их не удаляли?
А Rootstore.sst вы как сгенерировали?
Забыл самое простое решение - запустить обновление системы с установочного диска Windows 7 SP1: 30-60 минут + время на все обновления + драйверы.

Но перед этим проверить системный диск

chkdsk c: /f /r /x

после перезагрузки.

Сообщение было изменено IlyaS: 18 Октябрь 2016 - 08:39

[IlyaS]

sfc - всё чисто. А вот реестр убит.

как это убит?

[Dmitry_rus]

Rootstore.sst был сгенерирован на другой машине путем выполнения

certutil -generateSSTFromWU -f Rootstore.sst

Что касается реестра - отсутствуют необходимые ветви в HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates, + проблемы с пермишенами на эти ветви реестра.

[IlyaS]

Ща глянул на Win10 - все ветки реестра пустые, а на Win7 только в Disallowed и Root блобы сертификатов. Как-то все запутано в этом крипто-хранилище - AuthRoot завязан с Root, системные сертификаты в реестре и личные в файловой системе.

[Dmitry_rus]

...а на той машине этих ветвей вообще нет. Думаю, проще будет переустановить в режиме восстановления... Хотя можно, конечно, ради спортивного интереса позаниматься экспортом реестра с др. машинок.

[IlyaS]

Чтобы не ждать вечность обновлений после установки Win7, Майкрософт теперь рекомендует такой подход в KB3200747:
1) в настройках Центре обновления отключить обновления
2) перезапустить компьютер
3) установить KB3020369 и KB3172605
4) перезапустить компьютер
5) вернуть настройки Центра обновления обратно и проверить доступные обновления

[Dmitry_rus]

Альтернативный способ обновлений:

http://forum.oszone.net/thread-257198.html

Набор позволяет обновлять рабочую систему, а также интегрировать обновления в дистрибутив. Может быть установлен на любую редакцию Windows 7 и Server 2008 R2, любой разрядности и любого языка. Включены обновления для всех версий Internet Explorer, все критические, рекомендуемые и обновления безопасности. Весит около 650 МБ.

[IlyaS]

Одно другому не мешает К тому же на http://update7.simplix.info/ пишут:

Следующие обновления нежелательны и исключены:
KB3172605-x86-x64 (Обновление добавляет точки телеметрии в файл consent.exe)
Следующие проблемные обновления не добавлены: KB3172605-x86-x64 (вызывает проблемы с Intel Bluetooth)

А именно в KB3172605 свежий Windows Upfate Agent 7.6.7601.23453.

Сообщение было изменено IlyaS: 19 Октябрь 2016 - 15:47