信頼されたルート認証局がローカルマシンの証明書ストアに自動インストールされる原因は何ですか？

私は相互HTTPSを使用してテストサービスの問題を診断することで一日を過ごしています。サービスは、Windows Server 2008Enterpriseエディションを実行しているテストサーバー上のIIS 7でホストされます。

数週間前に突然、すべてのテストサービスが機能しなくなり、これらのサービスへのリクエストは403.7「クライアント証明書が必要」の問題で終了しました。何度も検索した結果、 この記事 Windows Server2003の同様の問題について説明していることがわかりました。

つまり、この問題は、ローカルマシンの証明書ストアにインストールされている信頼できるルートCAが多すぎることが原因です。相互HTTPSハンドシェイク中のサーバーは、信頼できるCAの「リスト」をクライアントに送信し、クライアントはこのリストに基づいて証明書を選択できます（IISのサイトがCTLで構成されているが、それが 別の質問 ）問題は、リストに含めることができるのは16KBしかないため、CAがさらにある場合、それらは単にクライアントに送信されないことです。使用されたクライアント証明書がそのような切り捨てられたCAのいずれかによって発行された場合、送信されません。サーバーに。

その後、ローカルマシンの信頼されたルート証明書ストアを確認したところ、200を超える信頼されたルートCAがインストールされていることがわかりました。さらに悪いことに、私たちはそれらをインストールしませんでした！これらのCAがWindowsUpdateを介して自動的にインストールされるという情報をどこかで見つけました（申し訳ありませんが、再度見つけることはできません）。

質問：Windows Updateをオフにせずに、コンピューターへのCA証明書のインストールをオフにするにはどうすればよいですか？