Politica WDAC nu acceptă DLL-uri semnate MS

Lucrez la politica de control al aplicațiilor WDAC / windows defender. Aproximativ 80% din ceea ce mi-a rămas provine din fișierele DLL system32, sute dintre ele. Sisteme client Windows 10, mai ales 20h2.

Politica de bază este la fel de stoc pe cât puteți obține. Permiteți MS utilizând politica de exemplu allowmicrosoft.xml, cele mai bune practici recomandate blochează driverele și aplicațiile și SCCM. DLL-urile eșuează sunt semnate MS, dar revin cu eșecuri ale evenimentului 3091 care vor fi blocate atunci când se trece în modul de aplicare.

Toate DLL-urile care eșuează partajează aceste atribute de certificat.

[Subiect]
  CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=SUA

[Emitent]
  CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=SUA

Am adăugat certificatele de pe lanț la o politică goală folosind Add-SignerRule -CertificatePath .\signature1.cer -user -kernel -update, și le-a îmbinat. Aceste certificate ar trebui să existe cu siguranță acum, chiar dacă nu au făcut parte din allowmicrosoft.xml dintr-un anumit motiv.

Verificarea eșuează în continuare, chiar și după o reîmprospătare a politicii. Ce îmi lipsește?