Что вызывает автоматическую установку доверенных корневых центров сертификации в хранилище сертификатов локального компьютера?

Я провожу целый день, диагностируя проблемы с моими тестовыми сервисами, используя взаимный HTTPS. Службы размещаются в IIS 7 на тестовом сервере под управлением Windows Server 2008 Enterprise edition.

Внезапно несколько недель назад все тестовые сервисы перестали работать, и любой запрос к этим сервисам заканчивался проблемой 403.7 "Требуется сертификат клиента". После долгих поисков я обнаружил, что эта статья описывает аналогичную проблему с Windows Server 2003.

Короче говоря, проблема вызвана слишком большим количеством доверенных корневых центров сертификации, установленных в хранилище сертификатов локального компьютера. Сервер во время взаимного рукопожатия HTTPS отправляет "список" доверенных ЦС клиенту, и клиент может выбрать сертификат на основе этого списка (если сайт в IIS не настроен с использованием CTL, но это другой вопрос). Проблема в том, что список может иметь только 16 КБ, поэтому, если есть больше ЦС, они просто не отправляются клиенту. Если используемый клиентский сертификат выдан одним из таких усеченных ЦС, он не отправляется на сервер.

После этого я проверил хранилище доверенных корневых сертификатов локального компьютера и обнаружил, что установлено более 200 доверенных корневых центров сертификации. Что еще хуже: мы их не устанавливали! Я где-то нашел немного информации (извините, не могу найти ее снова), что эти центры сертификации устанавливаются автоматически через Центр обновления Windows.

Вопрос: Как отключить установку сертификатов CA на наш компьютер без отключения обновления Windows?