Chính sách WDAC không chấp nhận DLL có chữ ký của MS

Tôi đang làm việc về chính sách kiểm soát ứng dụng của bộ bảo vệ WDAC/windows. Khoảng 80% những gì tôi còn lại là từ các tệp DLL system32, hàng trăm tệp trong số đó. Hệ thống máy khách Windows 10, chủ yếu là 20h2.

Chính sách cơ bản là về lượng hàng bạn có thể nhận được. Cho phép MS sử dụng chính sách mẫu allowmicrosoft.xml, ứng dụng và trình điều khiển khối thực tiễn tốt nhất được đề xuất và SCCM. Các tệp DLL không thành công được ký bởi MS nhưng sẽ quay trở lại với lỗi sự kiện 3091 sẽ bị chặn khi chuyển sang chế độ thực thi.

Tất cả các tệp DLL không chia sẻ được các thuộc tính chứng chỉ này.

[Vấn đề]
  CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

[Tổ chức phát hành]
  CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

Tôi đã thêm các chứng chỉ trên chuỗi vào một chính sách trống bằng cách sử dụng Add-SignerRule -CertificatePath .\signature1.cer -user -kernel -update, và hợp nhất chúng. Các chứng chỉ này chắc chắn phải tồn tại ngay bây giờ, ngay cả khi chúng không phải là một phần của allowmicrosoft.xml vì lý do nào đó.

Kiểm tra vẫn không thành công, ngay cả sau khi làm mới chính sách. Tôi đang thiếu gì?