Windows 11 用户等了快三年,一个藏在系统深处的安全功能终于松口了。3月26日,微软推送KB5079391可选更新,29项改动里藏着一条不起眼的说明:Smart App Control(智能应用控制,SAC)现在可以手动开关,不用重装系统。
这功能2022年随Windows 11 22H2亮相,初衷是自动拦截未签名或可疑程序。但微软最初的设定极其霸道——开启后无法关闭,关闭后无法开启,想反悔只能格式化重装。用户吐槽这是"一次性保险丝",装完系统就得赌自己会不会遇到误杀。
「你可以在不进行干净安装的情况下打开或关闭SAC。要更改设置,请前往设置 > Windows安全中心 > 应用和浏览器控制 > SAC设置。」微软在更新日志里写道。
路径藏得依然很深,四层菜单才能摸到。但好歹是个进步,至少企业IT管理员不用再为"要不要开"开半天会。
可选更新的定位变了
KB5079391属于微软的"非安全预览更新",每月月底推送,专门用来测试下月补丁星期二(Patch Tuesday)要正式上线的功能。和常规累积更新不同,这类更新不带安全补丁,装不装随你。
但微软玩了个小心思。如果你在Windows Update里勾了"有更新立即获取",系统会自动安装;没勾的话,得手动点"下载并安装"才会生效。
装完之后,24H2版本号跳到26100.8116,25H2预览版跳到26200.8116。版本号末尾的四位数8116,就是这次更新的内部标识。
这种"可选但又不完全可选"的策略,微软用了快两年。对企业用户来说,预览更新是提前排雷的窗口;对个人用户,更像是功能尝鲜通道。但大多数人其实分不清"可选累积更新"和"强制安全更新"的区别,经常点完才发现系统版本变了。
显示系统的军备竞赛
除了SAC松绑,这次更新还塞了一堆显示相关的补丁。最扎眼的一条:支持刷新率超过1000Hz的显示器。
目前市面上主流电竞屏还在240Hz-360Hz徘徊,1000Hz+属于实验室或超旗舰产品。微软提前布局,明显是在给DisplayPort 2.1和下一代GPU铺路。毕竟当显卡能喂饱1000帧时,系统不能成为瓶颈。
另外两条同样指向未来:原生USB4显示器连接、HDR可靠性改进。USB4相当于把雷电3/4的规范收编进开放标准,一根线搞定视频+供电+数据;HDR修复则针对Windows 11长期被诟病的色彩管理,尤其是从SDR应用切换到HDR游戏时的亮度跳变问题。
这些改动现在可能用不上,但微软的更新节奏向来是"提前半年埋桩"。等硬件跟上来,系统已经准备好了。
安全功能的尴尬处境
回到Smart App Control。这功能的设计逻辑很产品经理——用云端信誉系统判断程序好坏,未知文件先 sandbox(沙箱)跑一遍,可疑的直接拦。
理论上比传统杀毒轻量,比纯白名单灵活。但三年跑下来,实际效果参差不齐。
误杀是最大槽点。某些开源工具、企业内部签名的软件,经常被SAC标记为"未受信任"。更麻烦的是,早期版本连日志都不给看,用户根本不知道哪个文件被拦了。企业环境还能靠组策略调白名单,个人用户只能干瞪眼。
微软的妥协来得有点晚。2023年就有用户在反馈中心呼吁"给开关",官方回复一直是"正在评估"。评估了两年,终于松口。
这次更新后,SAC的状态分三档:开、关、评估。评估模式会静默运行一段时间,观察拦截行为是否影响正常使用,再建议用户是否全开。算是个折中方案,但"评估"期间后台在干什么,微软没说太细。
补丁堆里的其他碎片
29项改动里,微软只挑了几条公开说。剩下的藏在支持公告的表格里,等着用户自己踩坑发现。
上个月的可选更新KB5077241加了BitLocker改进、原生Sysmon工具、网络测速功能。再往前,KB5074105修了一堆启动和登录问题,KB5085516更是紧急补丁,专门解决微软账户登录故障。
这种"月月有可选、双周有安全补丁"的节奏,让Windows 11的更新历史变得像千层饼。普通用户很难追踪自己到底装了什么,企业IT则需要专门工具比对每个KB号的改动清单。
微软声称这次"没有已知问题"——这句话本身就有意思。通常微软会列出正在调查或已确认的bug,空白反而让人嘀咕:是真的干净,还是反馈还没收上来?
毕竟3月初的常规更新刚搞砸过Teams和OneDrive登录,三星PC的C盘访问问题也是上个月才给出修复方案。可选更新的测试范围比安全补丁小,埋雷概率其实更高。
你现在会为了这个开关去装可选更新,还是等4月的正式补丁?
热门跟贴