Windows 11 Dev重磅更新：驅動安全策略收緊、預裝應用可批量卸載

微軟發佈 Build 26300.8068，企業IT管理權限大幅提升，內核驅動信任機制迎來重大變革

微軟於2026年3月13日向Dev Channel推送了Windows 11 Insider Preview Build 26300.8068（KB 5079464）。作爲基於Windows 11 25H2版本的更新，本次構建帶來了多項面向企業用戶和高級用戶的關鍵改進，其中最引人注目的是內核驅動安全策略的歷史性收緊以及IT管理員對預裝應用更強的管控能力。

一、驅動安全：終結"交叉簽名"時代

本次更新中最具技術深度的變革是Windows內核驅動加載策略的全面升級。微軟正式宣佈，將不再默認信任基於已廢止的交叉簽名根證書程序（cross-signed root program）的第三方內核驅動。

新政策採用漸進式啓用機制：系統將在審計模式下運行至少100小時並完成3次重啓，期間監測驅動兼容性。只有通過兼容性驗證的設備纔會正式啓用強制模式，否則將保持審計狀態以避免系統不穩定。

對於普通用戶，若進入強制模式後遇到驅動被攔截的情況，系統將彈出Windows安全中心通知："This driver has been blocked. UntrustedDriver.sys does not pass the Windows driver policy."（如上圖所示）。這一改變顯著提升了系統安全性，但也可能對依賴老舊硬件驅動的用戶造成兼容性挑戰。

二、企業IT管理：預裝應用可動態卸載

針對Windows企業版和教育版用戶，微軟大幅增強了應用管控策略。IT管理員現在可以通過組策略（Group Policy）動態指定需要移除的Microsoft Store應用。

操作路徑：Computer Configuration > Administrative Templates > Windows Components > App Package Deployment > Remove Default Microsoft Store packages

管理員只需通過PowerShell命令Get-AppxPackage *AppName* | Select-Object PackageFamilyName獲取應用包家族名稱（PFN），即可將其加入動態移除列表。目前該功能暫不支持通過Intune CSP的OMA-URI配置，需通過設置目錄（Settings Catalog）或組策略進行驗證。

這一改進解決了企業環境中長期存在的"預裝應用臃腫"問題，使IT部門能夠更精細地控制終端設備的應用生態。