Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data di pubblicazione originale: 15 settembre 2025

ID KB: 5068008

Domande frequenti generali su Avvio protetto

È consigliabile aggiornare i certificati di avvio protetto ben prima della data di scadenza di giugno 2026. 

Se il tuo dispositivo è gestito da Microsoft e condividi dati di diagnostica con Microsoft, Microsoft tenterà di aggiornare automaticamente i certificati di avvio protetto nella maggior parte dei casi. Anche se Microsoft farà del suo meglio per aggiornare Avvio protetto, ci saranno alcune situazioni in cui l'aggiornamento non è garantito per l'applicazione e richiederà un'azione del cliente. Il cliente è in ultima analisi responsabile dell'aggiornamento dei certificati di avvio protetto. 

Di seguito sono riportate alcune situazioni in cui i dispositivi gestiti da Microsoft con dati di diagnostica condivisi non vengono aggiornati: 

  • Gli aggiornamenti di Microsoft Secure Boot funzionano solo in alcune versioni in supporto di Windows.

  • I dati di diagnostica abilitati nel dispositivo potrebbero essere bloccati da un firewall dell'organizzazione e non raggiungere Microsoft.

  • Potrebbe essersi verificato un problema con il firmware nel dispositivo.

Nota Cosa significa essere "gestito da Microsoft"? Il sistema condivide i dati di diagnostica ed è gestito da Microsoft Cloud o Intune. 

Se il dispositivo non condivide dati di diagnostica con Microsoft ed è gestito dal reparto IT dell'organizzazione o dal cliente, il reparto IT può aggiornare i sistemi in base alle indicazioni di Microsoft sulla scadenza del certificato di avvio protetto di Windows e sugli aggiornamenti della CA.

Se il computer è gestito da Microsoft, i certificati di avvio protetto vengono aggiornati tramite Windows Update.  

Se il computer è gestito dall'organizzazione o dall'amministratore IT aziendale, il reparto IT ha i metodi per aggiornare il sistema seguendo le istruzioni per la scadenza del certificato di avvio protetto di Windows e gli aggiornamenti della CA

Windows 10 supporto termina il 14 ottobre 2025. Per ulteriori informazioni, vedi Windows 10 termine del supporto il 14 ottobre 2025

Per continuare a ricevere i Aggiornamenti di sicurezza dopo questa data, i clienti che restano in Windows 10 possono iscriversi per: 

Nota

  • Windows 10 Enterprise LTSC è disponibile per l'acquisto come SKU autonomo o come parte di un abbonamento a Windows Enterprise E3.

  • Windows IoT Enterprise LTSC può essere acquistato direttamente da un OEM o tramite una licenza fornitore come SKU autonomo.

Domande frequenti su Customer/IT Managed Systems Secure Boot

Esistono due percorsi possibili: 

  • Se il computer è gestito da Microsoft con dati di diagnostica condivisi e il sistema operativo è supportato, Microsoft tenterà di eseguire l'aggiornamento.

  • Se il dispositivo è gestito dal cliente o gestito da un amministratore IT, il reparto IT può applicare gli aggiornamenti nel set convalidato di computer in grado di eseguire in modo sicuro gli aggiornamenti in base alle indicazioni di Microsoft per la scadenza del certificato di avvio protetto di Windows e gli aggiornamenti della CA.

Questa procedura è prevista per la maggior parte dei clienti senza la necessità di un aggiornamento del firmware da parte degli OEM. In alcuni casi, tuttavia, gli aggiornamenti non si applicano a causa di problemi noti o sconosciuti del firmware del dispositivo. In questi casi, segui le indicazioni dell'OEM sugli aggiornamenti del firmware. 

Nota Il processo precedente applica le variabili attive di avvio protetto tramite il sistema operativo. I valori di Secure Boot Firmware Default vengono mantenuti nel firmware rilasciato dall'OEM. Le linee guida sono di non modificare o aggiornare la configurazione di avvio protetto a meno che l'OEM non abbia rilasciato un aggiornamento per modificare le impostazioni predefinite del firmware per i nuovi certificati.

 Se i certificati scadono, la protezione di avvio protetto viene degradata. Se il sistema soddisfa i requisiti per un sistema operativo più recente, ad esempio Windows 11, sarà possibile eseguire l'aggiornamento a una versione del sistema operativo più recente di Windows 11.  

Se Avvio protetto non è abilitato nei dispositivi Windows 10 LTSC, non sono inclusi nell'implementazione corrente per i nuovi certificati di avvio protetto. Quando si avvia l'aggiornamento a Windows 11 LTSC, sarà necessario seguire specifici passaggi di migrazione rilevanti in quel momento per assicurarsi che i nuovi certificati 2023 siano inclusi.

Solo le versioni supportate del sistema operativo Windows otterranno i certificati. 

Per Windows in esecuzione in un ambiente virtuale, esistono due metodi per aggiungere i nuovi certificati alle variabili del firmware di avvio protetto: 

  • Il creatore dell'ambiente virtuale (AWS, Azure, Hyper-V, VMware e così via) può fornire un aggiornamento per l'ambiente e includere i nuovi certificati nel firmware virtualizzato. Questo metodo funziona per i nuovi dispositivi virtualizzati.

  • Per Windows in esecuzione a lungo termine in una macchina virtuale, gli aggiornamenti possono essere applicati tramite Windows come qualsiasi altro dispositivo, se il firmware virtualizzato supporta gli aggiornamenti di avvio protetto.

Questi ambienti gestiti dal cliente/IT spesso mancano di dati diagnostici sufficienti per consentire a Microsoft di implementare in modo sicuro e sicuro nuove funzionalità. Inoltre, i reparti IT in genere preferiscono mantenere il controllo completo sui tempi e sui contenuti degli aggiornamenti per garantire conformità, stabilità e compatibilità con gli strumenti e i flussi di lavoro interni. Molti dispositivi aziendali operano anche in ambienti sensibili o con restrizioni in cui l'accesso esterno o la gestione, implicita dal cfr.

Se Windows usa già il boot manager con firma 2023, ma il firmware viene reimpostato su impostazioni predefinite che non includono il certificato CA 2023 UEFI di Windows, Avvio protetto bloccherà il processo di avvio. 

Per risolvere il problema, è necessario riapplicare il certificato 2023 al DB del firmware utilizzando l'applicazione di ripristino. Questa operazione viene eseguita creando un'USB di ripristino, quindi avviando il dispositivo interessato da tale USB per ripristinare il certificato mancante. 

Per istruzioni dettagliate, vedi le istruzioni ufficiali di Microsoft per l'aggiornamento dei supporti di installazione di Windows

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità