Domande frequenti sul processo di aggiornamento di Avvio protetto

Dopo la scadenza dei certificati di avvio protetto, i dispositivi che non hanno ricevuto i certificati 2023 più recenti continueranno a funzionare normalmente e gli aggiornamenti standard di Windows continueranno a essere installati. Tuttavia, questi dispositivi non saranno più in grado di ricevere nuove protezioni di sicurezza per il processo di avvio anticipato, inclusi gli aggiornamenti di Windows Boot Manager, database di avvio protetto, elenchi di revoche o misure di prevenzione per le vulnerabilità del livello di avvio individuate di recente. 

Nel corso del tempo, questo limita la protezione del dispositivo dalle minacce emergenti e può influire sugli scenari che si basano sull'attendibilità di avvio protetto, ad esempio la protezione avanzata bitLocker o bootloader di terze parti. La maggior parte dei dispositivi Windows riceverà automaticamente i certificati aggiornati e molti OEM hanno fornito aggiornamenti del firmware quando necessario. Mantenere il dispositivo aggiornato con questi aggiornamenti assicura che possa continuare a ricevere il set completo di protezioni di sicurezza che Secure Boot è progettato per fornire.

È consigliabile aggiornare i certificati di avvio protetto ben prima della data di scadenza di giugno 2026. 

Se il tuo dispositivo è gestito da Microsoft e condividi dati di diagnostica con Microsoft, Microsoft tenterà di aggiornare automaticamente i certificati di avvio protetto nella maggior parte dei casi. Anche se Microsoft farà del suo meglio per aggiornare Avvio protetto, ci saranno alcune situazioni in cui l'aggiornamento non è garantito per l'applicazione e richiederà un'azione del cliente. Il cliente è in ultima analisi responsabile dell'aggiornamento dei certificati di avvio protetto. 

Esempi di situazioni in cui i dispositivi gestiti da Microsoft con dati di diagnostica abilitati potrebbero non ricevere aggiornamenti:

• Gli aggiornamenti di Microsoft Secure Boot si applicano solo ad alcune versioni in supporto di Windows.

• I dati di diagnostica abilitati nel dispositivo potrebbero essere bloccati da un firewall dell'organizzazione e non raggiungere Microsoft.

• Potrebbe essersi verificato un problema con il firmware del dispositivo.

Nota Cosa significa essere "gestito da Microsoft"? Il sistema condivide i dati di diagnostica ed è gestito da Microsoft Cloud o Intune. 

Se il dispositivo non condivide dati di diagnostica con Microsoft ed è gestito dal reparto IT dell'organizzazione o dal cliente, il reparto IT può aggiornare i sistemi in base alle indicazioni di Microsoft sulla scadenza del certificato di avvio protetto di Windows e sugli aggiornamenti della CA.

Se il computer è gestito da Microsoft, i certificati di avvio protetto vengono aggiornati tramite Windows Update.  

Se il computer è gestito dall'organizzazione o dall'amministratore IT aziendale, il reparto IT ha i metodi per aggiornare il sistema seguendo le istruzioni per la scadenza del certificato di avvio protetto di Windows e gli aggiornamenti della CA. 

Windows 10 supporto termina il 14 ottobre 2025. Per ulteriori informazioni, vedi Windows 10 termine del supporto il 14 ottobre 2025. 

Per continuare a ricevere i Aggiornamenti di sicurezza dopo questa data, i clienti che restano in Windows 10 possono iscriversi per: 

• Il programma Windows 10 Extended Security Aggiornamenti (ESU), vedi programma Windows 10 Extended Security Aggiornamenti (ESU)

• In alternativa, se hai una versione LTSC supportata di Windows 10, continuerà a ottenere Security Aggiornamenti fino alla data di scadenza di LTSC. Ad esempio, vedi Programma di Aggiornamenti sicurezza estesa per Windows 10

Nota

• Windows 10 Enterprise LTSC è disponibile per l'acquisto come SKU autonomo o come parte di un abbonamento a Windows Enterprise E3.

• Windows IoT Enterprise LTSC può essere acquistato direttamente da un OEM o tramite una licenza fornitore come SKU autonomo.

I certificati di avvio protetto consentono al firmware di verificare che i componenti critici, ad esempio i boot manager, le ROM (driver del firmware) e altri software basati su firmware, siano considerati attendibili e non siano stati manomessi. Microsoft utilizza questi certificati per firmare i responsabili di avvio e altri componenti che devono essere considerati attendibili, nonché gli aggiornamenti di avvio protetto. Quando i certificati meno recenti scadono, non possono più essere usati per firmare nuovi componenti o aggiornamenti.

I dispositivi con avvio protetto disabilitato non riceveranno i nuovi certificati di avvio protetto nel firmware. Di conseguenza, rimarranno vulnerabili al malware a livello di avvio, ad esempio bootkit, perché le protezioni di avvio protetto non sono applicate. 

Per i dispositivi idonei, ad esempio quelli che ricevono aggiornamenti cumulativi tramite una distribuzione basata sulla probabilità o registrati nell'implementazione delle funzionalità controllate con i dati di diagnostica abilitati, Microsoft tenterà di aggiornare tutti i certificati applicabili. Tuttavia, questi aggiornamenti vengono forniti come assistenza, non come garanzia. Gli amministratori IT continuano a essere responsabili di garantire l'aggiornamento dell'intera flotta, utilizzando il cfr automatizzato di Microsoft e altri metodi di distribuzione documentati.IT administrators remain responsible for ensuring their entire fleet is updated, using Microsoft automated CFR and other documented deployment methods.

I certificati sono stati inclusi negli aggiornamenti cumulativi (LCU) del 13 maggio 2025 e versioni successive. Tuttavia, non vengono applicati automaticamente sono necessari passaggi aggiuntivi. Per indicazioni sulla distribuzione, vedere https://aka.ms/getsecureboot.

Servono scopi diversi.

Gli aggiornamenti del firmware possono aggiornare le variabili predefinite di avvio protetto archiviate nel firmware. Ciò è utile principalmente se le impostazioni di avvio protetto vengono in seguito reimpostate alle impostazioni predefinite perché le impostazioni predefinite del firmware determinano quali certificati vengono ripristinati in tale scenario.

Windows applica le modifiche alle variabili di avvio protetto attive applicate durante l'avvio normale. Queste variabili attive sono ciò che il firmware usa per convalidare i componenti di avvio e su cosa si basa Windows per offrire future protezioni di avvio protetto.

In pratica, Windows è responsabile di mantenere attiva la configurazione di avvio protetto. Gli aggiornamenti del firmware assicurano che vengano aggiornati anche i valori predefiniti, riducendo il rischio che l'avvio protetto venga reimpostato o reinizializzato in futuro.

Gli amministratori devono assicurarsi che le variabili di avvio protetto attive vengano aggiornate e monitorano lo stato della distribuzione, indipendentemente dalla disponibilità di aggiornamenti del firmware.

Esistono due percorsi possibili: 

• Se il computer è gestito da Microsoft con dati di diagnostica condivisi e il sistema operativo è supportato, Microsoft tenterà di eseguire l'aggiornamento.

• Se il dispositivo è gestito dal cliente o gestito da un amministratore IT, il reparto IT può applicare gli aggiornamenti nel set convalidato di computer in grado di eseguire in modo sicuro gli aggiornamenti in base alle indicazioni di Microsoft per la scadenza del certificato di avvio protetto di Windows e gli aggiornamenti della CA.

Questa procedura è prevista per la maggior parte dei clienti senza la necessità di un aggiornamento del firmware da parte degli OEM. In alcuni casi, tuttavia, gli aggiornamenti non si applicano a causa di problemi noti o sconosciuti del firmware del dispositivo. In questi casi, segui le indicazioni dell'OEM sugli aggiornamenti del firmware. 

Nota Il processo precedente applica le variabili attive di avvio protetto tramite il sistema operativo. I valori di Secure Boot Firmware Default vengono mantenuti nel firmware rilasciato dall'OEM. Le linee guida sono di non modificare o aggiornare la configurazione di avvio protetto a meno che l'OEM non abbia rilasciato un aggiornamento per modificare le impostazioni predefinite del firmware per i nuovi certificati.

 Se i certificati scadono, la protezione di avvio protetto viene degradata. Se il sistema soddisfa i requisiti per un sistema operativo più recente, ad esempio Windows 11, sarà possibile eseguire l'aggiornamento a una versione del sistema operativo più recente di Windows 11.  

Se Avvio protetto non è abilitato nei dispositivi Windows 10 LTSC, non sono inclusi nell'implementazione corrente per i nuovi certificati di avvio protetto. Quando si avvia l'aggiornamento a Windows 11 LTSC, sarà necessario seguire specifici passaggi di migrazione rilevanti in quel momento per assicurarsi che i nuovi certificati 2023 siano inclusi.

Solo le versioni supportate del sistema operativo Windows otterranno i certificati. 

Per Windows in esecuzione in un ambiente virtuale, esistono due metodi per aggiungere i nuovi certificati alle variabili del firmware di avvio protetto: 

• Il creatore dell'ambiente virtuale (AWS, Azure, Hyper-V, VMware e così via) può fornire un aggiornamento per l'ambiente e includere i nuovi certificati nel firmware virtualizzato. Questo metodo funziona per i nuovi dispositivi virtualizzati.

• Per Windows in esecuzione a lungo termine in una macchina virtuale, gli aggiornamenti possono essere applicati tramite Windows come qualsiasi altro dispositivo, se il firmware virtualizzato supporta gli aggiornamenti di avvio protetto.

Questi ambienti gestiti dal cliente/IT spesso mancano di dati diagnostici sufficienti per consentire a Microsoft di implementare in modo sicuro e sicuro nuove funzionalità. Inoltre, i reparti IT in genere preferiscono mantenere il controllo completo sui tempi e sui contenuti degli aggiornamenti per garantire conformità, stabilità e compatibilità con gli strumenti e i flussi di lavoro interni. Molti dispositivi aziendali operano anche in ambienti sensibili o con restrizioni in cui l'accesso esterno o la gestione, implicita dal cfr.

Se Windows usa già il boot manager con firma 2023, ma il firmware viene reimpostato su impostazioni predefinite che non includono il certificato CA 2023 UEFI di Windows, Avvio protetto bloccherà il processo di avvio. 

Per risolvere il problema, è necessario riapplicare il certificato 2023 al DB del firmware utilizzando l'applicazione di ripristino. Questa operazione viene eseguita creando un'USB di ripristino, quindi avviando il dispositivo interessato da tale USB per ripristinare il certificato mancante. 

Per istruzioni dettagliate, vedi le istruzioni ufficiali di Microsoft per l'aggiornamento dei supporti di installazione di Windows. 

​​​​​​​Sì. Gli aggiornamenti cumulativi che contengono i nuovi certificati di avvio protetto possono comunque essere applicati anche se i certificati esistenti sono scaduti. Se il dispositivo è in grado di avviare Windows e installare gli aggiornamenti, i certificati aggiornati possono essere scritti nel firmware seguendo le istruzioni di distribuzione pubblicate. La maggior parte dei dispositivi riceverà questi aggiornamenti automaticamente, ma alcuni sistemi potrebbero richiedere ulteriori aggiornamenti del firmware.