Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data di pubblicazione originale: 30 ottobre 2025

ID KB: 5068198

Questo articolo contiene indicazioni per: 

  • Organizzazioni che hanno un reparto IT che gestisce i dispositivi e gli aggiornamenti di Windows.

Nota: se sei un utente proprietario di un dispositivo Windows personale, vedi l'articolo Dispositivi Windows per utenti privati, aziende e istituti di istruzione con aggiornamenti gestiti da Microsoft

Disponibilità di questo supporto

  • 14 ottobre 2025: le versioni supportate includono Windows 10, versione 22H2 e versioni più recenti (tra cui 21H2 LTSC), tutte le versioni supportate di Windows 11 e Windows Server 2022 e successive.

  • 11 novembre 2025: per le versioni di Windows ancora supportate.

Modifica data

Cambia descrizione

11 novembre 2025

  • Il collegamento del client è stato aggiornato in "Risorse" da - "https://www.microsoft.com/download/details.aspx?id=108394" a "www.microsoft.com/en-us/download/details.aspx?id=108428".

  • La data di pubblicazione è stata modificata dal 29/9/2025 al 27/10/2025

26 novembre 2025

  • Aggiunta una nuova nota in "Distribuzione automatica dei certificati tramite Aggiornamenti".

  • Invertiva le definizioni di Abilitato e Disabilitato in "Distribuzione automatica dei certificati tramite Aggiornamenti".

In questo articolo:

Introduzione

Questo documento descrive il supporto per la distribuzione, la gestione e il monitoraggio degli aggiornamenti del certificato di avvio protetto tramite l'oggetto secure boot Criteri di gruppo. Le impostazioni sono costituite da: 

  • Possibilità di attivare la distribuzione in un dispositivo

  • Impostazione per acconsentire esplicitamente o rifiutare esplicitamente i contenitori con alta probabilità

  • Impostazione per acconsentire esplicitamente o rifiutare esplicitamente la gestione degli aggiornamenti da parte di Microsoft

Metodo di configurazione oggetto Criteri di gruppo (GPO)

Questo metodo offre una semplice impostazione di avvio protetto Criteri di gruppo che gli amministratori di dominio possono impostare per distribuire gli aggiornamenti di avvio protetto in tutti i client e i server Windows aggiunti a un dominio. Inoltre, due secure boot assist possono essere gestiti con impostazioni di consenso esplicito/rifiuto esplicito. 

Per ottenere gli aggiornamenti che includono i criteri per la distribuzione degli aggiornamenti del certificato di avvio protetto, vedere la sezione Risorse di seguito.

Questo criterio è disponibile nel percorso seguente nell'interfaccia utente di Criteri di gruppo: 

           Modelli amministrativi di configurazione >computer >componenti di Windows- >avvio protetto 

Importante: Gli aggiornamenti di Avvio protetto dipendono dal firmware del dispositivo e alcuni dispositivi potrebbero riscontrare problemi di compatibilità. Per garantire un'implementazione sicura:

  1. Convalidare i criteri di aggiornamento su almeno un dispositivo rappresentativo per ogni tipo di dispositivo nell'organizzazione.

  2. Verifica che i certificati di avvio protetto vengano applicati correttamente a UEFI DB e KEK. Per la procedura dettagliata, vedi Aggiornamenti del certificato di avvio protetto: linee guida per professionisti IT e organizzazioni.

  3. Dopo la convalida, raggruppare i dispositivi in base all'hash del bucket e applicare i criteri a tali dispositivi per un'implementazione controllata.

Impostazioni di configurazione disponibili 

Immagine

Le tre impostazioni disponibili per la distribuzione del certificato di avvio protetto sono descritte qui. Queste impostazioni corrispondono alle chiavi del Registro di sistema descritte in Aggiornamenti delle chiavi del Registro di sistema per avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT

Abilitare la distribuzione del certificato di avvio protetto 

nome impostazione Criteri di gruppo: Abilita distribuzione del certificato di avvio protetto 

Immagini

Descrizione: Questo criterio controlla se Windows avvia il processo di distribuzione del certificato di avvio protetto nei dispositivi. 

  • Abilitato: Windows inizia automaticamente la distribuzione dei certificati di avvio protetto aggiornati dopo l'esecuzione dell'attività Avvio protetto.

  • Disabilitato: Windows non distribuisce automaticamente i certificati.

  • Non configurato: si applica il comportamento predefinito (nessuna distribuzione automatica).

Note: 

  • L'attività che elabora questa impostazione viene eseguita ogni 12 ore. Alcuni aggiornamenti potrebbero richiedere un riavvio per il completamento in modo sicuro.

  • Una volta applicati al firmware, i certificati non possono essere rimossi da Windows. La cancellazione dei certificati deve essere eseguita tramite l'interfaccia firmware.

  • Questa impostazione è considerata una preferenza; se l'oggetto Criteri di gruppo viene rimosso, il valore del Registro di sistema rimane.

  • Corrisponde alla chiave del Registro di sistema AvailableUpdates.

Distribuzione automatica dei certificati tramite Aggiornamenti 

nome impostazione Criteri di gruppo: Distribuzione automatica certificati tramite Aggiornamenti 

Immagini.

Descrizione: Questo criterio controlla se gli aggiornamenti del certificato di avvio protetto vengono applicati automaticamente tramite gli aggiornamenti mensili della sicurezza e non relativi alla sicurezza di Windows. I dispositivi che Microsoft ha convalidato come in grado di elaborare gli aggiornamenti delle variabili di Avvio protetto riceveranno questi aggiornamenti nell'ambito della manutenzione cumulativa e li applicherà automaticamente. 

Nota: L'abilitazione di questo criterio disabilita la distribuzione automatica dei certificati tramite Aggiornamenti. Equivale a impostare la chiave del Registro di sistema HighConfidenceOptOut su 1.Se si disabilita questo criterio, viene attivata la distribuzione automatica dei certificati tramite Aggiornamenti, che equivale a impostare HighConfidenceOptOut su 0.

  • Abilitato: la distribuzione automatica è bloccata; gli aggiornamenti devono essere gestiti manualmente.

  • Disabilitato: i dispositivi con risultati di aggiornamento convalidati riceveranno automaticamente gli aggiornamenti dei certificati durante la manutenzione.

  • Non configurata: la distribuzione automatica viene eseguita per impostazione predefinita.

Note: 

  • Dispositivi previsti confermati per l'elaborazione degli aggiornamenti correttamente.

  • Configurare questo criterio per scegliere la distribuzione automatica.

  • Corrisponde alla chiave del Registro di sistema HighConfidenceOptOut.

Distribuzione dei certificati tramite implementazione di funzionalità controllate 

Criteri di gruppo nome dell'impostazione: Distribuzione dei certificati tramite implementazione di caratteristiche controllate 

immagine

Descrizione: Questo criterio consente alle aziende di partecipare all'implementazione di una funzionalità controllata dell'aggiornamento del certificato di avvio protetto gestito da Microsoft.

  • Abilitato: Microsoft assiste nella distribuzione dei certificati ai dispositivi registrati nell'implementazione.

  • Disabilitato o Non configurato: nessuna partecipazione all'implementazione controllata.

Requisiti

Risorse

Vedi anche Aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT per informazioni dettagliate su UEFICA2023Status e UEFICA2023Chiavi del Registro di sistema per il monitoraggio dei risultati del dispositivo. 

Vedi Eventi di aggiornamento delle variabili DB e DBX di avvio protetto per gli eventi utili per comprendere lo stato di dispositivi, attributi del dispositivo e ID bucket di dispositivi. Presta particolare attenzione agli eventi 1801 e 1808 descritti nella pagina degli eventi. 

Per i Criteri di gruppo msi e il foglio di calcolo di riferimento per le impostazioni di Criteri di gruppo, usare i collegamenti seguenti o assicurarsi che i modelli amministrativi usati siano pubblicati in o dopo le date elencate nella tabella. 

Piattaforma

MSI pubblicato

Foglio di calcolo di riferimento per le impostazioni dei criteri di gruppo pubblicato

Client

Scarica i modelli amministrativi (admx) per l'aggiornamento di Windows 11 2025 (25H2) - V2.0 dal sito Ufficiale Microsoft

Data di pubblicazione: 27/10/2025

Scarica Criteri di gruppo foglio di calcolo di riferimento delle impostazioni per l'aggiornamento di Windows 11 2025 (25H2) - V2.0 dal sito Ufficiale Microsoft

Data di pubblicazione: 2/10/2025

Server

Scarica modelli amministrativi (admx) per Windows Server 2025 (versione del 25 ottobre) dal sito Ufficiale Microsoft

Data di pubblicazione: 27/10/2025

Scarica Criteri di gruppo foglio di calcolo di riferimento per le impostazioni per Windows Server 2025 (versione del 25 ottobre) dal sito Ufficiale Microsoft

Data di pubblicazione: 27/10/2025
Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità