Scadenza del certificato di avvio protetto di Windows
Importante: I certificati di avvio sicuro usati dalla maggior parte dei dispositivi Windows scadranno a partire da giugno 2026. Ciò potrebbe influire sulla capacità di avvio sicuro di determinati dispositivi personali e aziendali se non vengono aggiornati in tempo. Per evitare interruzioni, è consigliabile esaminare le indicazioni e intervenire per aggiornare i certificati in anticipo.
Per informazioni dettagliate e i passaggi di preparazione, vedi Scadenza del certificato di avvio protetto di Windows e aggiornamenti dell'autorità di certificazione (CA).
Per informazioni dettagliate e i passaggi di preparazione per i server Windows, vedere le risorse seguenti:
Riepilogo
Questo articolo elenca i problemi di sicurezza e i miglioramenti qualitativi inclusi in questo aggiornamento cumulativo della sicurezza.
Si applica a: Aggiornamento della sicurezza estesa Windows 10
Importante: Usare EKB KB5015684 per eseguire l'aggiornamento a Windows 10, versione 22H2.
Questo aggiornamento della sicurezza include correzioni e miglioramenti qualitativi che fanno parte degli aggiornamenti seguenti:
Di seguito è riportato un riepilogo dei problemi che questo aggiornamento risolve durante l'installazione dell'aggiornamento. Se sono presenti nuove funzionalità, vengono elencate anche tali funzionalità. Il testo in grassetto racchiuso tra parentesi quadre indica l'elemento o l'area della modifica che stiamo documentando.
-
[Avvisi di sicurezza di Desktop remoto (problema noto)] Risolto: l'avviso di sicurezza di Connessione Desktop remoto potrebbe essere visualizzato in modo non corretto nelle configurazioni con più monitor con impostazioni di ridimensionamento dello schermo diverse. Questo problema può verificarsi dopo l'installazione dell'aggiornamento della sicurezza di Windows rilasciato il 14 aprile 2026 (KB5082200).
-
[Avvio protetto]
-
Questo aggiornamento abilita la creazione di rapporti di stato dinamici per gli stati di avvio protetto in Sicurezza di Windows app.
-
Con questo aggiornamento, gli aggiornamenti qualitativi di Windows includono ulteriori dati di destinazione del dispositivo ad alta probabilità, aumentando la copertura dei dispositivi idonei a ricevere automaticamente nuovi certificati di avvio protetto. I dispositivi ricevono i nuovi certificati solo dopo aver dimostrato un numero sufficiente di segnali di aggiornamento riusciti, mantenendo un'implementazione controllata e graduale.
-
-
[Ora legale] Aggiornamento per la Repubblica Araba d'Egitto per supportare l'ordine di modifica dell'ora legale del governo nel 2023.
Se hai installato aggiornamenti precedenti, nel tuo dispositivo verranno scaricati e installati solo i nuovi aggiornamenti contenuti in questo pacchetto.
Per altre informazioni sulle vulnerabilità della sicurezza, fai riferimento al nuovo sito Web della Guida sull'aggiornamento della sicurezza e al Aggiornamenti della sicurezza di maggio 2026.
Per informazioni sulla terminologia di Windows Update, vedi l'articolo sui tipi di aggiornamenti di Windows e sui tipi di aggiornamento qualitativo mensili. Per una panoramica di Windows 10, versione 22H2, vedi la relativa pagina della cronologia degli aggiornamenti.
Problemi noti in questo aggiornamento
-
È possibile che per immettere la chiave di ripristino di BitLocker sia necessaria una configurazione Criteri di gruppo BitLocker non consigliataSintomi
Al primo riavvio dopo l'installazione di questo aggiornamento, alcuni dispositivi con una configurazione non consigliata dei criteri di gruppo di BitLocker potrebbero dover inserire la chiave di ripristino di BitLocker.
Questo problema interessa solo un numero limitato di sistemi in cui si verificano TUTTE le condizioni seguenti. È improbabile che queste condizioni si trovino nei dispositivi personali non gestiti dai reparti IT.
-
BitLocker è abilitato nell'unità del sistema operativo.
-
I criteri di gruppo "Configura il profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" e configurato e PCR7 è incluso nel profilo di convalida (o la chiave del Registro di sistema equivalente è impostata manualmente).
-
System Information (msinfo32.exe) segnala Secure Boot State PCR7 Binding come "Non possibile".
-
Il certificato CA 2023 UEFI di Windows è presente nel database della firma di avvio protetto del dispositivo, rendendo il dispositivo idoneo per l'impostazione predefinita di Windows Boot Manager con firma 2023.
-
Il dispositivo non esegue ancora Windows Boot Manager con firma 2023.
In questo scenario, la chiave di ripristino di BitLocker deve essere immessa una sola volta. I riavvii successivi non attiveranno una schermata di ripristino di BitLocker, purché la configurazione di Criteri di gruppo rimanga invariata. Per informazioni su come trovare la chiave di ripristino di BitLocker, vedi Trovare la chiave di ripristino di BitLocker.
È consigliabile che le aziende controllino i criteri di gruppo di BitLocker per l'inclusione esplicita di PCR7 e verifichino msinfo32.exe per lo stato di associazione PCR7 prima di installare questo aggiornamento.
Risoluzione
Microsoft sta lavorando per risolvere questo problema e fornirà altre informazioni quando saranno disponibili.
Per risolvere temporaneamente questo problema, rimuovere la configurazione di Criteri di gruppo prima di installare l'aggiornamento (scelta consigliata)
-
Apri l'editor di Criteri di gruppo (gpedit.msc) o la console Gestione Criteri di gruppo.
-
Passa a: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo.
-
Imposta "Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" su "Non configurato".
-
Usa il comando seguente nei dispositivi interessati per propagare la modifica dei criteri: gpupdate /force
-
Usa il comando seguente per sospendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:
-
Usa il comando seguente per riprendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -enable C:
-
In questo modo, le associazioni BitLocker vengono aggiornate in modo da utilizzare il profilo PCR predefinito selezionato da Windows.
-
Si applica a: Windows 10 Enterprise LTSC 2021 e Windows 10 IoT Enterprise LTSC 2021
Importante: Usare EKB KB5003791 per eseguire l'aggiornamento a Windows 10, versione 21H2 nelle edizioni supportate.
Questo aggiornamento della sicurezza include correzioni e miglioramenti qualitativi che fanno parte degli aggiornamenti seguenti:
Di seguito è riportato un riepilogo dei problemi che questo aggiornamento risolve durante l'installazione dell'aggiornamento. Se sono presenti nuove funzionalità, vengono elencate anche tali funzionalità. Il testo in grassetto racchiuso tra parentesi quadre indica l'elemento o l'area della modifica che stiamo documentando.
-
[Avvisi di sicurezza di Desktop remoto (problema noto)] Risolto: l'avviso di sicurezza di Connessione Desktop remoto potrebbe essere visualizzato in modo non corretto nelle configurazioni con più monitor con impostazioni di ridimensionamento dello schermo diverse. Questo problema può verificarsi dopo l'installazione dell'aggiornamento della sicurezza di Windows rilasciato il 14 aprile 2026 (KB5082200).
-
[Avvio protetto]
-
Questo aggiornamento abilita la creazione di rapporti di stato dinamici per gli stati di avvio protetto in Sicurezza di Windows app.
-
Con questo aggiornamento, gli aggiornamenti qualitativi di Windows includono ulteriori dati di destinazione del dispositivo ad alta probabilità, aumentando la copertura dei dispositivi idonei a ricevere automaticamente nuovi certificati di avvio protetto. I dispositivi ricevono i nuovi certificati solo dopo aver dimostrato un numero sufficiente di segnali di aggiornamento riusciti, mantenendo un'implementazione controllata e graduale.
-
-
[Ora legale] Aggiornamento per la Repubblica Araba d'Egitto per supportare l'ordine di modifica dell'ora legale del governo nel 2023.
Se hai installato aggiornamenti precedenti, nel tuo dispositivo verranno scaricati e installati solo i nuovi aggiornamenti contenuti in questo pacchetto.
Per altre informazioni sulle vulnerabilità della sicurezza, fai riferimento al nuovo sito Web della Guida sull'aggiornamento della sicurezza e al Aggiornamenti della sicurezza di maggio 2026.
Per informazioni sulla terminologia di Windows Update, vedi l'articolo sui tipi di aggiornamenti di Windows e sui tipi di aggiornamento qualitativo mensili. Per una panoramica di Windows 10, versione 22H2, vedi la relativa pagina della cronologia degli aggiornamenti.
Problemi noti in questo aggiornamento
-
È possibile che per immettere la chiave di ripristino di BitLocker sia necessaria una configurazione Criteri di gruppo BitLocker non consigliataSintomi
Al primo riavvio dopo l'installazione di questo aggiornamento, alcuni dispositivi con una configurazione non consigliata dei criteri di gruppo di BitLocker potrebbero dover inserire la chiave di ripristino di BitLocker.
Questo problema interessa solo un numero limitato di sistemi in cui si verificano TUTTE le condizioni seguenti. È improbabile che queste condizioni si trovino nei dispositivi personali non gestiti dai reparti IT.
-
BitLocker è abilitato nell'unità del sistema operativo.
-
I criteri di gruppo "Configura il profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" e configurato e PCR7 è incluso nel profilo di convalida (o la chiave del Registro di sistema equivalente è impostata manualmente).
-
System Information (msinfo32.exe) segnala Secure Boot State PCR7 Binding come "Non possibile".
-
Il certificato CA 2023 UEFI di Windows è presente nel database della firma di avvio protetto del dispositivo, rendendo il dispositivo idoneo per l'impostazione predefinita di Windows Boot Manager con firma 2023.
-
Il dispositivo non esegue ancora Windows Boot Manager con firma 2023.
In questo scenario, la chiave di ripristino di BitLocker deve essere immessa una sola volta. I riavvii successivi non attiveranno una schermata di ripristino di BitLocker, purché la configurazione di Criteri di gruppo rimanga invariata. Per informazioni su come trovare la chiave di ripristino di BitLocker, vedi Trovare la chiave di ripristino di BitLocker.
È consigliabile che le aziende controllino i criteri di gruppo di BitLocker per l'inclusione esplicita di PCR7 e verifichino msinfo32.exe per lo stato di associazione PCR7 prima di installare questo aggiornamento.
Risoluzione
Microsoft sta lavorando per risolvere questo problema e fornirà altre informazioni quando saranno disponibili.
Per risolvere temporaneamente questo problema, rimuovere la configurazione di Criteri di gruppo prima di installare l'aggiornamento (scelta consigliata)
-
Apri l'editor di Criteri di gruppo (gpedit.msc) o la console Gestione Criteri di gruppo.
-
Passa a: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo.
-
Imposta "Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" su "Non configurato".
-
Usa il comando seguente nei dispositivi interessati per propagare la modifica dei criteri: gpupdate /force
-
Usa il comando seguente per sospendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:
-
Usa il comando seguente per riprendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -enable C:
-
In questo modo, le associazioni BitLocker vengono aggiornate in modo da utilizzare il profilo PCR predefinito selezionato da Windows.
-
Aggiornamento dello stack di manutenzione Windows 10 (KB5084130) - versione 19041.7183
Microsoft ora combina l'ultimo aggiornamento dello stack di manutenzione per il sistema operativo con l'aggiornamento cumulativo più recente. Gli aggiornamenti dello stack di manutenzione migliorano l'affidabilità del processo e includono correzioni allo stack di manutenzione, il componente che installa gli aggiornamenti di Windows.
Nota: Questo aggiornamento dello stack di manutenzione include logica avanzata per verificare se un dispositivo è ospitato in Azure, sfruttando una catena di certificati aggiornata per la convalida. Per assicurarsi che il dispositivo possa accedere ai domini di aggiornamento dei certificati necessari per scaricare e installare correttamente gli aggiornamenti dei certificati, vedere Elenchi di download e revoche di certificati e Azure dettagli dell'autorità di certificazione. Per ulteriori informazioni sugli aggiornamenti degli stack di manutenzione, vedi Aggiornamenti dello stack di manutenzione.
Come ottenere l'aggiornamento
Prima di installare questo aggiornamento
Importante Devi avere installato l'aggiornamento dello stack di manutenzione più recente. Se non installi l'aggiornamento dello stack di manutenzione più recente prima di applicare gli aggiornamenti di Windows, l'aggiornamento di Windows potrebbe non essere disponibile finché non viene installato l'aggiornamento dello stack di manutenzione più recente.
Distribuzione
Se distribuisci questo aggiornamento, scegli una delle opzioni seguenti in base allo scenario di installazione:
Per la manutenzione delle immagini del sistema operativo offline
-
Se l'immagine non dispone dell'aggiornamento cumulativo più recente del 25 luglio 2023 (KB5028244) o successivo, è necessario installare lo speciale aggiornamento dello stack di manutenzione autonomo del 13 ottobre 2023 (KB5031539) prima di installare questo aggiornamento.
Per la distribuzione di Windows Server Update Services (WSUS) o durante l'installazione del pacchetto autonomo da Microsoft Update Catalog
Scarica e installa questo aggiornamento
Per ottenere e installare questo aggiornamento, usa uno dei seguenti canali di rilascio Windows e Microsoft.
|
Disponibile |
Fase successiva |
|
|
Questo aggiornamento verrà scaricato e installato automaticamente tramite Windows Update. |
|
Disponibile |
Fase successiva |
|
|
Questo aggiornamento verrà scaricato e installato automaticamente da Windows Update for Business in conformità ai criteri configurati. |
|
Disponibile |
Fase successiva |
|
|
Per scaricare il pacchetto autonomo per questo aggiornamento, vai al sito Web Microsoft Update Catalog . Per informazioni su come scaricare e installare gli aggiornamenti dal Catalogo aggiornamenti, vedi Come scaricare gli aggiornamenti che includono driver e aggiornamenti rapidi da Windows Update Catalog. |
|
Disponibile |
Fase successiva |
|
|
Questo aggiornamento verrà sincronizzato automaticamente con Windows Server Update Services (WSUS) se configuri Prodotti e classificazioni nel modo seguente:
Per configurare il server WSUS per la sincronizzazione in base a prodotti e classificazioni, vedere Sincronizzazione dell'aggiornamento per prodotto e classificazione. Per importare manualmente gli aggiornamenti in WSUS, vedi Importare gli aggiornamenti in WSUS tramite PowerShell. |
Informazioni sui file
Un elenco dei file inclusi in questo aggiornamento viene fornito in un file CSV (delimitato da virgole) (*.csv). Il file può essere aperto in un editor di testo, ad esempio blocco note o in Microsoft Excel.
Nota: La versione inglese (Stati Uniti) di questo aggiornamento software potrebbe contenere file per altre lingue.
Informazioni correlate
Se vuoi rimuovere questo aggiornamento
ATTENZIONE Prima di decidere di rimuovere questo aggiornamento, vedi Informazioni sui rischi: perché non è consigliabile disinstallare gli aggiornamenti della sicurezza.
Per rimuovere l'aggiornamento cumulativo più recente dopo l'installazione del pacchetto combinato SSU e LCU, usare l'opzione della riga di comando DISM/Remove-Package con il nome del pacchetto LCU come argomento. Puoi trovare il nome del pacchetto utilizzando questo comando: DISM /online /get-packages.
L'esecuzione di Windows Update programma di installazione autonomo (wusa.exe) con l'opzione /uninstall nel pacchetto combinato non funzionerà perché il pacchetto combinato contiene l'aggiornamento dello stack di manutenzione. Non è possibile rimuovere l'aggiornamento dello stack di manutenzione dal sistema dopo l'installazione.
Avviso per gli aggiornamenti delle applicazioni di Microsoft Store
Gli aggiornamenti di Windows non installano gli aggiornamenti delle applicazioni di Microsoft Store. Se sei un utente aziendale, vedi App di Microsoft Store - Configuration Manager. Se sei un utente consumer, vedi Ottenere aggiornamenti per app e giochi in Microsoft Store.
Informazioni sulla fine del supporto
Fine del supporto di Windows 10, versioni 21H2/22H2 e Windows 10 Enterprise LTSC 2021
Microsoft non fornirà più aggiornamenti software gratuiti da Windows Update, assistenza tecnica o correzioni per la sicurezza dopo le date di fine seguenti:
♦ Windows 10, versione 21H2: il supporto è terminato il 13 giugno 2023
♦ Windows 10, versione 22H2: il supporto è terminato il 14 ottobre 2025
♦ Windows 10 Enterprise LTSC 2021: 12 gennaio 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13 gennaio 2032
Nota: Per continuare a ricevere aggiornamenti della sicurezza importanti e critici per Windows 10, vedi Aggiornamento della sicurezza estesa (ESU) di Windows 10. In alternativa, è preferibile eseguire l'aggiornamento a una versione successiva di Windows.
