Scadenza del certificato di avvio protetto di Windows
Importante: I certificati di avvio sicuro usati dalla maggior parte dei dispositivi Windows scadranno a partire da giugno 2026. Ciò potrebbe influire sulla capacità di avvio sicuro di determinati dispositivi personali e aziendali se non vengono aggiornati in tempo. Per evitare interruzioni, è consigliabile esaminare le indicazioni e intervenire per aggiornare i certificati in anticipo.
Per informazioni dettagliate e i passaggi di preparazione, vedi Scadenza del certificato di avvio protetto di Windows e aggiornamenti dell'autorità di certificazione (CA).
Per informazioni dettagliate e i passaggi di preparazione per i server Windows, vedere le risorse seguenti:
|
Modifica data |
Modificare la descrizione |
|
14 aprile 2026 |
Aggiunto un problema noto: "Per immettere la chiave di ripristino di BitLocker potrebbero essere necessari dispositivi con una configurazione di BitLocker non consigliata Criteri di gruppo" |
Riepilogo
Questo articolo elenca i problemi di sicurezza e i miglioramenti della qualità inclusi in questo aggiornamento della sicurezza.
Si applica a: Aggiornamento della sicurezza estesa Windows 10
Importante: Usare EKB KB5015684 per eseguire l'aggiornamento a Windows 10, versione 22H2.
Questo aggiornamento della sicurezza include correzioni e miglioramenti qualitativi che fanno parte degli aggiornamenti seguenti:
Di seguito è riportato un riepilogo dei problemi che questo aggiornamento risolve durante l'installazione dell'aggiornamento. Se sono presenti nuove funzionalità, vengono elencate anche tali funzionalità. Il testo in grassetto racchiuso tra parentesi quadre indica l'elemento o l'area della modifica che stiamo documentando.
-
[Accesso] Risolto: dopo l'installazione dell'aggiornamento di Windows rilasciato dopo il 10 marzo 2026 incluso, alcuni utenti potrebbero riscontrare un problema di accesso alle app con un account Microsoft. Anche quando il dispositivo dispone di una connessione Internet funzionante, durante l'accesso viene visualizzato un errore "Nessun Internet" che impedisce l'accesso a app e servizi Microsoft come Microsoft Teams.
-
[Desktop remoto] Questo aggiornamento migliora la protezione da attacchi di phishing che usano file di Desktop remoto (RDP). Quando apri un file con estensione rdp, Desktop remoto mostra tutte le impostazioni di connessione richieste prima della connessione, con ogni impostazione disattivata per impostazione predefinita. La prima volta che si apre un file RDP in un dispositivo viene visualizzato anche un avviso di sicurezza una tantum. Per altre informazioni, vedi Informazioni sugli avvisi di sicurezza all'apertura di file di Desktop remoto .
-
[Avvio protetto]
-
Questo aggiornamento abilita la creazione di rapporti di stato dinamici per gli stati di avvio protetto nell'app Sicurezza di Windows (impostazioni > aggiornamento &sicurezza > Sicurezza di Windows). Scopri di più sugli avvisi di stato tramite badge e notifiche. Tieni presente che questi miglioramenti sono disabilitati per impostazione predefinita nei dispositivi commerciali e nei server.
-
Questo aggiornamento risolve un problema a causa del quale un dispositivo potrebbe accedere a Ripristino BitLocker dopo l'aggiornamento di Avvio protetto.
-
Con questo aggiornamento, gli aggiornamenti qualitativi di Windows includono ulteriori dati di destinazione del dispositivo ad alta probabilità, aumentando la copertura dei dispositivi idonei a ricevere automaticamente nuovi certificati di avvio protetto. I dispositivi ricevono i nuovi certificati solo dopo aver dimostrato un numero sufficiente di segnali di aggiornamento riusciti, mantenendo un'implementazione controllata e graduale.
-
Se hai installato aggiornamenti precedenti, nel tuo dispositivo verranno scaricati e installati solo i nuovi aggiornamenti contenuti in questo pacchetto.
Per altre informazioni sulle vulnerabilità della sicurezza, fai riferimento al nuovo sito Web della Guida sull'aggiornamento della sicurezza e al Aggiornamenti della sicurezza di aprile 2026.
Per informazioni sulla terminologia di Windows Update, vedi l'articolo sui tipi di aggiornamenti di Windows e sui tipi di aggiornamento qualitativo mensili. Per una panoramica di Windows 10, versione 22H2, vedi la relativa pagina della cronologia degli aggiornamenti.
Nota:Segui @WindowsUpdate per scoprire quando vengono pubblicati nuovi contenuti nel dashboard integrità delle versioni di Windows.
Problemi noti in questo aggiornamento
Sintomo
Per immettere la chiave di ripristino di BitLocker al primo riavvio dopo l'installazione di questo aggiornamento, alcuni dispositivi con una configurazione di BitLocker Criteri di gruppo non consigliata potrebbero essere necessari.
Questo problema interessa solo un numero limitato di sistemi in cui tutte le condizioni seguenti sono vere. È improbabile che queste condizioni si trovino nei dispositivi personali non gestiti dai reparti IT.
-
BitLocker è abilitato nell'unità del sistema operativo.
-
Viene configurato il Criteri di gruppo "Configurare il profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" e PCR7 è incluso nel profilo di convalida (o la chiave del Registro di sistema equivalente è impostata manualmente).
-
System Information (msinfo32.exe) segnala Secure Boot State PCR7 Binding come "Not Possible".
-
Il certificato CA 2023 DELLA UEFI di Windows è presente nel database della firma di avvio protetto del dispositivo, rendendo il dispositivo idoneo per l'impostazione predefinita di Gestione avvio di Windows firmato 2023.
-
Il dispositivo non esegue già Windows Boot Manager con firma 2023.
In questo scenario, la chiave di ripristino di BitLocker deve essere immessa una sola volta. I riavvii successivi non attiveranno una schermata di ripristino di BitLocker, purché la configurazione di Criteri di gruppo rimanga invariata. Per informazioni su come trovare la chiave di ripristino di BitLocker, vedi l'articolo Trovare la chiave di ripristino di BitLocker.
È consigliabile che le aziende controllino i criteri di gruppo di BitLocker per l'inclusione esplicita di PCR7 e verifichino msinfo32.exe dello stato di associazione PCR7 prima di installare questo aggiornamento. Vedere l'opzione 1 di seguito.
Soluzione alternativa
Opzione 1: rimuovere la configurazione Criteri di gruppo prima di installare l'aggiornamento (scelta consigliata)
-
Apri Criteri di gruppo Editor (gpedit.msc) o Criteri di gruppo Management Console.
-
Passare a: Configurazione computer > Modelli amministrativi > componenti di Windows > crittografia unità BitLocker > unità del sistema operativo.
-
Imposta "Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" su "Non configurato".
-
Eseguire il comando seguente nei dispositivi interessati per propagare la modifica dei criteri: gpupdate /force
-
Esegui il seguente comando per sospendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:
-
Esegui il comando seguente per riprendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -enable C:
-
In questo modo, le associazioni BitLocker vengono aggiornate in modo da utilizzare il profilo PCR predefinito selezionato da Windows.
Opzione 2: applicare il ripristino dei problemi noti (KIR) prima di installare l'aggiornamento
È disponibile un aggiornamento KIR (Known Issue Rollback) per i clienti che non possono rimuovere i criteri di gruppo PCR7 prima di distribuire questo aggiornamento. Kir impedisce il passaggio automatico a Boot Manager 2023, evitando il trigger di ripristino di BitLocker. Il KIR deve essere distribuito prima di installare l'aggiornamento nei dispositivi interessati. Contatta il Supporto tecnico Microsoft per le aziende per ottenere questa KIR.
Passaggi successivi
Una risoluzione permanente di questo problema è pianificata in un futuro aggiornamento di Windows. Ulteriori informazioni verranno fornite non appena disponibili.
Si applica a: Windows 10 Enterprise LTSC 2021 e Windows 10 IoT Enterprise LTSC 2021
Importante: Usare EKB KB5003791 per eseguire l'aggiornamento a Windows 10, versione 21H2 nelle edizioni supportate.
Questo aggiornamento della sicurezza include correzioni e miglioramenti qualitativi che fanno parte degli aggiornamenti seguenti:
Di seguito è riportato un riepilogo dei problemi che questo aggiornamento risolve durante l'installazione dell'aggiornamento. Se sono presenti nuove funzionalità, vengono elencate anche tali funzionalità. Il testo in grassetto racchiuso tra parentesi quadre indica l'elemento o l'area della modifica che stiamo documentando.
-
[Accesso] Risolto: dopo l'installazione dell'aggiornamento di Windows rilasciato dopo il 10 marzo 2026 incluso, alcuni utenti potrebbero riscontrare un problema di accesso alle app con un account Microsoft. Anche quando il dispositivo dispone di una connessione Internet funzionante, durante l'accesso viene visualizzato un errore "Nessun Internet" che impedisce l'accesso a app e servizi Microsoft come Microsoft Teams.
-
[Licenza] Miglioramento: questo aggiornamento risolve un problema che interessa la creazione di immagini di Long-Term Servicing Channel (LTSC) tramite Gestione e manutenzione immagini distribuzione. Le operazioni offline di Gestione e manutenzione immagini distribuzione nelle edizioni seguenti non hanno potuto applicare gli aggiornamenti della sicurezza a causa di limiti nell'applicazione delle licenze. Ora puoi usare Gestione e manutenzione immagini distribuzione per aggiungere pacchetti di sicurezza durante la creazione di immagini offline per LTSC.
-
Windows 10 IoT Enterprise LTSC 2021
-
Windows 10 Enterprise G SKU
-
Windows 10 Enterprise N LTSC
-
-
[Desktop remoto] Questo aggiornamento migliora la protezione da attacchi di phishing che usano file di Desktop remoto (RDP). Quando apri un file con estensione rdp, Desktop remoto mostra tutte le impostazioni di connessione richieste prima della connessione, con ogni impostazione disattivata per impostazione predefinita. La prima volta che si apre un file RDP in un dispositivo viene visualizzato anche un avviso di sicurezza una tantum. Per altre informazioni, vedi Informazioni sugli avvisi di sicurezza all'apertura di file di Desktop remoto .
-
[Avvio protetto]
-
Questo aggiornamento abilita la creazione di rapporti di stato dinamici per gli stati di avvio protetto nell'app Sicurezza di Windows (impostazioni > aggiornamento &sicurezza > Sicurezza di Windows). Scopri di più sugli avvisi di stato tramite badge e notifiche. Tieni presente che questi miglioramenti sono disabilitati per impostazione predefinita nei dispositivi commerciali e nei server.
-
Questo aggiornamento risolve un problema a causa del quale un dispositivo potrebbe accedere a Ripristino BitLocker dopo l'aggiornamento di Avvio protetto.
-
Con questo aggiornamento, gli aggiornamenti qualitativi di Windows includono ulteriori dati di destinazione del dispositivo ad alta probabilità, aumentando la copertura dei dispositivi idonei a ricevere automaticamente nuovi certificati di avvio protetto. I dispositivi ricevono i nuovi certificati solo dopo aver dimostrato un numero sufficiente di segnali di aggiornamento riusciti, mantenendo un'implementazione controllata e graduale.
-
Se hai installato aggiornamenti precedenti, nel tuo dispositivo verranno scaricati e installati solo i nuovi aggiornamenti contenuti in questo pacchetto.
Per altre informazioni sulle vulnerabilità della sicurezza, fai riferimento al nuovo sito Web della Guida sull'aggiornamento della sicurezza e al Aggiornamenti della sicurezza di aprile 2026.
Per informazioni sulla terminologia di Windows Update, vedi l'articolo sui tipi di aggiornamenti di Windows e sui tipi di aggiornamento qualitativo mensili. Per una panoramica di Windows 10, versione 22H2, vedi la relativa pagina della cronologia degli aggiornamenti.
Nota:Segui @WindowsUpdate per scoprire quando vengono pubblicati nuovi contenuti nel dashboard integrità delle versioni di Windows.
Problemi noti in questo aggiornamento
Sintomo
Per immettere la chiave di ripristino di BitLocker al primo riavvio dopo l'installazione di questo aggiornamento, alcuni dispositivi con una configurazione di BitLocker Criteri di gruppo non consigliata potrebbero essere necessari.
Questo problema interessa solo un numero limitato di sistemi in cui tutte le condizioni seguenti sono vere. È improbabile che queste condizioni si trovino nei dispositivi personali non gestiti dai reparti IT.
-
BitLocker è abilitato nell'unità del sistema operativo.
-
Viene configurato il Criteri di gruppo "Configurare il profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" e PCR7 è incluso nel profilo di convalida (o la chiave del Registro di sistema equivalente è impostata manualmente).
-
System Information (msinfo32.exe) segnala Secure Boot State PCR7 Binding come "Not Possible".
-
Il certificato CA 2023 DELLA UEFI di Windows è presente nel database della firma di avvio protetto del dispositivo, rendendo il dispositivo idoneo per l'impostazione predefinita di Gestione avvio di Windows firmato 2023.
-
Il dispositivo non esegue già Windows Boot Manager con firma 2023.
In questo scenario, la chiave di ripristino di BitLocker deve essere immessa una sola volta. I riavvii successivi non attiveranno una schermata di ripristino di BitLocker, purché la configurazione di Criteri di gruppo rimanga invariata. Per informazioni su come trovare la chiave di ripristino di BitLocker, vedi l'articolo Trovare la chiave di ripristino di BitLocker.
È consigliabile che le aziende controllino i criteri di gruppo di BitLocker per l'inclusione esplicita di PCR7 e verifichino msinfo32.exe dello stato di associazione PCR7 prima di installare questo aggiornamento. Vedere l'opzione 1 di seguito.
Soluzione alternativa
Opzione 1: rimuovere la configurazione Criteri di gruppo prima di installare l'aggiornamento (scelta consigliata)
-
Apri Criteri di gruppo Editor (gpedit.msc) o Criteri di gruppo Management Console.
-
Passare a: Configurazione computer > Modelli amministrativi > componenti di Windows > crittografia unità BitLocker > unità del sistema operativo.
-
Imposta "Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" su "Non configurato".
-
Eseguire il comando seguente nei dispositivi interessati per propagare la modifica dei criteri: gpupdate /force
-
Esegui il seguente comando per sospendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:
-
Esegui il comando seguente per riprendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -enable C:
-
In questo modo, le associazioni BitLocker vengono aggiornate in modo da utilizzare il profilo PCR predefinito selezionato da Windows.
Opzione 2: applicare il ripristino dei problemi noti (KIR) prima di installare l'aggiornamento
È disponibile un aggiornamento KIR (Known Issue Rollback) per i clienti che non possono rimuovere i criteri di gruppo PCR7 prima di distribuire questo aggiornamento. Kir impedisce il passaggio automatico a Boot Manager 2023, evitando il trigger di ripristino di BitLocker. Il KIR deve essere distribuito prima di installare l'aggiornamento nei dispositivi interessati. Contatta il Supporto tecnico Microsoft per le aziende per ottenere questa KIR.
Passaggi successivi
Una risoluzione permanente di questo problema è pianificata in un futuro aggiornamento di Windows. Ulteriori informazioni verranno fornite non appena disponibili.
Aggiornamento dello stack di manutenzione Windows 10 (KB5084130) - versione 19041.7183
Microsoft ora combina l'ultimo aggiornamento dello stack di manutenzione per il sistema operativo con l'aggiornamento cumulativo più recente. Gli aggiornamenti dello stack di manutenzione migliorano l'affidabilità del processo e includono correzioni allo stack di manutenzione, il componente che installa gli aggiornamenti di Windows.
Nota: Questo aggiornamento dello stack di manutenzione include logica avanzata per verificare se un dispositivo è ospitato in Azure, sfruttando una catena di certificati aggiornata per la convalida. Per assicurarsi che il dispositivo possa accedere ai domini di aggiornamento dei certificati necessari per scaricare e installare correttamente gli aggiornamenti dei certificati, vedere Elenchi di download e revoche di certificati e Azure dettagli dell'autorità di certificazione. Per ulteriori informazioni sugli aggiornamenti degli stack di manutenzione, vedi Aggiornamenti dello stack di manutenzione.
Come ottenere l'aggiornamento
Prima di installare questo aggiornamento
Importante Devi avere installato l'ultimo aggiornamento dello stack di manutenzione Windows 10. Se non installi l'aggiornamento dello stack di manutenzione più recente prima di applicare gli aggiornamenti di Windows, l'aggiornamento di Windows potrebbe non essere disponibile finché non viene installato l'aggiornamento dello stack di manutenzione più recente.
In base allo scenario di installazione, scegliere una delle opzioni seguenti:
-
Per la manutenzione delle immagini del sistema operativo offline:
Se l'immagine non dispone dell'aggiornamento cumulativo più recente del 25 luglio 2023 (KB5028244) o successivo, è necessario installare lo speciale aggiornamento dello stack di manutenzione autonomo del 13 ottobre 2023 (KB5031539) prima di installare questo aggiornamento.
-
Per la distribuzione di Windows Server Update Services (WSUS) o durante l'installazione del pacchetto autonomo da Microsoft Update Catalog:
Se i dispositivi non dispongono dell'aggiornamento cumulativo più recente dell'11 maggio 2021 (KB5003173) o successivo, devi installare lo speciale aggiornamento dello stack di manutenzione autonomo del 10 agosto 2021 (KB5005260) prima di installare questo aggiornamento.
Installa questo aggiornamento
Per installare questo aggiornamento, usa uno dei seguenti canali di rilascio Windows e Microsoft.
|
Disponibile |
Fase successiva |
|
|
Questo aggiornamento verrà scaricato e installato automaticamente tramite Windows Update. |
|
Disponibile |
Fase successiva |
|
|
Questo aggiornamento verrà scaricato e installato automaticamente da Windows Update for Business in conformità ai criteri configurati. |
|
Disponibile |
Fase successiva |
|
|
Per scaricare il pacchetto autonomo per questo aggiornamento, vai al sito Web Microsoft Update Catalog . Per informazioni su come scaricare e installare gli aggiornamenti dal Catalogo aggiornamenti, vedi Come scaricare gli aggiornamenti che includono driver e aggiornamenti rapidi da Windows Update Catalog. |
|
Disponibile |
Fase successiva |
|
|
Questo aggiornamento verrà sincronizzato automaticamente con Windows Server Update Services (WSUS) se configuri Prodotti e classificazioni nel modo seguente:
Per configurare il server WSUS per la sincronizzazione in base a prodotti e classificazioni, vedere Sincronizzazione dell'aggiornamento per prodotto e classificazione. Per importare manualmente gli aggiornamenti in WSUS, vedi Importare gli aggiornamenti in WSUS tramite PowerShell. |
Informazioni sui file
Un elenco dei file inclusi in questo aggiornamento viene fornito in un file CSV (delimitato da virgole) (*.csv). Il file può essere aperto in un editor di testo, ad esempio blocco note o in Microsoft Excel.
Nota: La versione inglese (Stati Uniti) di questo aggiornamento software potrebbe contenere file per altre lingue.
Informazioni correlate
Se vuoi rimuovere questo aggiornamento
ATTENZIONE Prima di decidere di rimuovere questo aggiornamento, vedi Informazioni sui rischi: perché non è consigliabile disinstallare gli aggiornamenti della sicurezza.
Per rimuovere l'aggiornamento cumulativo più recente dopo l'installazione del pacchetto combinato SSU e LCU, usare l'opzione della riga di comando DISM/Remove-Package con il nome del pacchetto LCU come argomento. Puoi trovare il nome del pacchetto utilizzando questo comando: DISM /online /get-packages.
L'esecuzione di Windows Update programma di installazione autonomo (wusa.exe) con l'opzione /uninstall nel pacchetto combinato non funzionerà perché il pacchetto combinato contiene l'aggiornamento dello stack di manutenzione. Non è possibile rimuovere l'aggiornamento dello stack di manutenzione dal sistema dopo l'installazione.
Avviso per gli aggiornamenti delle applicazioni di Microsoft Store
Gli aggiornamenti di Windows non installano gli aggiornamenti delle applicazioni di Microsoft Store. Se sei un utente aziendale, vedi App di Microsoft Store - Configuration Manager. Se sei un utente consumer, vedi Ottenere aggiornamenti per app e giochi in Microsoft Store.
Informazioni sulla fine del supporto
Fine del supporto di Windows 10, versioni 21H2/22H2 e Windows 10 Enterprise LTSC 2021
Microsoft non fornirà più aggiornamenti software gratuiti da Windows Update, assistenza tecnica o correzioni per la sicurezza dopo le date di fine seguenti:
♦ Windows 10, versione 21H2: il supporto è terminato il 13 giugno 2023
♦ Windows 10, versione 22H2: il supporto è terminato il 14 ottobre 2025
♦ Windows 10 Enterprise LTSC 2021: 12 gennaio 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13 gennaio 2032
Nota: Il programma Aggiornamenti di sicurezza estesa (ESU) di Windows 10 termina il 13 ottobre 2026. È consigliabile eseguire l'aggiornamento a una versione successiva di Windows.
