Si applica a
Windows 11 version 23H2, all editions

Data di rilascio:

12/05/2026

Versione:

Build del sistema operativo 22631.7079

Questo aggiornamento cumulativo per Windows 11, versione 23H2 (KB5087420), include le correzioni e i miglioramenti più recenti per la sicurezza, insieme agli aggiornamenti non relativi alla sicurezza della versione di anteprima facoltativa del mese scorso. Per ulteriori informazioni sulle differenze tra gli aggiornamenti della sicurezza, gli aggiornamenti facoltativi di anteprima non relativi alla sicurezza, gli aggiornamenti fuori banda (OOB) e l'innovazione continua, vedi La spiegazione degli aggiornamenti mensili di Windows. Per informazioni sulla terminologia di Windows Update, vedi i diversi tipi di aggiornamenti software di Windows.

Per visualizzare gli aggiornamenti più recenti su questa versione, visita il dashboard di integrità delle versioni di Windows o la pagina della cronologia degli aggiornamenti per Windows 11, versione 23H2.

Mancia: Il video di questo mese è disponibile nell'articolo Windows 11, versione 25H2 e 24H2.

Annunci e messaggi

Questa sezione fornisce le notifiche principali relative a questa versione, inclusi annunci, log delle modifiche e avvisi di fine supporto.

Scadenza del certificato di avvio protetto di Windows

Importante:I certificati di avvio sicuro usati dalla maggior parte dei dispositivi Windows scadranno a partire da giugno 2026. Microsoft ha aggiornato questi certificati su dispositivi aziendali consumer e non gestiti per gli ultimi mesi. I dispositivi che non hanno ricevuto i certificati più recenti continueranno ad avviarsi e funzionare normalmente, e gli aggiornamenti standard di Windows continueranno a essere installati. Continueremo a installare i certificati più recenti tramite gli aggiornamenti di Windows nei prossimi mesi.

Puoi controllare lo stato del PC nell'app Sicurezza di Windows. Se sei un amministratore IT, segui le istruzioni in Playbook di avvio sicuro per client Windows e Windows Server​​​​​​​

Modifica data

Modificare la descrizione

09 giugno 2026

Revisione del problema nota: per immettere la chiave di ripristino di BitLocker potrebbe essere necessaria una soluzione alternativa aggiornata per "Dispositivi con una configurazione di BitLocker Criteri di gruppo non suggerita"

20 maggio 2026

Corretto il collegamento Microsoft Update Catalog in modo che punti all'aggiornamento del 12 maggio 2026 invece dell'aggiornamento del 14 aprile 2026.

13 maggio 2026

Aggiunta della nota sulla versione di avvio protetto: questo aggiornamento aggiunge una nuova cartella di SecureBoot in C:\Windowsnei dispositivi idonei.

Miglioramenti

Questo aggiornamento risolve i problemi di sicurezza per il sistema operativo Windows. ​​​​​​​

Importante: Usare KB5027397 EKB per eseguire l'aggiornamento a Windows 11, versione 23H2.

Questo aggiornamento della sicurezza contiene correzioni e miglioramenti della qualità di KB5082052 (rilasciato il 14 aprile 2026). Il riepilogo seguente illustra i problemi principali risolti da questo aggiornamento. Sono inoltre incluse nuove funzionalità. Il testo in grassetto racchiuso tra parentesi quadre indica l'elemento o l'area della modifica.

  • [Avvio protetto] 

    • Con questo aggiornamento, gli aggiornamenti qualitativi di Windows includono ulteriori dati di destinazione del dispositivo ad alta probabilità, aumentando la copertura dei dispositivi idonei a ricevere automaticamente nuovi certificati di avvio protetto. I dispositivi ricevono i nuovi certificati solo dopo aver dimostrato un numero sufficiente di segnali di aggiornamento riusciti, mantenendo un'implementazione controllata e graduale. ​​​​​​​

    • Questo aggiornamento aggiunge una nuova cartella SecureBootin C:\Windowsnei dispositivi idonei. La cartella contiene script di esempio destinati alle organizzazioni con professionisti IT che gestiscono attivamente gli aggiornamenti nell'intera flotta di dispositivi. Questi script possono essere usati per rilevare lo stato di aggiornamento del certificato di avvio protetto e automatizzare la distribuzione tramite un meccanismo di implementazione sicura in un ambiente Active Directory. Per ulteriori informazioni, vedi Esempio di guida all'automazione di avvio protetto E2E.

  • [Asset impostazioni paese e operatore (COSA)]Questo aggiornamento aggiorna i profili per alcuni operatori di telefonia mobile.

  • [Ora legale(DST)] Questo aggiornamento supporta la modifica dell'ora legale 2023 per la Repubblica araba d'Egitto.

  • [Enterprise State Roaming (ESR)] ESR ora può essere gestito tramite i criteri di Windows Backup per le organizzazioni. In questo modo, la configurazione sarà più semplice per gli amministratori IT. Per ulteriori informazioni, vedi Enterprise State Roaming.

  • [Microsoft Defender SmartScreen] Questo aggiornamento consente a Microsoft Defender SmartScreen nella shell di Windows di inviare hash di file per i file non firmati. Questo supporto consente a SmartScreen di utilizzare modelli di reputazione più recenti e migliora la qualità dei controlli della reputazione delle applicazioni.

  • Desktop remoto (problema noto)] Risolto: questo aggiornamento risolve un problema che interessa la finestra di dialogo dell'avviso di sicurezza connessione Desktop remoto. Il rendering della finestra di dialogo potrebbe essere eseguito in modo non corretto in uno scenario con più monitor quando i monitor avevano un set di ridimensionamento diverso. Questo problema può verificarsi dopo l'installazione dell'aggiornamento della sicurezza di aprile 2026 (KB5082052). Per altre informazioni, vedi Informazioni sugli avvisi di sicurezza all'apertura di file di Desktop remoto .

Se hai già installato aggiornamenti precedenti, il dispositivo scaricherà e installerà solo i nuovi aggiornamenti inclusi in questo pacchetto.

Per altre informazioni sulle vulnerabilità della sicurezza, vedi la Guida sull'aggiornamento della sicurezzae l'aggiornamento della sicurezza di maggio 2026.

aggiornamento dello stack di manutenzione Windows 11 (KB5086307) - 22621.6937

Questo aggiornamento offre miglioramenti qualitativi allo stack di manutenzione, che è il componente che installa gli aggiornamenti per Windows. Gli aggiornamenti degli stack di manutenzione garantiscono uno stack di manutenzione affidabile e affidabile, in modo che i dispositivi possano ricevere e installare gli aggiornamenti Microsoft. Per altre informazioni sugli aggiornamenti degli stack di manutenzione, vedere Semplificare la distribuzione locale degli aggiornamenti degli stack di manutenzione.

Problemi noti in questo aggiornamento

Sintomo

Al primo riavvio dopo l'installazione di questo aggiornamento, alcuni dispositivi con una configurazione non consigliata dei criteri di gruppo di BitLocker potrebbero dover inserire la chiave di ripristino di BitLocker.

Questo problema interessa solo un numero limitato di sistemi in cui tutte le condizioni seguenti sono vere. È improbabile che queste condizioni si trovino nei dispositivi personali non gestiti dai reparti IT.

  1. BitLocker è abilitato nell'unità del sistema operativo.

  2. I criteri di gruppo "Configura il profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" e configurato e PCR7 è incluso nel profilo di convalida (o la chiave del Registro di sistema equivalente è impostata manualmente).

  3. System Information (msinfo32.exe) segnala Secure Boot State PCR7 Binding come "Non possibile".

  4. Il certificato CA 2023 UEFI di Windows è presente nel database della firma di avvio protetto del dispositivo, rendendo il dispositivo idoneo per l'impostazione predefinita di Windows Boot Manager con firma 2023.

  5. Il dispositivo non esegue ancora Windows Boot Manager con firma 2023.

In questo scenario, la chiave di ripristino di BitLocker deve essere immessa una sola volta. I riavvii successivi non attiveranno una schermata di ripristino di BitLocker, purché la configurazione di Criteri di gruppo rimanga invariata. Per informazioni su come trovare la chiave di ripristino di BitLocker, vedi l'articolo Trovare la chiave di ripristino di BitLocker.

È consigliabile che le aziende controllino i criteri di gruppo di BitLocker per l'inclusione esplicita di PCR7 e verifichino msinfo32.exe per lo stato di associazione PCR7 prima di installare questo aggiornamento. Vedere la soluzione alternativa seguente.

Soluzione alternativa 

Questo problema è risolto in KB5093998. Dopo l'installazione di KB5093998,  ai dispositivi con questa configurazione di Criteri di gruppo incompatibile viene impedito di installare Windows Boot Manager firmato 2023. Se il dispositivo è stato interessato, l'ID evento 1032 verrà visualizzato nel registro eventi di sistema durante l'installazione degli aggiornamenti di Windows: "L'aggiornamento di avvio protetto di Boot Manager (2023) non è stato applicato a causa di una nota incompatibilità con la configurazione di BitLocker corrente".

Se ricevi l'ID evento 1032, Microsoft consiglia vivamente di rimuovere la configurazione Criteri di gruppo prima di installare gli aggiornamenti, in modo da poter installare Windows Boot Manager con firma 2023 e continuare a ricevere le protezioni di avvio protetto più recenti.

Rimuovere la configurazione Criteri di gruppo prima di installare l'aggiornamento (scelta consigliata) 

  1. Apri l'editor di Criteri di gruppo (gpedit.msc) o la console Gestione Criteri di gruppo.

  2. Passa a: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo.

  3. Imposta "Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" su "Non configurato".

  4. Usa il comando seguente nei dispositivi interessati per propagare la modifica dei criteri: gpupdate /force

  5. Esegui il seguente comando per sospendere BitLocker (se BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:

  6. Esegui il seguente comando per riprendere BitLocker (se BitLocker è abilitato nell'unità C:): manage-bde -protectors -enable C:

  7. In questo modo, le associazioni BitLocker vengono aggiornate in modo da utilizzare il profilo PCR predefinito selezionato da Windows.

Se non desideri rimuovere questa configurazione di Criteri di gruppo, puoi installare il nuovo Windows Boot Manager sospendendo temporaneamente BitLocker e installando l'aggiornamento di avvio protetto. Per eseguire questa operazione:

  1. Esegui il seguente comando per sospendere BitLocker (se BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:

  2. Eseguire il comando seguente: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Riavviare il dispositivo.

  4. Una volta installato correttamente il nuovo Windows Boot Manager, abilita BitLocker eseguendo il comando: manage-bde -protectors -enable C:

Come ottenere l'aggiornamento

Prima di installare questo aggiornamento

Microsoft combina l'ultimo aggiornamento dello stack di manutenzione per il sistema operativo con l'aggiornamento cumulativo più recente. Per informazioni generali sugli aggiornamenti degli stack di manutenzione, vedi Aggiornamento dello stack di manutenzione.

Installa questo aggiornamento

Per installare questo aggiornamento, usa uno dei seguenti canali di rilascio Windows e Microsoft.

Disponibile

Fase successiva

Caratteristica inclusa

Questo aggiornamento viene scaricato e installato automaticamente da Windows Update e Microsoft Update.

Se vuoi rimuovere questo aggiornamento

Prima di decidere di rimuovere questo aggiornamento, vedi Informazioni sui rischi: perché non è consigliabile disinstallare gli aggiornamenti della sicurezza.

Per rimuovere l'aggiornamento cumulativo più recente dopo l'installazione del pacchetto combinato SSU e LCU, usare l'opzione della riga di comando DISM/Remove-Package con il nome del pacchetto LCU come argomento. Puoi trovare il nome del pacchetto utilizzando questo comando: DISM /online /get-packages.

L'esecuzione di Windows Update programma di installazione autonomo (wusa.exe) con l'opzione /uninstall nel pacchetto combinato non funzionerà perché il pacchetto combinato contiene l'aggiornamento dello stack di manutenzione. Non è possibile rimuovere l'aggiornamento dello stack di manutenzione dal sistema dopo l'installazione.

Informazioni sui file

Per un elenco dei file forniti in questo aggiornamento, scarica le informazioni sui file per l'aggiornamento cumulativo 5087420.   

Per un elenco dei file forniti nell'aggiornamento dello stack di manutenzione, scarica le informazioni sui file per l'aggiornamento dello stack di manutenzione (KB5086307) - versioni 22621.6937

Argomenti correlati

Microsoft Store per le aziende e formazione con Configuration Manager

Scaricare gli aggiornamenti per app e giochi in Microsoft Store

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.