Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data di pubblicazione originale: 26 giugno 2025

ID KB: 5062710

Che cos'è l'avvio protetto?

Avvio protetto è una funzionalità di sicurezza del firmware basato su UEFI (Unified Extensible Firmware Interface) che garantisce l'esecuzione solo di software attendibile durante la sequenza di avvio di un dispositivo. Funziona verificando la firma digitale del software di pre-avvio rispetto a un set di certificati digitali attendibili (noti anche come autorità di certificazione o CA) archiviati nel firmware del dispositivo. Come standard di settore, UEFI Secure Boot definisce in che modo il firmware della piattaforma gestisce i certificati, autentica il firmware e come il sistema operativo interagisce con questo processo. Per altri dettagli su UEFI e avvio protetto, vedi Avvio protetto.

Avvio protetto è stato introdotto per la prima volta in Windows 8 per proteggersi dalla minaccia emergente del malware pre-avvio (noto anche come bootkit). Nell'ambito dell'inizializzazione della piattaforma, Secure Boot autentica i moduli firmware prima dell'esecuzione. Questi moduli includono driver del firmware UEFI (ad esempio ROM opzione), caricatori di avvio e applicazioni. Come passaggio finale del processo di avvio protetto, il firmware verifica se avvio protetto considera attendibile il caricatore di avvio. Quindi, il firmware passa il controllo al caricatore di avvio, che a sua volta verifica, carica in memoria e avvia il sistema operativo Windows.

Avvio protetto definisce il codice attendibile tramite un set di criteri del firmware durante la produzione. Le modifiche a questo criterio, ad esempio l'aggiunta o la revoca di certificati, sono controllate da una gerarchia di chiavi. Questa gerarchia inizia con la chiave di piattaforma (PK), in genere di proprietà del produttore dell'hardware, seguita dalla chiave di registrazione chiave (KEK) (nota anche come chiave di exchange chiave), che può includere un kek Microsoft e altri codici KEK OEM. Il database delle firme consentite (DB) e il database della firma non consentito (DBX) determinano il codice che può essere eseguito nell'ambiente UEFI prima dell'avvio del sistema operativo. Il database include i certificati gestiti da Microsoft e dall'OEM, mentre il DBX viene aggiornato da Microsoft con le revoche più recenti. Qualsiasi entità con KEK può aggiornare DB e DBX.

Certificati di avvio protetto di Windows in scadenza nel 2026

Poiché Windows ha introdotto il supporto di avvio protetto, tutti i dispositivi basati su Windows hanno portato lo stesso set di certificati Microsoft in KEK e DB. Questi certificati originali si stanno avvicinando alla data di scadenza e il dispositivo è interessato se ha una delle versioni del certificato elencate. Per continuare a eseguire Windows e ricevere aggiornamenti regolari per la configurazione di avvio protetto, è necessario aggiornare questi certificati.

Terminologia

  • KK: Chiave di registrazione

  • CA: Autorità di certificazione

  • DB: Database della firma di avvio protetto

  • DBX: Secure Boot Revoked Signature Database

Certificato in scadenza

Data scadenza

Nuovo certificato

Posizione di archiviazione

Scopo

Microsoft Corporation KEK CA 2011

Giugno 2026

Microsoft Corporation KEK CA 2023

Stoccato in KEK

Firma gli aggiornamenti a DB e DBX.

Microsoft Windows Production PCA 2011

Ottobre 2026

CA 2023 UEFI di Windows

Archiviato in DB

Utilizzato per firmare il caricatore di avvio di Windows.

Microsoft UEFI CA 2011*

Giugno 2026

Microsoft UEFI CA 2023

Archiviato in DB

Firma i caricatori di avvio di terze parti e le applicazioni EFI.

Microsoft UEFI CA 2011*

Giugno 2026

Microsoft Option ROM CA 2023

Archiviato in DB

Firma LE ROM di opzioni di terze parti

*Durante il rinnovo del certificato UEFI CA 2011 di Microsoft Corporation, due certificati separano il caricatore di avvio firmando dalla firma rom opzione. Ciò consente un controllo più sottile sull'attendibilità del sistema. Ad esempio, i sistemi che devono considerare attendibili le ROM di opzione possono aggiungere la UEFI CA 2023 di Microsoft Option ROM senza aggiungere attendibilità per i caricatori di avvio di terze parti.

Microsoft ha rilasciato certificati aggiornati per garantire la continuità della protezione di avvio protetto nei dispositivi Windows. Microsoft gestirà il processo di aggiornamento per questi nuovi certificati in una parte significativa dei dispositivi Windows. Inoltre, verranno fornite indicazioni dettagliate per le organizzazioni che gestiscono gli aggiornamenti dei propri dispositivi.

Importante Alla scadenza delle ca del 2011, i dispositivi Windows che non dispongono di nuovi certificati 2023 non possono più ricevere correzioni per la sicurezza per i componenti pre-avvio, compromettendo la sicurezza di avvio di Windows.

Invito all'azione

Potrebbe essere necessario intervenire per garantire che il dispositivo Windows rimanga sicuro quando i certificati scadono nel 2026. Sia UEFI Secure Boot DB che KEK devono essere aggiornati con le versioni corrispondenti del nuovo certificato 2023. Per altre informazioni sui nuovi certificati, vedi Linee guida per la creazione e la gestione di chiavi di avvio protetto di Windows. 

Importante Senza aggiornamenti, i dispositivi Windows abilitati all'avvio protetto rischiano di non ricevere aggiornamenti della sicurezza o di considerare attendibili i nuovi caricatori di avvio, compromettendo sia la funzionalità che la sicurezza.

Le tue azioni variano a seconda del tipo di dispositivo Windows in uso. Seleziona dal menu a sinistra il tipo di dispositivo e l'azione specifica che devi eseguire.  

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità