Windows 11 ti avvisa quando i certificati di avvio protetto richiedono attenzione

Microsoft potenzia l’app Sicurezza di Windows con informazioni dettagliate sui certificati di avvio protetto.

Con un importante aggiornamento, Microsoft sta migliorando l’ applicazione Sicurezza di Windows per fornire agli utenti informazioni complete sugli aggiornamenti dei certificati di Avvio protetto. Questo miglioramento mira ad aiutare gli utenti a comprendere meglio lo stato di sicurezza all’avvio del proprio dispositivo, soprattutto in vista dell’imminente scadenza dei certificati nel 2026.

Guide per diverse categorie di utenti

Insieme a questo aggiornamento, Microsoft ha rilasciato due guide dettagliate pensate per pubblici specifici: una per gli utenti di Windows Home e Pro e un’altra per gli amministratori IT dei dispositivi aziendali. Gli utenti possono ora accedere allo stato di Avvio protetto direttamente nell’app, in Sicurezza di Windows > Sicurezza dispositivo > Avvio protetto, per verificare se hanno ricevuto i certificati 2023 più recenti, se stanno ancora utilizzando versioni precedenti o se devono intervenire a causa di potenziali problemi di compatibilità.

La dashboard di Sicurezza di Windows offre un modo rapido e intuitivo per verificare se le funzionalità di sicurezza hardware sono attive a livello di sistema operativo.
Visualizzazione dello stato di avvio protetto attivo nel pannello di controllo Sicurezza di Windows.

Informazioni chiave sull’aggiornamento

I certificati in questione sono stati inizialmente rilasciati nel 2011 e scadranno nel 2026. Microsoft ha introdotto un meccanismo di aggiornamento automatico tramite Windows Update per semplificare questo processo. I nuovi indicatori di stato inizieranno a essere implementati ad aprile 2026, mentre ulteriori notifiche e controlli utente arriveranno a maggio 2026 per fornire ulteriore assistenza agli utenti quando sarà necessario intervenire.

Alcuni sistemi hanno già riscontrato difficoltà nell’implementazione dei nuovi certificati Secure Boot a causa di limitazioni relative al firmware. In precedenza, gli utenti dovevano eseguire controlli manuali o utilizzare strumenti da riga di comando per la verifica; tuttavia, l’ultimo aggiornamento semplifica notevolmente questa procedura.

Esperienza utente per Windows Home e Pro

L’ app Sicurezza di Windows ora includerà una visualizzazione chiara dello stato del certificato di Avvio protetto nella sezione Sicurezza dispositivo > Avvio protetto. Questa visualizzazione mostrerà un badge di stato accompagnato da una breve spiegazione dello stato attuale del dispositivo.

Spiegazione degli indicatori di stato:

  • Verde: Tutti i componenti sono completamente aggiornati e funzionanti.
  • Giallo: Esiste una potenziale limitazione, solitamente dovuta a certificati obsoleti.
  • Rosso: è necessario intervenire immediatamente perché il dispositivo non è in grado di ricevere gli aggiornamenti necessari per l’avvio protetto (Secure Boot).

Lo stato verrà inoltre visualizzato nell’icona Sicurezza di Windows presente nella barra delle applicazioni, rispecchiando lo stato generale di sicurezza del dispositivo.

Comprendere la tempistica di implementazione

Questo importante processo di aggiornamento è applicato di default ai dispositivi Windows Home e Pro, a partire da aprile 2026, con la visualizzazione dello stato di Avvio protetto nell’app. Successivamente, a maggio 2026, verranno introdotte notifiche e indicazioni più dettagliate per i dispositivi che richiedono interventi o che non possono ricevere aggiornamenti.

Decifrare le icone di stato di avvio protetto

Un’icona con un segno di spunta verde indica che il dispositivo ha ricevuto correttamente tutti gli aggiornamenti necessari del certificato Secure Boot e del Boot Manager aggiornato. Non è richiesta alcuna ulteriore azione.

La sezione Secure Boot mostra lo stato "completamente aggiornato" con un'icona di spunta verde.
Rappresentazione visiva dello stato di Secure Boot completamente aggiornato.

Un’icona di avviso gialla in genere indica una limitazione, spesso a indicare che il dispositivo sta ancora funzionando con certificati precedenti. Questo avviso persiste finché il dispositivo non riceve un aggiornamento automatico, che potrebbe essere ostacolato da limitazioni hardware o del firmware.

La sezione Secure Boot mostra lo stato "Non ancora aggiornato" con un'icona di avviso gialla.
Rappresentazione dello stato “Non ancora aggiornato” con un’icona di avviso gialla.

Un problema più serio è segnalato da un’icona rossa di stop, che indica che il dispositivo non può ricevere aggiornamenti critici di Secure Boot che influiscono sul processo di avvio di Windows. Questo diventa sempre più rilevante man mano che i certificati si avvicinano alla data di scadenza, poiché i dispositivi privi di aggiornamenti potrebbero presentare vulnerabilità di sicurezza e problemi di compatibilità.

La sezione Avvio protetto mostra lo stato "Richiede intervento" con un'icona di arresto rossa.
Illustrazione dello stato “Richiede intervento”, rappresentato da un’icona di stop rossa.

Passaggi successivi in ​​base allo stato di avvio protetto

  • Per risolvere i problemi con le configurazioni meno recenti, assicurati che siano installati gli aggiornamenti di Windows più recenti e riavvia il dispositivo.
  • Se gli aggiornamenti vengono sospesi a causa di problemi di compatibilità, non preoccupatevi: Microsoft li riattiverà automaticamente una volta risolto il problema.
  • Se il display indica limitazioni hardware o del firmware, contattare il produttore del dispositivo per verificare la possibilità di effettuare aggiornamenti manuali.
  • Per i dispositivi che non sono più conformi agli aggiornamenti richiesti, consultare le istruzioni su come eseguire l’aggiornamento utilizzando certificati meno recenti.

Notifiche di sistema e interazioni con l’utente

Il nuovo stato di Avvio protetto (Secure Boot) influirà sul modo in cui Windows comunica i problemi di sicurezza a livello di sistema. I passaggi allo stato giallo o rosso potrebbero attivare avvisi di sicurezza più frequenti nella barra delle applicazioni.

L'icona di Sicurezza di Windows nella barra delle applicazioni mostra un segno di spunta verde.
Icona di Sicurezza di Windows nella barra delle applicazioni che indica un segno di spunta verde.

A partire da maggio 2026, le notifiche si estenderanno oltre l’app, garantendo un coinvolgimento proattivo degli utenti riguardo alle necessità di attenzione.

Ignorare le notifiche: cosa c’è da sapere

Gli utenti hanno la possibilità di ignorare gli avvisi, ma tenete presente che in questo modo l’avviso viene semplicemente nascosto.

  • Per gli stati gialli, ignorando la notifica la si rimuoverà temporaneamente, ma il problema rimarrà visibile nell’app.
  • Per gli stati rossi, la chiusura richiede l’approvazione dell’amministratore tramite l’opzione “accetta rischio”.È fondamentale comprendere che i problemi di fondo rimangono irrisolti.

La permanenza prolungata in questi stati di allerta potrebbe, a lungo andare, comportare la perdita dell’accesso a futuri aggiornamenti di sicurezza cruciali relativi all’avvio del sistema.

Esperienza utente prevista

La maggior parte degli utenti può aspettarsi che i propri dispositivi ricevano automaticamente gli aggiornamenti pertinenti tramite Windows Update, con lo stato verde che conferma il normale funzionamento. Gli avvisi gialli generalmente indicano problemi di compatibilità, mentre gli avvisi rossi segnalano potenziali minacce alla sicurezza non risolte.

I dispositivi che non ricevono certificati aggiornati potrebbero funzionare per un certo periodo, ma rischiano di presentare problemi con futuri aggiornamenti, firmware o funzionalità dipendenti da Secure Boot. Al contrario, i dispositivi aziendali potrebbero essere soggetti a un approccio di gestione differente, poiché le policy IT determinano la visibilità di questi indicatori, anziché l’interazione diretta dell’utente.

La prospettiva degli amministratori IT sullo stato di avvio protetto

Negli ambienti aziendali che gestiscono dispositivi Windows e Windows Server, gli indicatori di stato del certificato di Secure Boot sono disabilitati per impostazione predefinita. Gli amministratori sono responsabili della gestione centralizzata degli aggiornamenti per evitare confusione tra gli utenti causata dagli avvisi.

Differenze nella gestione dei dispositivi server e aziendali

Windows Server si comporta in modo diverso per quanto riguarda la gestione di Secure Boot. Sebbene l’app Sicurezza di Windows sia accessibile, il servizio di notifica non viene attivato automaticamente, il che significa che i controlli di stato non vengono eseguiti a meno che non vengano avviati manualmente.

Sui dispositivi Windows 10 e Windows 11 gestiti dalle aziende, sebbene le funzionalità delle app e la raccolta dei dati di stato avvengano, gli indicatori e le notifiche rimangono nascosti a meno che non vengano abilitati intenzionalmente.

Come attivare la visibilità dello stato di avvio protetto per gli amministratori IT

Gli amministratori IT possono abilitare questa funzionalità tramite un criterio del registro accedendo a:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security

All’interno di questo percorso:

  • Chiave: NascondiStatiAvviatiSicuri
  • Valore 0: visualizza lo stato di avvio protetto
  • Valore 1: Nasconde lo stato di avvio protetto

In assenza di questa chiave, lo stato di Secure Boot è abilitato per gli utenti Home/Pro ma disabilitato per impostazione predefinita per gli utenti Enterprise/Server.

Comprendere la strategia di implementazione e le versioni supportate

Il processo di implementazione si svolgerà in due fasi, a seconda delle versioni del sistema operativo:

  • Fase 1 (aprile 2026): Introduzione della visibilità dello stato di Avvio protetto in Sicurezza di Windows con indicazioni chiare e collegamenti di supporto.
  • Fase 2 (maggio 2026): Implementazione di notifiche, opzioni di rifiuto e stati rossi, unitamente a misure più rigorose per le configurazioni non supportate.

Questo rollout riguarderà Windows 11, Windows 10 e le versioni compatibili di Windows Server, in linea con gli aggiornamenti applicativi e cumulativi.

Aspettative di Microsoft in ambito aziendale

Microsoft prevede che le aziende gestiranno centralmente la distribuzione dei certificati Secure Boot, utilizzando metodologie di tracciamento strutturate e manuali operativi Secure Boot orientati alla conformità.

L’accento è posto sull’attuazione delle politiche piuttosto che sul dipendere esclusivamente dalla consapevolezza degli utenti o da interventi manuali.

Implicazioni per le organizzazioni

Senza un’adeguata supervisione, i dispositivi potrebbero continuare a utilizzare certificati obsoleti senza generare alcuna notifica per gli utenti finali, creando una pericolosa lacuna in cui i dispositivi sembrano funzionare normalmente pur non essendo conformi agli standard di sicurezza in continua evoluzione.

Gli amministratori dovrebbero verificare attivamente la compatibilità del firmware dei dispositivi, monitorare la distribuzione dei certificati e garantire aggiornamenti tempestivi su tutti i sistemi per prevenire complicazioni future.

La comparsa degli avvisi di Secure Boot, in particolare quelli visualizzati in rosso o giallo, non è casuale; rappresenta un’iniziativa proattiva di Microsoft per preparare i dispositivi all’imminente scadenza dei certificati più vecchi.

Qualsiasi notifica ricevuta dovrebbe essere vista come un invito all’azione piuttosto che come motivo di frustrazione, in quanto fornisce chiarezza sull’attuale livello di sicurezza e sulle azioni necessarie per mitigare i rischi futuri.

Fonte e immagini