Cosa sono i KIR di Microsoft a risoluzione di problemi di Windows

La tecnologia alla base dei Known Issue Rollback (KIR) che Microsoft utilizza per disattivare porzioni di codice degli aggiornamenti difettosi già inviati ai PC Windows.

Negli ultimi giorni abbiamo assistito a comunicazioni di Microsoft inerenti problematiche insorte nelle ultime versioni e nelle varie edizioni di Windows che sono state brillantemente e velocemente risolte da Microsoft con la distribuzione di KIR (Known Issue Rollback) agli amministratori IT che ne hanno fatto richiesta. Il KIR specifico ha mitigato di recente un bug che avvisava gli utenti di Windows 10 riguardo la fine del supporto pur avendo dispositivi iscritti al programma ESU, mentre un nuovo KIR ha permesso di riprendere il controllo di dispositivi gestiti bloccati sulla schermata di ripristino BitLocker nelle scorse ore.

Sostanzialmente, un KIR è un ripristino rapido del dispositivo allo stato precedente l'invio dell'aggiornamento difettoso per Windows, ma solamente parziale e senza necessita di una nuova installazione degli stessi file corretti da Microsoft. Questo perché il Known Issue Rollback mantiene 'parti buone' dell'aggiornamento, eliminando o inibendo solamente i frammenti di codice difettosi identificati e isolati nel pacchetto di file responsabile del malfunzionamento specifico segnalato.

Un enorme passo avanti. In precedenza, un aggiornamento che portava ad un problema importante in un dispositivo Windows necessitava o di un nuovo update a correzione o, se non disponibile, del rollback completo, ovvero dell'applicazione di un punto di ripristino precedente e/o della disinstallazione completa del KB incriminato (stoppando Windows Update sino a correzione ufficiale da parte degli sviluppatori di Redmond).

Faremo riferimento a questo articolo quando tratteremo problemi di Windows che interessano in maniera diffusa utenti ed aziende e che vengono risolti tramite KIR, con i dettagli della documentazione ufficiale e costantemente aggiornata da Microsoft che riportiamo di seguito.

Cosa sono e come funzionano i KIR di Microsoft a risoluzione di problemi di Windows

Cos'è Known Issue Rollback (KIR)

Known Issue Rollback (KIR) è una robusta tecnologia di mitigazione integrata negli aggiornamenti di Windows per aiutare a salvaguardare e risolvere problemi relativi a parti individuali dell'aggiornamento. Questa capacità è parte degli sforzi continui di Microsoft per migliorare l'esperienza di aggiornamento di Windows e renderla ancora più affidabile per le organizzazioni.

Il meccanismo di mitigazione annulla rapidamente un problema di aggiornamento di Windows interessando solo la modifica, la correzione, la funzionalità o la caratteristica specifica che ha causato il problema. KIR ripristina quella modifica al suo comportamento precedente. Tutte le altre modifiche facenti parte di quell'aggiornamento rimangono intatte.

Questa tecnologia è disponibile per le modifiche applicate come parte degli aggiornamenti di Windows per le versioni supportate di Windows su tutti i dispositivi gestiti dall'azienda (Enterprise) e retail o consumer.

Motivazione dietro KIR

Per aiutare i clienti a rimanere protetti e produttivi, Microsoft rilascia molteplici aggiornamenti di Windows mensilmente. Storicamente, se un aggiornamento di Windows incontrava un problema, l'utente Windows o l'amministratore IT dell'organizzazione aveva le seguenti opzioni:

• Disinstallare l'intero aggiornamento. Questa opzione impedisce all'organizzazione di ricevere gli ultimi aggiornamenti di sicurezza. Di conseguenza, l'organizzazione diventa non conforme e meno sicura.
• Saltare l'intero aggiornamento. Questa opzione impedisce all'organizzazione di ricevere gli ultimi aggiornamenti di sicurezza. Di conseguenza, l'organizzazione diventa non conforme e meno sicura.
• Distribuire l'aggiornamento e attendere che la correzione diventi disponibile. A seconda del problema, questa opzione potrebbe ostacolare la produttività.

Per affrontare i problemi di sicurezza e produttività, Microsoft ha creato KIR. KIR è una soluzione tecnologica che consente agli utenti di essere produttivi minimizzando gli effetti sulla sicurezza o sulla conformità.

KIR è diventato un sistema funzionalmente completo a partire da Windows 10, versione 2004. Da allora, la maggior parte delle modifiche al codice negli aggiornamenti mensili di Microsoft supporta la capacità KIR.

Come funziona KIR a livello di codice

Le modifiche implementate dagli aggiornamenti di Windows hanno flag di funzionalità runtime integrati. A runtime, l'infrastruttura KIR utilizza le policy sul dispositivo (determinate dalle impostazioni di Group Policy e dai metadati forniti dal servizio) per determinare se eseguire il nuovo codice o il codice precedente. Questo approccio significa che se le policy o i metadati indicano che c'è un problema in una modifica specifica, quella modifica ritorna al comportamento del codice precedente.

Scenari supportati da KIR

Windows offre la capacità KIR su tutte le versioni supportate delle piattaforme Windows Server e client, a partire da Windows Server 2008 SP2. La maggior parte delle correzioni di manutenzione su Windows utilizza la capacità KIR come strategia di mitigazione.

Importante

KIR influisce solo sugli aggiornamenti e sulle correzioni non di sicurezza. Gli aggiornamenti e le correzioni di sicurezza non usano KIR.

Come si attiva KIR

Ai fini dell'attivazione di KIR, i dispositivi Windows appartengono a due diverse categorie. Ogni categoria ha il proprio processo per attivare KIR.

• Dispositivi gestiti dall'azienda: I dispositivi gestiti dall'azienda sono dispositivi Windows gestiti per gli aggiornamenti. Microsoft fornisce un modello di Group Policy per l'amministratore IT dell'organizzazione. Per attivare KIR, l'amministratore IT applica il modello all'infrastruttura di Group Policy dell'organizzazione.
• Dispositivi retail e consumer: I dispositivi retail e consumer sono dispositivi che non sono considerati dispositivi Windows gestiti per gli aggiornamenti. Tipicamente, questi dispositivi non sono gestiti da un amministratore IT. Questi dispositivi ricevono modifiche alle policy per attivare KIR attraverso il servizio cloud Windows Update gestito da Microsoft.

KIR per dispositivi gestiti dall'azienda

Come amministratore IT aziendale per questi dispositivi, si ha il controllo. In conformità con la policy Microsoft, per i dispositivi gestiti dall'azienda, Microsoft pubblica uno specifico modello di Group Policy sul Download Center. È possibile scaricare questo modello di Group Policy, quindi configurarlo e applicarlo per attivare KIR.

Nota

Group Policy (Criteri di gruppo) è una funzionalità di Microsoft Windows che consente agli amministratori IT di gestire e configurare centralmente le impostazioni del sistema operativo, le applicazioni e le impostazioni utente sui dispositivi in un ambiente Active Directory.

Se si verifica un problema correlato a un aggiornamento delle funzionalità, verificare nel Download Center la presenza di un modello di policy KIR correlato. Se non se ne trova uno, seguire questi passaggi per richiedere un'attivazione KIR per la propria organizzazione.

1. Segnalare il problema o la regressione al Supporto Microsoft, il ramo di Microsoft rivolto ai clienti, e richiedere la Group Policy per attivare KIR.
2. Il Supporto Microsoft lavora con i team di prodotto per identificare le impostazioni di Group Policy applicabili, carica un modello di Group Policy appropriato sul Download Center e quindi fornisce il link per scaricare il modello.
3. Scaricare il modello e seguire i passaggi in Come usare Group Policy per distribuire un Known Issue Rollback.

Per i dispositivi gestiti dall'azienda che sono aggiunti a un dominio, l'aggiornamento di Group Policy avviene a determinati intervalli regolari. Per assicurarsi che le impostazioni di Group Policy abbiano effetto, eseguire una delle seguenti azioni:

• Attendere che Group Policy si aggiorni in background, quindi riavviare i dispositivi interessati.
• Per forzare un singolo dispositivo ad aggiornare le sue impostazioni di Group Policy, aprire una finestra del Prompt dei comandi sul dispositivo ed eseguire gpupdate /force. Dopo l'esecuzione del comando, riavviare il dispositivo.

KIR per dispositivi retail e consumer

I dispositivi retail e consumer includono dispositivi non aziendali e tutti i dispositivi che ricevono aggiornamenti direttamente dal servizio cloud Windows Update (WU) utilizzando Impostazioni > Aggiornamento di Windows (WU). Per questi dispositivi, Microsoft attiva KIR utilizzando Windows Update. Gli utenti non devono intraprendere alcuna azione. Nella maggior parte dei casi, grazie alle pratiche di distribuzione sicura di Microsoft, Microsoft identifica un problema in un aggiornamento e pubblica un KIR prima che la maggior parte dei dispositivi scarichi e installi l'aggiornamento originale. In quei casi, gli utenti non notano mai il problema originale o il KIR.

Nota

Qualsiasi dispositivo che non si connette a Windows Update non riceve aggiornamenti Windows o KIR.

Quando Microsoft identifica una regressione o un altro problema che interessa i dispositivi retail e consumer, i team di prodotto Microsoft raccolgono informazioni dettagliate sul problema e sui suoi effetti, determinano la causa principale del problema e segnalano internamente il problema. Quindi, in base ai risultati di questa analisi, Microsoft decide se annullare la modifica che ha causato il problema.

Se Microsoft decide di annullare una modifica, utilizza l'infrastruttura di Windows Update per attivare un KIR. Innanzitutto, Microsoft carica la modifica della configurazione KIR come aggiornamento. Windows Update notifica ai dispositivi interessati questo aggiornamento. Entro 24 ore, i dispositivi scaricano e installano l'aggiornamento. Potrebbe essere necessario riavviare i dispositivi per completare l'installazione. Al termine di questo processo, il codice che ha causato il problema viene disabilitato.

Microsoft trasmette informazioni specifiche riguardanti l'attivazione di KIR. Questi dati aiutano a valutare l'efficacia del rollback all'interno dell'ecosistema. Vedere come configurare i dati di diagnostica Windows nella propria organizzazione.

Come conoscere e accedere ai modelli di Group Policy KIR

Occasionalmente, Microsoft deve attivare KIR per un problema che interessa più clienti o rappresenta uno scenario cliente comune. In tal caso, Microsoft documenta questo problema sui canali di comunicazione della manutenzione di Windows. La documentazione spiega i sintomi più comuni del problema. Per i clienti aziendali e commerciali, la documentazione fornisce un link al file .msi che contiene il modello di Group Policy da utilizzare per attivare KIR.

Ecco dove è possibile cercare problemi noti e mitigazioni KIR:

• Note di rilascio di Windows sui siti della cronologia degli aggiornamenti di Windows, come le pagine della cronologia degli aggiornamenti di Windows 11, Windows 10 e Windows Server. Scorrere fino alla sezione Problemi noti in questo aggiornamento.
• Dashboard dell'integrità delle versioni di Windows. Questo sito fornisce link a tutte le note di rilascio di Windows per le versioni di Windows attualmente supportate.
• Sezione sull'integrità delle versioni di Windows nel centro di amministrazione di Microsoft 365. È anche possibile iscriversi alle notifiche sull'integrità delle versioni di Windows.

Se non si riesce a trovare la documentazione per il problema riscontrato, contattare il Supporto Microsoft.

Gestione del ciclo di vita KIR: cosa fare una volta attivato KIR?

Dopo che i clienti aziendali e commerciali hanno distribuito le impostazioni di Group Policy per un KIR, non devono intraprendere alcuna altra azione. Dopo che Microsoft ha risolto il problema originale, include il nuovo codice nei successivi aggiornamenti di Windows. Le impostazioni obsolete di Group Policy diventano semplicemente impostazioni benigne che non fanno nulla e non sono più necessarie.

Domande frequenti (FAQ)

Per un determinato problema, si applica lo stesso modello di Group Policy a tutti i dispositivi interessati?

No. Le impostazioni di Group Policy che controllano KIR per un determinato problema spesso differiscono per diverse versioni ed edizioni di Windows. Se si richiede un modello di Group Policy KIR al Supporto Microsoft, fornire un elenco completo delle versioni del sistema operativo interessate. Il Supporto Microsoft fornirà quindi un modello di Group Policy unico per ciascuna delle versioni di Windows specificate. Quando si configura e si distribuisce un modello, prestare attenzione alla versione di Windows elencata nel nome del file del modello.

Cosa fare se vedo ancora il problema dopo aver distribuito il modello di Group Policy KIR?

Ci sono alcuni motivi per cui si potrebbero ancora osservare problemi dopo aver attivato il KIR. In tali casi, seguire questi passaggi:

1. Assicurarsi di distribuire il modello di Group Policy che corrisponde alla versione di Windows del dispositivo.
2. Aprire l'Editor Criteri di gruppo e individuare l'impostazione di Group Policy appropriata. Assicurarsi che lo stato dell'impostazione sia Disabilitato.
3. Se è stata modificata un'impostazione di Group Policy, riavviare i dispositivi a cui si applica la policy.
4. Se il problema persiste, contattare il proprio partner di Supporto Microsoft assegnato.

Cosa fare se devo attivare KIR per la mia azienda ma non posso usare l'infrastruttura di Group Policy?

Per ulteriori informazioni su come distribuire KIR, incluso come attivare KIR per singoli dispositivi e come attivare KIR senza utilizzare Group Policy, vedere Usare Group Policy per distribuire un Known Issue Rollback.

Il documento di Microsoft con indicazioni per ulteriori approfondimenti sulla tecnologia KIR (Known Issue Rollback) a risoluzione di problemi di Windows può essere trovato qui.