Lo stato del certificato di Avvio protetto in Windows 10, 11 e Server è visibile nell'app Sicurezza di Windows. Ecco cosa vuol dire e cosa devi fare.
Microsoft sta aggiornando gradualmente i certificati di avvio protetto per Windows, in scadenza in questo 2026 e risalenti al 2011, sostituendoli automaticamente tramite Windows Update con quelli più recenti e aggiornati al 2023. A partire dal Patch Tuesday di aprile (modifica già attiva nelle ultime compilazioni del circuito Insider), lo stato del certificato di Avvio protetto sarà consultabile nell'app Sicurezza di Windows del sistema operativo. Sono coinvolti Windows 10, Windows 11 e Windows Server.
Cosa verrà visualizzato nell'app Sicurezza di Windows
In Sicurezza dispositivi > Avvio protetto, un indicatore verde, giallo o rosso indica lo stato attuale dell'aggiornamento del certificato dell'Avvio protetto. Se l'Avvio protetto richiede attenzione, potrebbe essere visualizzato un indicatore nell'area Sicurezza dispositivi dell'app Sicurezza di Windows. Un indicatore corrispondente potrebbe apparire anche sull'icona della barra delle applicazioni di Sicurezza di Windows per segnalare che si consiglia un'azione.
- Un'icona verde indica che il dispositivo è sufficientemente protetto e non vi sono azioni consigliate.
- Un'icona gialla indica che è presente una raccomandazione di sicurezza per l'utente.
- Un'icona rossa indica qualcosa che richiede un'attenzione immediata da parte dell'utente.
Per aiutare l'utente a comprendere facilmente lo stato dell'aggiornamento del certificato dell'Avvio protetto del dispositivo, ogni icona corrisponde a uno stato di aggiornamento specifico. L'app Sicurezza di Windows potrebbe mostrare uno dei seguenti stati di aggiornamento del certificato dell'Avvio protetto:
Completamente aggiornato
Il dispositivo ha ricevuto tutti gli aggiornamenti dei certificati dell'Avvio protetto richiesti e il Boot Manager aggiornato è stato installato. Non è necessaria alcuna azione. L'indicatore dell'Avvio protetto mostra un segno di spunta verde.
Non ancora aggiornato
Il dispositivo è in esecuzione con un certificato dell'Avvio protetto precedente. L'aggiornamento del certificato dell'Avvio protetto dovrebbe essere applicato automaticamente tramite Windows Update. È necessario assicurarsi che il dispositivo sia connesso a Internet e che disponga degli ultimi aggiornamenti di Windows installati.
A partire da maggio 2026, oltre al testo informativo sullo stato dell'Avvio protetto del dispositivo, potrebbe apparire un indicatore di attenzione giallo se sono richieste azioni aggiuntive. Ciò può verificarsi quando l'aggiornamento è bloccato da una limitazione hardware o firmware di un dispositivo.
Richiede un'azione
Esiste un aggiornamento di sicurezza per l'esperienza di avvio di Windows che non può essere fornito alla configurazione di avvio attuale del dispositivo. Questo stato appare solo dopo che è stata scoperta una vulnerabilità di sicurezza che interessa il processo di avvio e non può essere gestita sui dispositivi che non hanno ancora ricevuto i certificati aggiornati. Ciò potrebbe verificarsi già a giugno 2026, quando alcuni degli attuali certificati dell'Avvio protetto inizieranno a scadere. Quando ciò si verifica, l'indicatore dell'Avvio protetto cambia in un'icona di arresto rossa.
Messaggi di stato dettagliati
Oltre agli indicatori di colori diversi, a seconda della configurazione del dispositivo, l'utente può vedere uno dei seguenti messaggi nella sezione Avvio protetto.
| Se viene visualizzato questo messaggio nella sezione Avvio protetto | Cosa si dovrebbe fare |
|---|---|
| L'Avvio protetto è attivato e sono stati applicati tutti gli aggiornamenti dei certificati necessari. Non sono necessarie ulteriori modifiche ai certificati. | Nessuna azione è necessaria. |
| L'Avvio protetto è attivato, ma il dispositivo utilizza una configurazione di attendibilità di avvio precedente che dovrebbe essere aggiornata. | Assicurarsi che il dispositivo disponga degli ultimi aggiornamenti di Windows installati. Riavviare se richiesto. |
| L'Avvio protetto è attivato, ma il dispositivo è interessato da un problema noto. Per ridurre i rischi, gli aggiornamenti dei certificati dell'Avvio protetto sono temporaneamente sospesi mentre Microsoft e i suoi partner lavorano a una risoluzione supportata. L'aggiornamento riprenderà automaticamente una volta risolto. | Nessuna azione è necessaria. L'aggiornamento dei certificati riprenderà automaticamente una volta risolto il problema. |
| L'Avvio protetto è attivato, ma il dispositivo utilizza una configurazione di attendibilità di avvio precedente che dovrebbe essere aggiornata. Non ci sono ancora dati sufficienti per classificare il dispositivo per l'aggiornamento automatico. | Il dispositivo potrebbe richiedere un'ulteriore convalida prima che l'aggiornamento possa procedere automaticamente. |
| L'Avvio protetto è attivato, ma questo dispositivo non supporta l'aggiornamento automatico dei certificati dell'Avvio protetto a causa di limitazioni hardware o firmware. | Contattare il produttore del dispositivo per ricevere assistenza. |
| L'Avvio protetto è attivato, ma questo dispositivo non può più ricevere gli aggiornamenti richiesti per l'esperienza di avvio di Windows. | Il dispositivo utilizza ancora un vecchio certificato dopo le date di scadenza. |
Cronologia delle modifiche
Questi miglioramenti delle funzionalità verranno implementati automaticamente a partire da aprile 2026. Quando queste funzionalità saranno abilitate sul dispositivo, si vedrà lo stato del certificato dell'Avvio protetto all'interno dell'app Sicurezza di Windows (Sicurezza di Windows > Sicurezza dispositivi > Avvio protetto), inclusi gli indicatori visivi che riflettono lo stato attuale.
A partire da maggio 2026, si renderanno disponibili ulteriori miglioramenti, incluse le notifiche esterne all'app (come gli avvisi di sistema) e ulteriori indicazioni e controlli all'interno dell'app per aiutare l'utente a rispondere agli avvisi dell'Avvio protetto.
Icona della barra delle applicazioni di Sicurezza di Windows
L'app Sicurezza di Windows visualizza un'icona nella barra delle applicazioni (area di notifica) in basso a destra sullo schermo. Questa icona ha sempre incluso un indicatore che riflette lo stato di sicurezza generale del dispositivo. Viene calcolato in base allo stato più grave tra tutte le funzionalità di sicurezza.
Quando lo stato del certificato dell'Avvio protetto cambia l'indicatore in giallo o rosso, tale modifica si propaga all'icona Sicurezza dispositivi come descritto nella sezione precedente.
Come ignorare gli avvisi
Avviso: se il dispositivo non ha ancora ricevuto i certificati aggiornati, si sconsiglia di ignorare gli avvisi.
È possibile ignorare gli avvisi dell'Avvio protetto dalla sezione Sicurezza dispositivi > Avvio protetto nell'app Sicurezza di Windows. I dispositivi con certificati dell'Avvio protetto e boot loader obsoleti potrebbero non essere in grado di ricevere i futuri aggiornamenti di sicurezza che proteggono il processo di avvio di Windows.
Per gli stati gialli (attenzione)
- Selezionare Ignora
- L'indicatore dell'icona dell'Avvio protetto ritorna allo stato predefinito.
- Le notifiche dell'app vengono sospese per questo dispositivo fino alla modifica dello stato.
- Il testo di stato nell'app rimane visibile.
Per gli stati rossi (azione necessaria)
- Selezionare Accetto i rischi, non ricordarmelo più
- L'indicatore dell'icona dell'Avvio protetto ritorna allo stato predefinito.
- Le notifiche dell'app vengono sospese per questo dispositivo fino alla modifica dello stato.
- Il testo di stato nell'app rimane visibile.
Informazioni per gli amministratori IT
I nuovi miglioramenti alla Sicurezza dispositivi per lo stato dei certificati dell'Avvio protetto sono disabilitati per impostazione predefinita sui dispositivi client Windows 10 e Windows 11 gestiti a livello aziendale e su Windows Server. Gli amministratori IT che desiderano abilitare questa esperienza per i dispositivi all'interno della propria organizzazione possono consultare l'apposita guida per gli amministratori IT.
Domande frequenti
L'utente deve eseguire qualche operazione?
Nella maggior parte dei casi, non è necessaria alcuna azione. L'aggiornamento del certificato dell'Avvio protetto viene fornito automaticamente tramite Windows Update ai PC consumer e ad alcuni dispositivi aziendali. Bisogna assicurarsi che il dispositivo sia connesso a Internet e che disponga degli aggiornamenti più recenti installati. Se l'app Sicurezza di Windows mostra un segno di spunta verde per l'Avvio protetto, non occorre fare nulla.
Perché l'Avvio protetto mostra un indicatore giallo?
Un indicatore giallo sull'Avvio protetto indica che il dispositivo presenta un problema su cui si deve intervenire, come una limitazione hardware o firmware che impedisce l'aggiornamento automatico del certificato. Si consiglia di contattare il produttore del dispositivo per ottenere assistenza.
Perché l'Avvio protetto mostra un indicatore rosso?
Un indicatore rosso sull'Avvio protetto significa che esiste una vulnerabilità di sicurezza che non può essere gestita sull'attuale configurazione di avvio del dispositivo.
Cosa succede se il dispositivo non ottiene i certificati aggiornati?
Il dispositivo continuerà a funzionare normalmente per un po' di tempo. Tuttavia, dopo la scadenza degli attuali certificati dell'Avvio protetto, nel tempo, il dispositivo potrebbe non essere in grado di ricevere aggiornamenti di sicurezza che proteggono il processo di avvio di Windows. Ciò può anche portare a problemi di compatibilità, poiché i sistemi operativi più recenti, il firmware, l'hardware o i software dipendenti dall'Avvio protetto potrebbero non riuscire a caricarsi. L'app Sicurezza di Windows guiderà l'utente nei passaggi successivi.
Perché l'aggiornamento è in pausa sul dispositivo?
Microsoft può sospendere temporaneamente gli aggiornamenti dei certificati dell'Avvio protetto per determinate configurazioni dei dispositivi mentre si indaga su un problema di compatibilità. L'aggiornamento riprenderà automaticamente una volta risolto il problema. Non è necessaria alcuna azione da parte dell'utente.
Viene visualizzato un messaggio sulle limitazioni hardware o firmware. Cosa si deve fare?
Alcuni dispositivi non possono ricevere gli aggiornamenti automatici dei certificati dell'Avvio protetto a causa di limitazioni nell'hardware o nel firmware. Occorre contattare il produttore del dispositivo per avere supporto.
Questa funzionalità è disponibile sui dispositivi aziendali o gestiti?
Il testo di stato dell'Avvio protetto in-app è visibile su tutte le versioni di Windows supportate. Tuttavia, le modifiche agli indicatori specifici dell'Avvio protetto e le notifiche dell'app sono disabilitate per impostazione predefinita sui dispositivi gestiti e aziendali per limitare le distrazioni causate dalle notifiche. Gli amministratori IT possono abilitarle impostando la voce HideSecureBootStates su 0 nel registro di sistema.
Dove è possibile reperire ulteriori informazioni?
Per le informazioni più recenti e le linee guida specifiche per i dispositivi sugli aggiornamenti dei certificati dell'Avvio protetto, è possibile consultare le risorse e la documentazione ufficiale di supporto Microsoft.
Ulteriori riferimenti e risorse utili sono reperibili dalla documentazione di Microsoft pubblicata qui.
