.webp)
Ecco tutte le motivazioni possibili che impediscono l'aggiornamento del certificato di Avvio protetto in Windows 10, Windows 11 e Windows Server. E cosa devi e non devi fare.
A partire dallo scorso aprile, Microsoft sta aggiornando i certificati di Avvio protetto in tutte le versioni e le edizioni di Windows attualmente supportate. La sostituzione del certificato obsoleto del 2011 con il più recente del 2023 è necessaria per continuare ad offrire standard di protezione e sicurezza elevata ai dispositivi fin dal livello più estremo del software abbinato all'hardware.
Abbiamo già pubblicato un articolo dedicato con tutte le indicazioni generali e tutte le risposte alle possibili domande riguardo il certificato di Avvio protetto visualizzabile in sicurezza di Windows per tutte le edizioni di Windows 10, Windows 11 e Windows Server.
Adesso, completiamo il quadro con le indicazioni fornite dalla stessa Microsoft sul perché il certificato di Avvio protetto può non essere aggiornato in un dispositivo Windows, nonostante sia stato ripetuto più volte che la procedura è del tutto automatica e che il nuovo certificato sostituisce il vecchio tramite i file inviati dai server sulla maggioranza dei PC via Windows Update. In teoria, ti basta mantenere il tuo sistema aggiornato ed in pari con le nuove build rilasciate mensilmente da Microsoft.
Nella pratica, però, ciò non avviene sempre e, visto che sei qui, molto probabilmente il tuo dispositivo non ha il certificato di Avvio protetto più recente. Ed ecco spiegato perché, come andrà il tuo Windows e a cosa dovrai prestare attenzione per il futuro.
Un breve riepilogo sull'Avvio protetto
L'Avvio protetto è una funzionalità di Windows che controlla il PC a ogni avvio. Prima del caricamento di Windows, l'Avvio protetto verifica che il software in procinto di essere eseguito sia firmato da una fonte attendibile. Se la firma non viene riconosciuta, il PC non avvia quel software. Questo blocca una classe importante di malware che potrebbe tentare di caricarsi prima dell'avvio di Windows.
Per proteggere il dispositivo, l'Avvio protetto è progettato in modo che solo il produttore di apparecchiature originali (OEM) possa autorizzare modifiche al PC a questo livello di root.
Perché potrebbe non essere stato ricevuto un aggiornamento completo
L'app Sicurezza di Windows è il modo più semplice per verificare se lo stato dell'Avvio protetto del dispositivo è aggiornato o se è richiesto un aggiornamento del firmware da parte del produttore.
Sulla stragrande maggioranza dei PC, il set completo di certificati dell'Avvio protetto viene installato automaticamente tramite Windows Update. Alcuni dispositivi richiedono un aggiornamento del firmware da parte del produttore del PC prima di poter installare gli aggiornamenti necessari per l'Avvio protetto. Molti OEM stanno rilasciando attivamente questi aggiornamenti del firmware attraverso i loro canali di aggiornamento standard. Se è richiesto un aggiornamento del firmware, è necessario verificare la pagina di supporto dell'Avvio protetto del rispettivo OEM per i passaggi successivi.
In alcuni casi, Sicurezza di Windows potrebbe indicare che gli aggiornamenti dei certificati dell'Avvio protetto sono temporaneamente sospesi o bloccati, mostrando uno di questi messaggi:
| Messaggio | Azione richiesta |
|---|---|
| I dispositivi di questo gruppo sono interessati da un problema noto. Per ridurre i rischi, gli aggiornamenti dei certificati dell'Avvio protetto sono temporaneamente sospesi mentre Microsoft e i partner lavorano a una soluzione supportata. Contattare il produttore del dispositivo per assistenza. | È richiesto un aggiornamento del firmware che potrebbe non essere ancora disponibile. Quando diventerà disponibile, l'aggiornamento del firmware sarà rilasciato e installato tramite il canale di aggiornamento standard dell'OEM. Verificare la pagina di supporto dell'Avvio protetto del produttore del dispositivo per i passaggi successivi. |
| L'Avvio protetto è attivo, ma il dispositivo non supporta l'aggiornamento automatico del certificato di avvio protetto a causa di limitazioni hardware o firmware. Per assistenza, contattare il produttore del dispositivo. | Il modello di PC potrebbe non essere più supportato dall'OEM, oppure l'OEM potrebbe non essere più in grado di fornire gli aggiornamenti del firmware necessari per aggiornare la configurazione di attendibilità dell'Avvio protetto del dispositivo. Verificare la pagina di supporto dell'Avvio protetto dell'OEM per confermare se il dispositivo non è più supportato o se è disponibile un aggiornamento del firmware. |
 |
| Immagine di Jo Val per htnovo.net |
Cosa succede se non si riescono a installare i nuovi certificati dell'Avvio protetto?
Se il dispositivo raggiunge la data di scadenza senza i nuovi certificati, continuerà ad avviarsi e a funzionare normalmente. Gli aggiornamenti standard di Windows verranno comunque installati. Tuttavia, man mano che verranno rilasciati nuovi aggiornamenti di sicurezza per affrontare las minacce al processo di avvio iniziale, il dispositivo non sarà in grado di riceverli e non otterrà le protezioni più recenti.
Con il passare del tempo, con l'emergere di nuove minacce, un dispositivo in questo stato di scadenza diventa progressivamente meno protetto. Anche le funzionalità che si affidano all'Avvio protetto, come la crittografia del dispositivo o determinati software di avvio, potrebbero smettere di funzionare correttamente se richiedono una protezione di sicurezza aggiornata.
Cosa continua a funzionare
- Il dispositivo continua ad avviarsi normalmente.
- Gli aggiornamenti di Windows (aggiornamenti di funzionalità e qualitativi, inclusi gli aggiornamenti di sicurezza mensili) continuano a essere installati, a eccezione dei componenti di sicurezza relativi all'avvio che richiedono certificati aggiornati (vedere l'elenco seguente).
- Le attività quotidiane, come l'uso di app, le attività di rete e la navigazione web, rimangono invariate.
- L'Avvio protetto rimane abilitato e continua a fornire protezione contro le minacce precedentemente note.
Cosa non funziona più
- Non è possibile applicare nuove protezioni per l'Avvio protetto e per il Boot Manager.
- I bootloader dannosi o vulnerabili di nuova scoperta potrebbero non essere bloccati. La protezione contro le minacce future potrebbe differire gradualmente rispetto ai dispositivi completamente aggiornati.
- Alcuni componenti non Microsoft che si affidano all'attendibilità dell'Avvio protetto di Microsoft potrebbero non aggiornarsi se richiedono voci di certificato più recenti.
Se il dispositivo non può installare i nuovi certificati dell'Avvio protetto, ciò comporta una graduale riduzione della sicurezza a lungo termine, non un rischio immediato o un guasto del sistema. Si raccomanda di continuare a seguire le pratiche di sicurezza standard, incluso il mantenimento del sistema aggiornato con gli aggiornamenti di Windows.
Importante: la disattivazione dell'Avvio protetto non è consigliata. Questa operazione riduce le protezioni e comporta uno stato meno sicuro rispetto al lasciare invariata la configurazione corrente.
.webp)