Thread Ufficiale di Windows 11

[yeppala]

Beccato adesso il nuovo menù di Start di Windows 11
Prime impressioni: un filino meglio rispetto a prima visto che ora non ci sono spazi vuoti inutilizzati se si disattivano i file consigliati ecc., ma risulta ancora non ridimensionabile quindi quello di Windows 10 rimane ancora imbattibile
=> Lunga vita a Windows 10

[sbaffo]

Quote:

Originariamente inviato da Keyfaiv

Oggi mi sono ritrovato un aggiornamento silenzioso: "Aggiornamento del database delle firme consentite per l'avvio protetto". Ho letto la spiegazione ma ci ho capito poco. A cosa serve?

Le chiavi originali contenute nel secure boot erano del 2011 e sono scadute (in realtà perchè copiate da hacker), perciò Windows Update le aggiorna e poi a giugno dovrebbe revocare le vecchie.
L'aggiornamento automatico avviene solo se secure boot è attivo , a quanto ne so (l'avevo chiesto poco più indietro in questo thread). E per mia esperienza va messo su standard non custom nel bios.

https://www.ilsoftware.it/come-contr...ure-boot-2023/

Quote:

Originariamente inviato da pollicino

Ciao a tutti,

.....

La mia analisi (e qui viene la parte "truffa"):
Ho scavato a fondo e sembra che siamo di fronte a una sorta di obsolescenza programmata del firmware. In pratica, le chiavi di sicurezza caricate nel database del Secure Boot (DB/DBX) della mia A88ZN sono scadute o sono state revocate da un aggiornamento di Windows 11 tramite il pacchetto KB5025885 (quello che corregge la vulnerabilità BlackLotus).

Dato che i produttori (in questo caso Biostar per una scheda FM2+) non rilasciano più BIOS aggiornati con le nuove chiavi "fresche", Microsoft ha deciso che il mio hardware non è più "sicuro". Risultato? Se tieni il Secure Boot attivo, il sistema va in crash o si rifiuta di fare il boot perché non riconosce più la sua stessa firma digitale.

Conclusione:
È una follia. Abbiamo hardware perfettamente funzionante che viene castrato via software. Se avete build "legacy" che girano con Windows 11, preparatevi: prima o poi il Secure Boot vi presenterà il conto e sarete costretti a disattivarlo, perdendo accesso a giochi o app che lo richiedono obbligatoriamente (come molti Anti-Cheat).

Qualcuno di voi ha avuto esperienze simili con quel counter in percentuale su schermata nera? Microsoft sta davvero staccando la spina al vecchio hardware in modo silenzioso?

In teoria Win doveva aggiornarti prima le chiavi nel bios, forse col TPm simulato non ci è riuscito...? boh.

Comunque googlando c'è il modo di inserirle a mano nel bios (se il bios lo prevede). Dai un occhiata anche al link messo sopra...

[sbaffo]

Quote:

Originariamente inviato da DooM33

No, va dai 140 ai 144. Non ho provato a 60.

Alla fine lo sto giocando sulle Deck con SteamOS. Non vedo uno scattino neanche a pagarlo.

ma come fai a vedere scatti a 140 fps? deve scendere almeno per un attimo sotto i 30 per vederli. Prova a monitorare con quei programmi che ti segnano anche gli fps minimi (non so quali ma nelle review li mettono).
Se non ci sono picchi in basso allora è il cavo, o il monitor che si impalla.

[Keyfaiv]

Quote:

Originariamente inviato da yeppala

quello di Windows 10 rimane ancora imbattibile

Concordo. La comodità e immediatezza del 10 è impagabile. Dispiace davvero molto che non sia possibile scegliere in fase di installazione

[Keyfaiv]

Quote:

Originariamente inviato da sbaffo

Le chiavi originali contenute nel secure boot erano del 2013 e sono scadute, perciò Windows Update le aggiorna e poi a giugno dovrebbe revocare le vecchie.

Ero convinto che si fossero già aggiornate; ultimamente ho attivato tutte le protezioni di Windows, tra cui bitlocker e ho attivato tutto il possibile lato bios (molto ristretto sul mio portatile). Almeno adesso sono più sereno.

[ulukaii]

Quote:

Originariamente inviato da sbaffo

In teoria Win doveva aggiornarti prima le chiavi nel bios, forse col TPm simulato non ci è riuscito...? boh

Probabile. Oppure un reset del bios alle impostazioni di fabbrica, in qual caso si son persi i certificati e van nuovamente aggiunti a mano.

In caso qui è spiegato bene e in modo approfondito > https://www.ictpower.it/sicurezza/ag...in-azienda.htm

[pollicino]

Quote:

Originariamente inviato da LL1

esperienza interessante che merita probabilmente maggior visibilità con una sua discussione dedicata.

Essendo una piattaforma non più supportata ci sta si arrivi ai limiti che hai descritto anche se mi sembra strano.
Visualizzazione eventi ha "catturato" qualche informazione aggiuntiva?


non è collegato a nessun cumulativo e, se lo hai ricevuto ma non te ne sei accorto, lo trovi in cronologia aggiornamenti sotto la voce altri aggiornamenti..

L'imposizione del Secure Boot e dell'integrità del codice (HVCI) in Windows 11 Pro agisce di fatto come un sofisticato meccanismo di obsolescenza programmata "per decreto", dove la sicurezza diventa l'alibi perfetto per scartare hardware ancora performante ma non più allineato agli standard restrittivi di Microsoft. Quando il sistema rileva un driver non certificato, o con una firma digitale revocata perché considerata vulnerabile, non si limita a segnalare un'incompatibilità, ma innesca conflitti a livello kernel e riavvii improvvisi che simulano un guasto hardware, rendendo l'esperienza utente insostenibile; questo "muro di gomma" software trasforma driver che hanno funzionato per anni in elementi instabili, creando un paradosso in cui la protezione contro minacce ipotetiche (come i rootkit) produce un danno reale e immediato alla produttività. In questo scenario, l'impossibilità di aggiornare i certificati per componenti datati non è una fatalità tecnica, ma una scelta politica che sposta il confine tra difesa e profitto, costringendo l'utente a una rotazione accelerata dei dispositivi sotto la minaccia di un sistema operativo che, paradossalmente, si rende inutilizzabile per "proteggersi" da se stesso.

[LL1]

Quote:

Originariamente inviato da pollicino

L'imposizione del Secure Boot e dell'integrità del codice (HVCI) in Windows 11 Pro agisce di fatto come un sofisticato meccanismo di obsolescenza programmata "per decreto", dove la sicurezza diventa l'alibi perfetto per scartare hardware ancora performante ma non più allineato agli standard restrittivi di Microsoft. Quando il sistema rileva un driver non certificato, o con una firma digitale revocata perché considerata vulnerabile, non si limita a segnalare un'incompatibilità, ma innesca conflitti a livello kernel e riavvii improvvisi che simulano un guasto hardware, rendendo l'esperienza utente insostenibile; questo "muro di gomma" software trasforma driver che hanno funzionato per anni in elementi instabili, creando un paradosso in cui la protezione contro minacce ipotetiche (come i rootkit) produce un danno reale e immediato alla produttività. In questo scenario, l'impossibilità di aggiornare i certificati per componenti datati non è una fatalità tecnica, ma una scelta politica che sposta il confine tra difesa e profitto, costringendo l'utente a una rotazione accelerata dei dispositivi sotto la minaccia di un sistema operativo che, paradossalmente, si rende inutilizzabile per "proteggersi" da se stesso.

totalmente in disaccordo e accetto questa visione solo perché non ho interesse ad aprire un qualsivoglia contraddittorio che tanto, se l'impostazione è questa, non porta a risultati.

Continuo a trovare utile aprire una discussione dedicata su quello che hai riscontrato perché, vista la massa di coloro che hanno hardware antiquato, non è improbabile che altri prima o poi si trovino nella stessa condizione per cui potreste condensare in un unico luogo questi problemi.

[ulukaii]

Quote:

Originariamente inviato da pollicino

In questo scenario, l'impossibilità di aggiornare i certificati per componenti datati non è una fatalità tecnica, ma una scelta politica che sposta il confine tra difesa e profitto, costringendo l'utente a una rotazione accelerata dei dispositivi sotto la minaccia di un sistema operativo che, paradossalmente, si rende inutilizzabile per "proteggersi" da se stesso.

In realtà si potrebbero aggiornare i certificati anche su quelle mobo che non permettono l'aggiunta a mano, tipo facendosi una chiavetta con rufus/Mosby. Ma, imho, anche su roba stra-vecchia ho visto la possibilità da bios/uefi di mettere a mano PK, KEK e AS db (nel pratico basterebbe anche solo quest'ultima) per aggiungere certificati. Limiti ci potrebbero essere in qualche OEM magari, in qual caso con la chiavetta si dovrebbe poter aggirarli.

Dando uno sguardo al volo online al manuale della tua mobo (pagine 23-24-25) appare la voce Key Management (sotto Security), quindi potresti aggiungere/aggiornare i certificati a mano e sei a posto. Non è una procedura complessa di suo, dai un'occhiata qui, è spiegato passo passo in modo molto semplice > https://www.youtube.com/watch?v=9qKgtdqxfdw

Però sì, l'ideale come indicato anche sopra, sarebbe aprire una discussione dedicata, magari indicando le varie procedure che si possono seguire così che chi incappa in qualche problema possa risolvere.

PS: piccola nota rispetto a quanto si vede nel video linkato > le tre voci possono differire leggermente da mobo a mobo dei vari produttori, ma in generale il PK può essere chiamato "Platform Key" o "PK Management", il KEK può essere "Key Exchange Key" o "KEK Management", mentre l'Authorized Signatures DB può essere "Signature DB" oppure "DB Management".

Idem per le voci relative all'inserimento dei certificati, il PK può non avere una voce relativa all'update (come si vede nel video), ma un semplice "Load Default PK" come voce esterna. E' la stessa cosa (si risponde No al primo prompt e poi si sceglie il certificato da fargli puntare). Idem la voce Append in DB e KEK che può essere esterna e/o indicata come "Append Default DB". Anche qui è la stessa cosa.

Ultima, quando chiede che tipo di Input per il file da caricare, può non mostrare la voce "Public Key Certificate" nel menù a scelta, in tal caso puntare su "Key Certificate Blob".

[LL1]

Quote:

Originariamente inviato da ulukaii

Però sì, l'ideale come indicato anche sopra, sarebbe aprire una discussione dedicata, magari indicando le varie procedure che si possono seguire così che chi incappa in qualche problema possa risolvere.

eri partito un po' paraculo ma noto con piacere che sposi la mia stessa linea (e mi fa evidentemente piacere perché, per quel che vale, sei un utente di cui ho stima).
Non credo peraltro che le disavventure che ci ha raccontato all'inizio, come ho detto, siano strettamente correlate visto che "la risposta" di un sistema non compatibile dovrebbe essere altro (descritto peraltro nelle varie pagine di supporto) però, non sapendo leggere né scrivere, non escludo a priori che, su macchine (ormai) da Flintstones, non possa verificarsi etcetc..

[sbaffo]

@ pollicino

leggendo nei link postati da ulukai sopra lo switch tra i vecchi e i nuovi certificati dovrebbe avvenire a giugno 2026, quindi fino ad allora non avresti dovuto avere problemi. Probabilmente qualcosa è andato storto durante l'aggiornamento.
Prima di metterti a cercare di "riparare" il secure boot, potresti provare una installazione ex novo con Rufus spuntando la voce "installa nuovi certificati" quando crei la chiavetta con rufus, se parte vuol dire che è un problema della vecchia installazione di win. Altrimenti ti tocca smanettare nel bios.

Occhio che nel bios mi ero piantato anche io, quando avevo riattivato il secureboot mi chiedeva se metterlo standard o custom, io avevo chiuso con la X senza dirgli nulla (perchè non sapevo) e il bios si era mezzo impallato, anche dopo restart, ma non sapevo perchè, poi per fortuna ho rifatto il percorso scegliendo una delle due e si è sbloccato. Immagino che anche gli aggiornamenti delle chiavi ne possano risentire... se hai problemi meglio fare un reset to default settings...

EDIT: quando WindowsUpdate aggiorna i certificati a me è ripartito DUE volte di fila, quindi non interrompere/spegnare pensando che abbia finito.
EDIT 2: se proprio con i certificati non cè verso, si disabilita il secure boot (sia bios che Win) e funziona tutto come ha sempre fatto.

[LL1]

altro intervento interessante che, sempre secondo me, darebbe valore alla famosa discussione dedicata invece che disperderla qui che ha scarsa leggibilità perché, tempo 1 settimana, si perde nei suoi meandri..

[DooM33]

Quote:

Originariamente inviato da sbaffo

ma come fai a vedere scatti a 140 fps? deve scendere almeno per un attimo sotto i 30 per vederli. Prova a monitorare con quei programmi che ti segnano anche gli fps minimi (non so quali ma nelle review li mettono).

Se non ci sono picchi in basso allora è il cavo, o il monitor che si impalla.

Con i frame indicati con Steam.

No vabbè, abituato su Steam Deck con framerate solido, si vede subito sul portatile che il framerate ha qualche incertezza. Se poi continui a giocarci, non ci fai piu caso...

[LL1]

Vediamo se il mio proverbiale fiuto ha colto nel segno anche stavolta

Quote:

Originariamente inviato da DLINKO

ho trovato l'aggiornamento "fantasma",
Aggiornamento del database delle firme consentite per l'avvio protetto

Puoi gentilmente verificare se, in visualizzazione eventi, ti compare come credo l'ID 1801 con origine TPM-WMI??

Se si (e ti interessasse sapere il motivo della richiesta) seguirà una risposta, in caso contrario amici come prima e non avrò avuto soddisfazione




Dimenticavo:
tra poco più di 1 ora verranno rilasciati i cumulativi obbligatori, annunciati o meno che siano da yep!

[DLINKO]

Quote:

Originariamente inviato da LL1

Vediamo se il mio proverbiale fiuto ha colto nel segno anche stavolta



Puoi gentilmente verificare se, in visualizzazione eventi, ti compare come credo l'ID 1801 con origine TPM-WMI??

Se si (e ti interessasse sapere il motivo della richiesta) seguirà una risposta, in caso contrario amici come prima e non avrò avuto soddisfazione




Dimenticavo:
tra poco più di 1 ora verranno rilasciati i cumulativi obbligatori, annunciati o meno che siano da yep!

Allora, alla data dove ho riscontrato il famoso aggiornamento "fantasma" non trovo ID 1801, ma trovo TPM-WMI ID 1808 con una bella chiacchierata circa l'aggiornamento delle chiavi in avvio protetto e mi rimanda per maggiori informazioni a: https://go.microsoft.com/fwlink/?linkid=2301018.

In quella data +/- 1 giorno non c'è altro con origine TPM-WMI.


Circa il fiondatore ufficiale, ultimamente è spesso in sciopero, forse hanno il contratto nazionale Fiondatori specializzati in fase di rinnovo.

In ogni caso ti confermo che il cumulativo è QUIIIIIII:

[yeppala]

In download...
Build 26200.8037
Improvements
This security update contains fixes and quality improvements from KB5077181. The following summary outlines key issues addressed by this update. Also, included are available new features:

• [Secure Boot] With this update, Windows quality updates include additional high confidence device targeting data, increasing coverage of devices eligible to automatically receive new Secure Boot certificates. Devices receive the new certificates only after demonstrating sufficient successful update signals, maintaining a controlled and phased rollout.
  
• [File Explorer] Improved: This update improves File Explorer search reliability when searching across multiple drives or "This PC".
  
• [Windows Defender Application Control] Improved: This update improves how Windows Defender Application Control (WDAC) handles COM objects allowlisting policies. COM objects were blocked when the endpoint security policy was set higher than the allowlisting policy. With this update, COM objects are allowed as expected.​
  
• [Windows System Image Manager​​​​​​​] Improved: This update improves the reliability of choosing trusted catalog files. It adds a warning dialog that helps you confirm that the file you select comes from a trusted source. ​​​​​​​

For more information about security vulnerabilities, see the March 2026 Security Updates

[DLINKO]

UHMMM, a poker dicono: "piatto ricco mi ci ficco".

Questa volta hanno attivato un po' di nuove caratteristiche.

Bravi, quelli della MS.


P.S. eccone di seguito una:

[LL1]

Quote:

Originariamente inviato da DLINKO

Allora, alla data dove ho riscontrato il famoso aggiornamento "fantasma" non trovo ID 1801, ma trovo TPM-WMI ID 1808...

ok, in effetti deve essere così ( =ID 1808) per cui quantomeno stavolta il mio "proverbiale fiuto" ha errato


PS: aggiornato senza problemi come al solito

[DLINKO]

Quote:

Originariamente inviato da LL1

ok, in effetti deve essere così ( =ID 1808) per cui quantomeno stavolta il mio "proverbiale fiuto" ha errato

Id 1801 = Si tratta di un evento di errore che indica che i certificati aggiornati non sono stati applicati al firmware del dispositivo. Questo evento fornisce alcuni dettagli sul dispositivo, inclusi gli attributi del dispositivo e l'ID contenitore di dispositivi, che ti aiuteranno a correlare i dispositivi che devono ancora essere aggiornati.

Id 1808 = Si tratta di un evento informativo che indica che al dispositivo sono applicati i nuovi certificati di avvio protetto necessari al firmware del dispositivo. Questo evento verrà registrato quando tutti i certificati necessari sono stati applicati al firmware e il boot manager è stato aggiornato al boot manager firmato dal certificato "Windows UEFI CA 2023".

Se ti può servire e se ti dice qualcosa, io 24 ore prima, avevo visto che ASUS aveva rilasciato nuovo BIOS per la mia MB e quindi ho aggiornato, ora, non so se è solo una coincidenza temporale oppure se il nuovo BIOS abbia fatto partire richiesta dei nuovi certificati, il fatto è che il giorno dopo quando ho acceso il PC, mi sono accorto che era avvenuto un aggiornamento senza nessuna notifica e prima dell'avvio di Win 11 ha terminato l'installazione. Poi indagando ho scoperto che si erano aggiornati i certificati.

[DooM33]

Avete sentito?

Windows 11, il nuovo driver NVMe "nativo" fa davvero volare gli SSD: benchmark - HDblog.it https://share.google/HJmLzDIlldMIWSWWt