Skip to main content

Secure Boot e certificati Windows: guida semplice per preparare PC e Server al 2026

Negli ultimi mesi si parla di un cambiamento importante che riguarderà i computer Windows: nel 2026 Microsoft sostituirà alcuni vecchi certificati di sicurezza usati durante l’avvio del sistema. Abbiamo pensato di far cosa gradita agli amministratori IT ed agli utenti comuni pubblicando una specie di vademecum. Questa guida serve a capire:

  • se il tuo PC è già pronto

  • cosa controllare

  • cosa fare solo se necessario

  • come farlo in modo semplice e sicuro

Buona notizia: nella maggior parte dei casi non devi fare nulla. Qui l'obiettivo è verificare, e non “forzare” aggiornamenti inutili. Sui server il discorso è diverso e richiede più competenze, qui tratteremo solo l'aspetto PC.

Prima di iniziare: cose importanti da sapere

Prima di qualsiasi operazione, considera questi punti.

1. Questa guida è per PC con UEFI e Secure Boot

Se il tuo PC è molto vecchio (prima del 2012 circa), questa guida non è applicabile.

2. Se usi BitLocker

Se sul tuo PC è attiva la crittografia BitLocker:

  • assicurati di avere la chiave di ripristino

  • puoi sospendere temporaneamente BitLocker prima di iniziare

Pannello di controllo → Sistema e sicurezza → Crittografia unità BitLocker → Sospendi protezione

3. Non è obbligatorio fare tutto

Questa guida non serve a “sbloccare” un problema oggi, ma a:

  • verificare

  • prepararsi

  • evitare brutte sorprese in futuro

PASSO 1 – Verifica rapida: il tuo PC è già a posto?

Apriamo PowerShell nel modo corretto.

  1. Clic destro sul pulsante Start

  2. Seleziona Terminale (Amministratore)
    oppure Windows PowerShell (Amministratore)

  3. Conferma con

Ora copia e incolla questo comando unico, poi premi Invio:

$ok = $false
try {
    $bytes = (Get-SecureBootUEFI -Name db).Bytes
    $text1 = [System.Text.Encoding]::ASCII.GetString($bytes)
    $text2 = [System.Text.Encoding]::Unicode.GetString($bytes)
    if ($text1 -match 'UEFI CA 2023' -or $text2 -match 'UEFI CA 2023') {
        $ok = $true
    }
} catch {}

if ($ok) {
    Write-Host "OK: il certificato moderno e' gia' presente. Non devi fare nulla."
} else {
    Write-Host "ATTENZIONE: il certificato non risulta visibile. Prosegui con il Passo 2."
}

Come interpretare il risultato

  • Messaggio OK
    Il tuo PC è già pronto. Puoi fermarti qui.

  • Messaggio di attenzione
    Non significa che il PC sia “rotto”. Significa solo che conviene fare un aggiornamento controllato.

PASSO 2 – Aggiornare in modo sicuro (metodo semplice)

Questo passaggio non modifica il BIOS e usa solo strumenti ufficiali Windows.

1. Abilitare l’aggiornamento (automatico)

Sempre in PowerShell come amministratore, copia e incolla:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Secureboot `
/v AvailableUpdates /t REG_DWORD /d 0x40 /f

Premi Invio.

2. Avviare l’aggiornamento

Ora copia e incolla:

 
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Premi Invio.

3. Riavvia il PC

Dopo il riavvio:

  • riapri PowerShell come amministratore

  • riesegui lo script del Passo 1

Se ora vedi il messaggio OK, sei a posto.

Su alcuni sistemi, in particolare sui server, il certificato potrebbe non risultare visibile con questo controllo anche se è correttamente installato. In tal caso, se Secure Boot resta attivo e il sistema si avvia senza errori dopo i passi successivi, l’aggiornamento può considerarsi riuscito

PASSO 3 – (Facoltativo) Aggiornare il boot di Windows

Questo passaggio serve solo per:

  • PC non recentissimi

  • sistemi che vuoi “blindare” per il futuro

Se non sei sicuro, puoi saltarlo.

Procedura

  1. Apri PowerShell come amministratore

  2. Incolla questo comando:

    reg add HKLM\SYSTEM\CurrentControlSet\Control\Secureboot `
    /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  3. Premi Invio

  4. Poi esegui:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  1. Riavvia il PC

Dopo il riavvio, Windows userà il boot manager più recente.

PASSO 4 – (Avanzato, opzionale) Maggiore sicurezza

Questo passo non è obbligatorio e non va fatto su PC vecchi o critici. Serve a bloccare definitivamente i vecchi certificati.

Considera il tuo scenario: se usi solo Windows aggiornato, o non avvii sistemi vecchi da USB o ancora il PC è recente, beh, allora questo passaggio può migliorare la sicurezza, ma se hai dubbi salta questo passo.

Cosa fare, in pratica

  1. Apri Terminale o Windows PowerShell come amministratore

  2. Copia e incolla questo comando e premi Invio:

 
reg add HKLM\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

Questo comando non applica ancora nulla.
Serve solo a dire a Windows che, al prossimo passo, deve includere anche l’aggiornamento della lista dei certificati non più affidabili.

  1. Ora copia e incolla questo secondo comando e premi Invio:

 
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Con questo comando chiedi a Windows di:

  • aggiornare la lista interna dei certificati bloccati

  • includere quelli molto vecchi, ormai superati

  1. Chiudi tutto e riavvia il computer. Il riavvio è fondamentale, perché le regole di Secure Boot vengono applicate solo all’accensione.

Cosa succede dopo il riavvio

Dopo questa operazione:

  • Windows aggiornato continuerà ad avviarsi normalmente

  • il computer rifiuterà l’avvio di software firmato con certificati molto vecchi

  • eventuali chiavette USB di installazione create anni fa potrebbero non funzionare

Se in futuro dovessi reinstallare Windows, basterà ricreare la chiavetta USB con strumenti aggiornati e/o usare una versione recente dell’installazione.

Una rassicurazione importante

Questo ultimo passaggio non “rompe” il computer e non modifica fisicamente il BIOS. Agisce solo sulle regole di sicurezza usate durante l’avvio. Se non lo fai il computer resta comunque sicuro, compatibile e continuerà a funzionare normalmente. Per questo motivo, se sei indeciso, la scelta migliore è non farlo.

 

 

Cose importanti da NON fare dopo l’aggiornamento

  • Non resettare il BIOS alle impostazioni di fabbrica

  • Non usare l’opzione “Reset Secure Boot Keys”

  • Non avviare da vecchie chiavette USB create anni fa

Se devi reinstallare Windows ricrea la chiavetta USB con strumenti aggiornati ad oggi.

 

Problemi comuni e soluzioni rapide

Errore: “Get-SecureBootUEFI non supportato”

Il PC usa modalità Legacy (non UEFI): Questa guida non è applicabile

Errore: “Secure Boot disattivato”

Entra nel BIOS e attiva Secure Boot, poi riavvia e riprova

Errore: “Attività pianificata non trovata”

Windows non è aggiornato: Vai in Impostazioni → Windows Update e aggiorna

Tirando le somme

  • Se il tuo PC è recente e aggiornato → probabilmente era già pronto

  • Questa guida serve a verificare, non a creare problemi

  • Non serve “correre”: Microsoft distribuirà questi aggiornamenti gradualmente

  • Fare il controllo oggi significa dormire tranquilli domani

Blog

A cura dello Staff di Comunicazione
Articolo di Fabio Crudele

Altre Notizie Pertinenti