Windows Update: come gestire gli aggiornamenti

• Patch management
• Windows 10

Vi abbiamo detto in tutte le salse quanto sia importante installare gli aggiornamenti che Microsoft distribuisce mensilmente in occasione del suo “patch day” (il secondo martedì del mese). Installare le patch per le varie versioni di Windows è fondamentale, limitandosi però a quelle che risolvono problematiche legate alla sicurezza.
Nonostante Microsoft da tempo non rilasci più patch singole ma piuttosto metta a disposizione mensilmente pacchetti di aggiornamento cumulativi, sia su IlSoftware.it che sul sito dell’Internet Storm Center (ISC) si trovano le indicazioni su quelli che sono gli update indispensabili.

Non è infatti buona regola, sulla scorta dei problemi che talvolta vengono segnalati dagli utenti che per primi installano i nuovi aggiornamenti Microsoft, correre a installare subito le patch del mese. Non appena queste vengono rilasciate, però, si può fare una ricerca sul sito di ISC, cliccando qui, e cercare le analisi dei più recenti “Microsoft Patch Tuesday” via a via pubblicate.
Qui si possono trovare informazioni essenziali sulle vulnerabilità che Microsoft ha risolto, la gravità di ciascun problema (colonna Severity) e sapere se ciascuna falla fosse già nota pubblicamente (Disclosed) o addirittura già sfruttata per condurre attacchi mirati o su più vasta scala (Exploited).

Il Common Vulnerability Scoring System (CVSS) è un punteggio con cui viene valutata, nel suo complesso, la gravità di ogni problematica di sicurezza, utile per valutare l’installazione degli aggiornamenti.

L’identificativo CVE (Common Vulnerabilities and Exposures) fa riferimento a un database di pubblico accesso (mantenuto da MITRE Corporation) che offre un completo identikit sulle problematiche di sicurezza scoperte in ciascun software, su qualsiasi piattaforma.
Per cercare rapidamente il bollettino Microsoft corrispondente a uno specifico CVE, basta digitare l’URL https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ nella barra degli indirizzi incollandovi alla fine l’identificativo d’interesse. Cliccando sui link nella colonna Download, spesso è possibile trovare aggiornamenti “delta” scaricabili manualmente dai server Microsoft (dal Microsoft Update Catalog): essi consentono di evitare l’installazione di pacchetti molto più pesanti.

Analizzare mensilmente le patch Microsoft è importante per capire le problematiche che vengono risolte e che, in mancanza degli aggiornamenti, possono impattare negativamente sui singoli PC, sulle workstation, sui server, all’interno di uffici e imprese di qualunque dimensione.

È ovvio che se si utilizzasse un server di desktop remoto (protocollo RDP) esposto su Internet e venisse scoperta una grave falla di sicurezza, la patch va immediatamente installata: RDP, cos’è e perché gli attacchi brute force sono in aumento (è successo proprio di recente: Messo a punto codice exploit per la falla scoperta in Desktop remoto).
Se però si utilizzasse un software Microsoft che non risulta pubblicamente raggiungibile sull’interfaccia WAN si può sicuramente attendere qualche giorno (o addirittura settimane) valutando l’effettiva necessità di applicare le patch.

Anche perché scaricare gli aggiornamenti sui sistemi server implica un breve fermo della macchina (per procedere al riavvio) con tutto ciò che ne consegue in termini di disponibilità dei servizi.

Ovvio che se i propri utenti utilizzassero in maniera intensiva il pacchetto Microsoft Office e venisse pubblicato un aggiornamento che risolve l’esecuzione di codice dannoso all’apertura di file .DOC o .DOCX malevoli (oppure file in altro formato), questo andrebbe installato e distribuito sulle workstation quanto prima. Non si vorrà correre il rischio che a seguito di un’email truffaldina che superasse i filtri antivirus e antispam, un dipendesse aprisse un allegato malevolo mettendo così potenzialmente a soqquadro l’intera infrastruttura aziendale?

Un’occhiata mensile alle patch che Microsoft rilascia è quindi un’operazione che non dovrebbe essere mai posta in secondo piano.
Validissimo a tale proposito è il sito Patch Tuesday Dashboard che ordina le vulnerabilità sanate ogni mese da Microsoft partendo dalle falle più pericolose (valore riportato nella colonna CVSS v3).

Windows Update in Windows 10: un Software-as-a-Service

Chi utilizza Windows 10 sa benissimo che il sistema operativo, per impostazione predefinita, provvede a scaricare gli aggiornamenti automaticamente e a installarli di sua sponte senza nulla chiedere all’utente.
Microsoft ha recentemente chiarito l’approccio che viene utilizzato per la gestione dell’aggiornamento di Windows e ha spiegato che gli aggiornamenti disponibili afferiscono a tre classi: “B”, “C” e “D”: Windows 10, il controllo manuale degli aggiornamenti installa patch non indispensabili.

I primi sono quelli che effettivamente risolvono problematiche di sicurezza mentre i “C” e “D” non sono indispensabili.

Periodicamente Microsoft rilascia corposi aggiornamenti di Windows 10, detti feature update, che vengono distribuiti partendo da coloro che nelle impostazioni di Windows Update (cliccare su Opzioni avanzate) hanno scelto Canale di distribuzione (mirato).
Come abbiamo suggerito nell’articolo Aggiornamento Windows 10: eseguirlo da professionisti, l’utilizzo del Canale di distribuzione (mirato) in Windows Update è consigliabile solo su “dispositivi pilota” come quelli che usano chipset e funzionalità più recenti ma non su quelli che forniscono servizi o che sono usati per scopi spiccatamente produttivi.
Con il rilascio di Windows 10 Aggiornamento di maggio 2019 (versione 1903) la differenziazione è venuta meno: Canale semestrale Windows 10: addio all’attuale distinzione.

Se è vero che gli aggiornamenti Microsoft per la sicurezza, lasciati trascorrere alcuni giorni dal loro rilascio (almeno 7-10 per le problematiche che non impattano direttamente sui software che si utilizzano fattivamente, che possono essere accessibili dall’esterno, che possono essere sfruttate per eseguire codice arbitrario o acquisire privilegi più elevati), devono essere installati, per applicare i feature update di Windows 10 c’è tempo, quantificabile in un anno e mezzo dalla data di rilascio per le edizioni Home e Pro; addirittura 30 mesi per le edizioni Enterprise ed Education.
In questa pagina sono indicate le versioni di Windows 10 che già oggi non sono più supportate da Microsoft e che quindi non ricevono più alcun aggiornamento di sicurezza.

Massima attenzione, quindi, alle date riportate nelle colonne Fine del servizio per le edizioni Home, Pro e Pro for Workstation e Fine del servizio per le edizioni Enterprise ed Education.
Per stabilire l’edizione e la versione di Windows 10 in uso, lo ricordiamo, basta premere la combinazione di tasti Windows+R e digitare winver.
Microsoft ha comunicato che da giugno 2019 tutte le versioni più vecchie di Windows 10, ormai non più supportato o vicine alla data di “fine vita”, verranno automaticamente aggiornate: Microsoft installerà la versione più recente di Windows 10 all’avvicinarsi della fine del supporto.

Seguendo le indicazioni riportate nell’articolo Sospendere l’aggiornamento a Windows 10 si può comunque posticipare il download e l’installazione automatica dei feature update di Windows 10 anche se, a questo punto, la procedura non vale più per Windows 10 Aggiornamento di maggio 2019 (versione 1903) e successivi perché Microsoft si asterrà dall’installare automaticamente nuovi feature update sulle versioni di Windows 10 correntemente supportate.

Come posticipare l’installazione degli aggiornamenti di qualunque tipo a partire da Windows 10 Aggiornamento di maggio 2019 o Windows 10 May 2019 Update

Con il rilascio di Windows 10 Aggiornamento di maggio 2019 (versione 1903) anche gli utenti della versione Home di Windows 10 possono posticipare l’installazione degli aggiornamenti di sistema tramite Windows Update.
Per procedere in tal senso, basta digitare Impostazioni di Windows Update nella casella di ricerca di Windows 10 quindi cliccare sul nuovo pulsante Sospendi aggiornamenti per 7 giorni.

All’avvicinarsi della data di scadenza della “sospensione”, è possibile ripetere la procedura per far slittare l’installazione degli aggiornamenti di Windows per ulteriori 7 giorni.
L’operazione può essere ripetuta per un massimo di 5 volte: ciò significa che gli utenti dell’edizione Home di Windows 10 hanno a disposizione 35 giorni giorni prima di installare gli aggiornamenti di sistema.

In alternativa è possibile cliccare su Opzioni avanzate o digitare direttamente Opzioni avanzate Windows Update nella casella di ricerca: si troverà il menu a tendina Sospendi fino a che consente di indicare una data precisa.

Gli utenti di Windows 10 Pro, Enterprise ed Education possono comunque sempre ricorrere all’Editor dei criteri di gruppo per posticipare l’installazione degli aggiornamenti per periodi più lunghi e, soprattutto, ripristinare il comportamento di Windows 7 che permetteva di avvertire circa la disponibilità di nuovi aggiornamenti e lasciava decidere l’utente quando applicarli.

La procedura da seguire è molto semplice ed è descritta nell’articolo Come disattivare gli aggiornamenti automatici in Windows 10.

Un’impostazione utilissima, questa, anche al fine di limitare la banda di rete complessivamente impegnata dai vari sistemi Windows 10 che quasi in contemporanea scaricano e installano gli aggiornamenti importanti disponibili: Gli aggiornamenti di Windows 10 occupano tutta la banda di rete: cosa fare.

L’impostazione in figura (Notifica per download e installazione automatica) consente di ripristinare un comportamento tanto caro agli utenti di Windows 7 e supera qualunque impostazione applicata in precedenza usando l’interfaccia di Windows Update, su Windows 10.
Tant’è vero che dopo l’applicazione della regola mediante l’Editor Criteri di gruppo locali (gpedit.msc), tornando nella finestra di Windows Update si vedrà apparire la frase Alcune impostazioni sono gestite dall’organizzazione.

Cliccando su Visualizza criteri di aggiornamento configurati, in corrispondenza di Criteri configurati sul dispositivo, si troveranno i riferimenti alla policy impostata mediante l’Editor Criteri di gruppo locali.

La frase Alcune impostazioni sono gestite dall’organizzazione compare solo dopo il riavvio della macchina e non istantaneamente (è necessario attendere qualche minuto affinché i processi legati a Windows Update si inizializzino completamente). Cliccare eventualmente sul pulsante Verifica disponibilità aggiornamenti per forzare la comparsa della frase.

Ha senso disattivare il pulsante per la verifica degli aggiornamenti di Windows Update?

Le recenti puntualizzazioni di Microsoft (Windows 10, il controllo manuale degli aggiornamenti installa patch non indispensabili) avevano fatto emergere un aspetto importante, precedentemente non noto, almeno non ufficialmente.
Digitando Verifica disponibilità aggiornamenti nella casella di ricerca di Windows 10 si accede alla schermata principale di Windows Update.
Cliccando sul pulsante Verifica disponibilità aggiornamenti, Windows 10 scaricava e installava anche aggiornamenti che non sono affatto indispensabili, non limitandosi quindi soltanto a quelli specifici per la risoluzione delle problematiche di sicurezza.

Adesso, per fortuna, questo comportamento è stato modificato: Verifica disponibilità aggiornamenti Windows 10: Microsoft ne modifica il funzionamento.

Per evitare che gli utenti installino aggiornamenti superflui, è possibile usare una semplice ma efficace “gabola”. Quanto illustrato di seguito, che permette di nascondere il pulsante Verifica disponibilità aggiornamenti dovrebbero però essere usato solo sui sistemi Windows 10 configurati per installare automaticamente gli aggiornamenti qualitativi.

In Windows 10 Pro e nelle edizioni superiori del sistema operativo, basta premere la combinazione di tasti Windows+R quindi digitare gpedit.msc e premere Invio.
Alla comparsa dell’Editor Criteri di gruppo locali, basterà portarsi nella sezione Configurazione computer, Modelli amministrativi, Componenti di Windows, Windows Update, fare doppio clic nel pannello di destra sulla regola Rimuovi l’accesso per l’uso delle funzionalità di Windows Update quindi scegliere l’opzione Attivata e confermare con la pressione del pulsante OK.

Questo tipo di intervento, peraltro semplicissimo da porre in essere, consente di nascondere il pulsante Verifica disponibilità aggiornamenti senza impedire a Windows 10 di scaricare e attivare gli aggiornamenti essenziali.

In alternativa, su tutte le versioni di Windows 10, quindi anche la Home, è possibile nascondere il pulsante Verifica disponibilità aggiornamenti agendo sul registro di sistema.

Basta aprire il prompt dei comandi con i diritti di amministratore (digitare cmd nella casella di ricerca di Windows 10 quindi premere CTRL+MAIUSC+INVIO) quindi scrivere quanto segue:

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v SetDisableUXWUAccess /t REG_DWORD /d 1 /f

Se si volesse, in un secondo tempo, annullare la modifica e riabilitare il pulsante Verifica disponibilità aggiornamenti per visualizzare gli aggiornamenti nel loro complesso, anche quelli non indispensabili, basterà usare il comando seguente:

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v SetDisableUXWUAccess /t REG_DWORD /d 0 /f

Va tenuto presente che prima che le modifiche vengano prese in carico da Windows Update, potrebbero trascorrere alcuni minuti.