Windows 7 non si aggiorna più senza antivirus: incredibile ma vero

Windows 7 sarà supportato fino al 14 gennaio 2020 con il rilascio degli aggiornamenti ufficiali da parte di Microsoft. Lo conferma la stessa azienda di Redmond in questa pagina spiegando che gli utenti possessori di qualunque edizione di Windows 7 correttamente aggiornata al Service Pack 1 (SP1) potranno godere del supporto extended.

Ci siamo però accorti che Windows 7, indipendentemente dall’edizione installata, non si aggiorna più se l’utente non ha installato un software antimalware auto-dichiaratosi compatibile con le patch anti Meltdown e Spectre.

L’antefatto è ormai probabilmente noto a tutti: dopo i problemi provocati dalle patch per Windows (e per altri sistemi operativi) che consentono di lenire gli effetti diretta conseguenza delle vulnerabilità dei processori conosciute con l’appellativo di Meltdown e Spectre (vedere Verificare se il processore in uso è vulnerabile a Meltdown e Spectre), Microsoft ha deciso di richiedere agli sviluppatori di antimalware una sorta di autocertificazione.

Poiché alcuni software per la sicurezza che effettuano chiamate dirette alla memoria usata dal kernel di Windows provocano la comparsa di schermate blu in presenza delle patch anti Meltdown e Spectre, Microsoft ha imposto agli sviluppatori di soluzioni antimalware l’aggiunta di un apposito valore nel registro di Windows: Ecco gli antivirus compatibili con le patch Windows contro Meltdown e Spectre.

Tale valore si presenta come un DWORD (dal nome cadca5fe-87d3-4b96-b7fb-a231484277cc) inserito nella chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat.
L’aggiunta di tale valore DWORD nel registro di Windows da parte dei vari produttori antivirus certifica la compatibilità del prodotto installato con le patch Microsoft anti Meltdown e Spectre e conferma che la soluzione per la sicurezza non effettua verifiche “non standard” sul contenuto della memoria.

Windows 7 non si aggiorna più sui sistemi ove non è installato un antivirus

Peccato però che in forza del requisito recentemente introdotto da Microsoft, Windows 7 non si aggiorna più nel caso in cui l’utente utilizzasse solo Windows Defender e non si affidasse a un antivirus sviluppato da terze parti.

Il Windows Defender di Windows 7 è infatti un software molto diverso dalla versione integrata in Windows 8.1 e Windows 10: la sua protezione antimalware è molto limitata rispetto a quella esercitata dalle precedenti versioni di Windows e non imposta automaticamente il valore di registro richiesto da Microsoft.
Microsoft, in questo documento di supporto, raccomanda agli utenti di Windows 7 l’installazione di Security Essentials o di antimalware sviluppati da terze parti ma non indica esplicitamente che l’utilizzo di Windows 7 con il solo Windows Defender blocca la ricezione degli aggiornamenti.

Per maggior sicurezza, abbiamo provato a installare le edizioni Home Premium e Professional di Windows 7 utilizzando le indicazioni riportate nel nostro articolo Scaricare Windows 7, Windows 8.1 e Windows 10 dai server Microsoft.

Abbiamo quindi provveduto a richiedere a Windows Update il download di tutti gli aggiornamenti disponibili: il download e l’installazione funzionano ma il tutto è limitato ai Monthly Rollup o Aggiornamenti cumulativi mensili che Microsoft ha rilasciato fino al mese di dicembre 2017.

Nella configurazione di default (senza aver installato antivirus di terze parti), quindi, Windows 7 non installa più gli aggiornamenti recenti, quelli successivi a dicembre 2017, “dimenticandosi” sia di quelli di gennaio che di quelli di febbraio 2018.

Accedendo a Windows Update e cliccando su Visualizza cronologia aggiornamenti, ecco gli aggiornamenti che risultano installati:

Come si vede, l’ultimo Aggiornamento cumulativo mensile installato è proprio quello che risale a dicembre 2017.
Provando a forzare una scansione degli aggiornamenti disponibili (Controlla aggiornamenti), Windows Update non rileva alcuna patch sui server Microsoft (messaggio Nessun aggiornamento importante disponibile).

Come risolvere il problema e scaricare gli aggiornamenti per Windows 7 più recenti

Sui sistemi Windows 7 dove non si utilizza alcun antivirus (solo il Windows Defender di Microsoft), per risolvere il problema basta scaricare questo file quindi fare doppio clic sul file .REG contenuto al suo interno (bisognerà acconsentire alla modifica del contenuto del registro di sistema).
Il file REG non farà altro che aggiungere il valore DWORD citato in precedenza.
Per rendere effettive le modifiche, si dovrà riavviare Windows.

A questo punto, tornando in Windows Update, verranno proposti anche i pacchetti di aggiornamento più recenti:

Con un clic su N aggiornamenti importanti sono disponibili, si potrà verificare come – questa volta – Windows Update abbia rilevato anche gli aggiornamenti più recenti.

Aggiornamento: abbiamo verificato che lo stesso problema illustrato nell’articolo interessa anche Windows Server 2008 R2. In configurazione predefinita, senza antivirus installati, Windows Server 2008 R2 riceve soltanto gli aggiornamenti rilasciati da Microsoft fino a dicembre 2017, non quelli successivi: La chiave di registro che attesta la compatibilità degli antivirus in Windows 10 non sarà più controllata.