16815 Letture
Windows Update: come gestire gli aggiornamenti

Windows Update: come gestire gli aggiornamenti

Qualche suggerimento per la gestione degli aggiornamenti disponibili su Windows Update, quando installarli e come si comporta Windows 10. Come disattivare il pulsante per la verifica degli aggiornamenti nell'interfaccia del sistema operativo.

Vi abbiamo detto in tutte le salse quanto sia importante installare gli aggiornamenti che Microsoft distribuisce mensilmente in occasione del suo "patch day" (il secondo martedì del mese). Installare le patch per le varie versioni di Windows è fondamentale, limitandosi però a quelle che risolvono problematiche legate alla sicurezza.
Nonostante Microsoft da tempo non rilasci più le patch singole ma piuttosto si limiti a mettere a disposizione, ogni mese, pacchetti di aggiornamento cumulativi, sia su IlSoftware.it che sul sito dell'Internet Storm Center (ISC) si trovano le indicazioni su quelli che sono gli update indispensabili.

Non è infatti buona regola, sulla scorta dei problemi che talvolta vengono segnalati dagli utenti che per primi installano i nuovi aggiornamenti Microsoft, correre a installare subito le patch del mese. Non appena queste vengono rilasciate, però, si può fare una ricerca sul sito di ISC, cliccando qui, e individuare le analisi dei più recenti "Microsoft Patch Tuesday" via a via pubblicate.
Qui si possono trovare informazioni essenziali sulle vulnerabilità che Microsoft ha risolto, la gravità di ciascun problema (colonna Severity) e sapere se ciascuna falla fosse già nota pubblicamente (Disclosed) o addirittura già sfruttata per condurre attacchi mirati o su più vasta scala (Exploited).
Il Common Vulnerability Scoring System (CVSS) è un punteggio con cui viene valutata, nel suo complesso, la gravità di ogni problematica di sicurezza.

Windows Update: come gestire gli aggiornamenti

L'identificativo CVE (Common Vulnerabilities and Exposures) fa riferimento a un database di pubblico accesso (mantenuto da MITRE Corporation) che offre un completo identikit sulle problematiche di sicurezza scoperte in ciascun software, su qualsiasi piattaforma.
Per cercare rapidamente il bollettino Microsoft corrispondente a uno specifico CVE, basta digitare l'URL https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ nella barra degli indirizzi incollandovi alla fine l'identificativo d'interesse. Cliccando sui link nella colonna Download, spesso è possibile trovare aggiornamenti "delta" scaricabili manualmente dai server Microsoft (dal Microsoft Update Catalog) e che consentono di evitare l'installazione di pacchetti molto più pesanti.

Analizzare mensilmente le patch Microsoft è importante per capire le problematiche che esse vanno a risolvere possono impattare sui singoli PC, sulle workstation, sui server, all'interno di uffici e imprese di qualunque dimensione.

È ovvio che se si utilizzasse un server di desktop remoto (protocollo RDP) esposto su Internet e venisse scoperta una grave falla di sicurezza, la patch va immediatamente installata: RDP, cos'è e perché gli attacchi brute force sono in aumento. Se però si utilizzasse un software Microsoft che non risulta pubblicamente raggiungibile dalla rete WAN si può attendere qualche giorno e valutare l'effettiva necessità di applicare le patch.


Anche perché scaricare gli aggiornamenti sui sistemi server implica un breve fermo della macchina (per procedere al riavvio) con tutto ciò che ne consegue in termini di disponibilità dei servizi.

Ovvio che se i propri utenti utilizzassero in maniera intensiva il pacchetto Microsoft Office e venisse pubblicato un aggiornamento che risolve l'esecuzione di codice dannoso all'apertura di file .DOC o .DOCX malevoli, questo andrebbe installato e distribuito sulle workstation quanto prima. Non si vorrà correre il rischio che a seguito di un'email truffaldina che superasse i filtri antivirus e antispam, un dipendesse aprisse un allegato malevolo mettendo potenzialmente a soqquadro l'intera infrastruttura aziendale?

Un'occhiata mensile alle patch che Microsoft rilascia è quindi un'operazione che non dovrebbe essere mai posta in secondo piano.
Validissimo a tale proposito è il sito Patch Tuesday Dashboard che ordina le vulnerabilità sanate ogni mese da Microsoft partendo dalle falle più pericolose (valore riportato nella colonna CVSS v3).

Windows Update in Windows 10: un Software-as-a-Service

Chi utilizza Windows 10 sa benissimo che il sistema operativo, per impostazione predefinita, provvede a scaricare gli aggiornamenti automaticamente e a installarli di sua sponte senza nulla chiedere all'utente.
Microsoft ha recentemente chiarito l'approccio che viene utilizzato per la gestione dell'aggiornamento di Windows e ha spiegato che gli aggiornamenti disponibili ricadono in tre classi: "B", "C" e "D": Windows 10, il controllo manuale degli aggiornamenti installa patch non indispensabili.

I primi sono quelli che effettivamente risolvono problematiche di sicurezza mentre i "C" e "D" non sono indispensabili. Periodicamente Microsoft rilascia corposi aggiornamenti di Windows 10, detti feature update, che vengono distribuiti partendo da coloro che nelle impostazioni di Windows Update (cliccare su Opzioni avanzate) hanno scelto Canale di distribuzione (mirato).
Come abbiamo suggerito nell'articolo Aggiornamento Windows 10: eseguirlo da professionisti, l'utilizzo del Canale di distribuzione (mirato) in Windows Update è consigliabile solo su "dispositivi pilota" come quelli che usano chipset e funzionalità più recenti ma non su quelli che forniscono servizi o che sono usati per scopi spiccatamente produttivi.

Se è vero che gli aggiornamenti Microsoft per la sicurezza, lasciati trascorrere alcuni giorni dal loro rilascio (almeno 7-10 per le problematiche che non impattano direttamente sui software che si utilizzano fattivamente, che possono essere accessibili dall'esterno, che possono essere sfruttate per eseguire codice arbitrario o acquisire privilegi più elevati), devono essere installati, per applicare i feature update di Windows 10 c'è tempo, quantificabile in circa un anno e mezzo dalla data di rilascio.
In questa pagina sono indicate le versioni di Windows 10 che già oggi non sono più supportate da Microsoft e che quindi non ricevono più alcun aggiornamento di sicurezza.


Windows Update: come gestire gli aggiornamenti

Massima attenzione, quindi, alle date riportate nelle colonne Fine del servizio per le edizioni Home, Pro e Pro for Workstation e Fine del servizio per le edizioni Enterprise ed Education.
Per stabilire l'edizione e la versione di Windows 10 in uso, lo ricordiamo, basta premere la combinazione di tasti Windows+R e digitare winver.

Windows Update: come gestire gli aggiornamenti

Seguendo le indicazioni riportate nell'articolo Sospendere l'aggiornamento a Windows 10 Aggiornamento di ottobre 2018 si possono sospendere il download e l'installazione automatica dei feature update di Windows 10.

Ha senso disattivare il pulsante per la verifica degli aggiornamenti di Windows Update?

Le recenti puntualizzazioni di Microsoft (Windows 10, il controllo manuale degli aggiornamenti installa patch non indispensabili) hanno fatto emergere un aspetto importante, precedentemente non noto, almeno non ufficialmente.

Digitando Verifica disponibilità aggiornamenti nella casella di ricerca di Windows 10 si accede alla schermata principale di Windows Update.
Cliccando sul pulsante Verifica disponibilità aggiornamenti, Windows 10 scaricherà e installerà anche aggiornamenti che non sono affatto indispensabili, non limitandosi quindi soltanto a quelli specifici per la risoluzione delle problematiche di sicurezza.


Per evitare che altri utenti facciano clic sul pulsante, è possibile usare una semplice ma efficace "gabola".
In Windows 10 Pro e nelle edizioni superiori del sistema operativo, basta premere la combinazione di tasti Windows+R quindi digitare gpedit.msc e premere Invio.
Alla comparsa dell'Editor Criteri di gruppo locali, basterà portarsi nella sezione Configurazione computer, Modelli amministrativi, Componenti di Windows, Windows Update, fare doppio clic nel pannello di destra sulla regola Rimuovi l'accesso per l'uso delle funzionalità di Windows Update quindi scegliere l'opzione Attivata e confermare con la pressione del pulsante OK.

Windows Update: come gestire gli aggiornamenti

Questo tipo di intervento, peraltro semplicissimo da porre in essere, consente di nascondere il pulsante Verifica disponibilità aggiornamenti senza impedire a Windows 10 di scaricare e attivare gli aggiornamenti essenziali.

Windows Update: come gestire gli aggiornamenti

In alternativa, su tutte le versioni di Windows 10, quindi anche la Home, è possibile nascondere il pulsante Verifica disponibilità aggiornamenti agendo sul registro di sistema.

Windows Update: come gestire gli aggiornamenti

Basta aprire il prompt dei comandi con i diritti di amministratore (digitare cmd nella casella di ricerca di Windows 10 quindi premere CTRL+MAIUSC+INVIO) quindi scrivere quanto segue:


reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v SetDisableUXWUAccess /t REG_DWORD /d 1 /f

Se si volesse, in un secondo tempo, annullare la modifica e riabilitare il pulsante Verifica disponibilità aggiornamenti per visualizzare gli aggiornamenti nel loro complesso, anche quelli non indispensabili, basterà usare il comando seguente:

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v SetDisableUXWUAccess /t REG_DWORD /d 0 /f

Va tenuto presente che prima che le modifiche vengano prese in carico da Windows Update, potrebbero trascorrere alcuni minuti.

Windows Update: come gestire gli aggiornamenti