KB5065789: Cos'è e cosa contiene l'aggiornamento per Windows 11 24H2 e 25H2

Microsoft ha reso disponibile la preview cumulativa per Windows 11 24H2 (in realtà lo stesso pacchetto è proposto anche su Windows 11 25H2 scaricabile in anteprima) contraddistinta dall’identificativo KB5065789. Si tratta di un aggiornamento opzionale che introduce 41 miglioramenti tra nuove funzionalità AI, correzioni di bug e ottimizzazioni di sistema.

L’update rientra nel programma mensile Microsoft che prevede la distribuzione di pacchetti facoltativi “di anteprima”, pensati per consentire agli amministratori IT di testare le novità e risolvere problemi prima del tradizionale Patch Tuesday (in questo caso previsto per il 14 ottobre prossimo).

A differenza degli aggiornamenti di sicurezza, le anteprime mensili non includono patch di sicurezza, ma si concentrano su stabilità, performance e nuove funzionalità.

Cosa contiene il pacchetto KB5065789 per Windows 11?

• Windows Sandbox. Risolto un problema noto che causava blocchi del PC quando la funzionalità Windows Sandbox, sempre protagonista anche in Windows 11, risultava abilitata. L’anomalia era collegata al processo VmmemCMFirstBoot che consumava elevate quantità di CPU subito dopo l’accesso.
• Windows Update e WSUS. L’aggiornamento KB5065789 integra le correzioni per alcuni bug che impedivano l’aggiornamento tramite Windows Server Update Services. Risolve anche la comparsa di errori 0x80090010 con Windows Hello sui dispositivi collegati a domini Microsoft Entra ID dopo l’installazione di aggiornamenti recenti.
• Esplora file e AI. Il pacchetto introduce Azioni AI integrate in Esplora file, come la modifica di immagini e la sintesi di documenti. Il menu contestuale “Click to Do” è stato aggiornato per rendere più immediata la scoperta delle Azioni AI.
• Administrator Protection. KB5065789 porta al debutto questa nuova caratteristica di Windows 11 che protegge i privilegi amministrativi temporanei, consentendo esecuzioni just-in-time delle operazioni a più elevato privilegio. Disattivata di default, Administrator Protection può essere abilitata tramite OMA-URI in Intune o policy di gruppo.
• Gestione Passkey. Nuova integrazione con il plugin Passkey Manager, che consente di gestire credenziali sicure tramite applicazioni compatibili. Configurabile accedendo alle impostazioni di Windows 11 quindi cliccando su Account, Passkey, Opzioni avanzate.
• Migliorie gaming e display. Ottimizzazioni per Game Bar e altre overlay “in-game“, con benefici evidenti su configurazioni multi-monitor a refresh rate differenti.
• HDR. KB5065789 sistema un problema legato alla gestione HDR che causava lo spegnimento immediato della funzione dopo la sua stessa attivazione.
• Hyper-V su ARM64. Risolto un problema che impediva l’avvio delle macchine virtuali Hyper-V con TPM su dispositivi ARM64 dopo l’installazione di KB5064081.

Cos’è Administrator Protection e come funziona

A valle del rilascio del pacchetto “di anteprima” per Windows 11 KB5065789, merita un approfondimento l’introduzione di Administrator Protection.

Gli account con privilegi amministrativi hanno il potere di modificare configurazioni di sistema, installare software e accedere a dati sensibili. Tali privilegi rappresentano un vettore di attacco importante, tanto che gli incidenti incentrati sul furto di token e gli abusi dei diritti utente sono in continua crescita, come indicato dal Microsoft Digital Defense Report 2024 (circa 39.000 eventi al giorno).

Administrator Protection interviene proteggendo gli account senza limitarne la funzionalità: gli utenti possono continuare a svolgere le loro attività, ma ogni operazione critica richiede una verifica aggiuntiva.

Autenticazione e token amministrativi temporanei

Prima di eseguire un’operazione che richiede privilegi amministrativi (i.e. installazione di software, modifica del registro o accesso a dati personali), l’utente deve autenticarsi tramite Windows Hello, garantendo che l’azione sia autorizzata e consapevole.

Gli utenti sono inizialmente gestiti con token limitati: quando un’operazione richiedesse privilegi elevati, Windows crea un token amministrativo isolato e temporaneo, valido solo per quella sessione. Dopo il completamento dell’operazione, il token viene eliminato. Ciò impedisce che i privilegi rimangano attivi oltre il necessario.

I token amministrativi sono generati in account separati e nascosti, isolati dal profilo utente. Ciò impedisce che malware o software dannosi con diritti minimi possano compromettere la sessione e farsi largo sul sistema.