Windows 11 e 10: con questa modifica nascosta spariscono icone e cartelle personalizzate

Le patch di sicurezza distribuite da Microsoft a giugno 2026 introducono una modifica poco visibile ma destinata ad avere effetti concreti su un vasto numero di sistemi. Con gli aggiornamenti KB5094126 per Windows 11 24H2 e 25H2, KB5093998 per Windows 11 23H2 e KB5094127 per Windows 10 22H2, il sistema operativo smette infatti di considerare attendibili molte personalizzazioni delle cartelle basate sul file desktop.ini quando la loro origine non risulta verificabile.

Inizialmente riportata come un’anomalia da parte degli utenti, Microsoft spiega che si tratta di un intervento voluto. Da Windows XP in poi, la società di Redmond ha dovuto affrontare numerosi problemi legati all’elaborazione automatica di contenuti provenienti da condivisioni remote, percorsi di rete e file scaricati da Internet.

La novità introdotta con gli aggiornamenti KB5094126, KB5093998 e KB5094127 si inserisce proprio su questo solco con l’obiettivo di limitare l’esecuzione implicita di elementi che potrebbero essere manipolati da un aggressore senza richiedere alcuna azione esplicita da parte dell’utente.

Perché desktop.ini è un componente delicato

Il file desktop.ini rappresenta da decenni uno dei meccanismi più particolari della shell Windows: attraverso semplici direttive testuali, il sistema può modificare l’aspetto e il comportamento di una cartella.

Tra le impostazioni più comuni troviamo icone personalizzate, miniature, descrizioni informative e soprattutto il parametro LocalizedResourceName, utilizzato per mostrare nomi differenti rispetto a quelli fisicamente presenti sul disco.

Quando un utente apre una cartella, Esplora file legge automaticamente il contenuto del desktop.ini associato e applica le istruzioni presenti. Il vantaggio è evidente: personalizzazione immediata e trasparente. Il problema nasce dal fatto che per molti anni Windows ha elaborato tali informazioni con un livello di fiducia elevato.

La shell ha storicamente rappresentato una superficie d’attacco interessante. Diversi ricercatori hanno dimostrato come file appositamente costruiti, posizionati su condivisioni remote o percorsi di rete, potessero attivare condizioni anomale durante l’analisi degli attributi. In alcuni scenari si è parlato di buffer overflow e di possibili esecuzioni arbitrarie di codice con i privilegi dell’utente autenticato. Da qui nasce la scelta di Microsoft di adottare criteri di fiducia molto più restrittivi.

Due parole sulla struttura del file

Vale la pena aggiungere un chiarimento perché molti utenti non hanno mai visto direttamente un file desktop.ini pur utilizzando Windows da anni. Il motivo è semplice: desktop.ini è normalmente un file nascosto e contrassegnato come file di sistema. Per visualizzarlo occorre abilitare sia la visualizzazione degli elementi nascosti sia quella dei file protetti del sistema operativo nelle opzioni di Esplora file. In condizioni normali, il file resta invisibile all’utente.

Dal punto di vista tecnico, desktop.ini è un comune file di testo che utilizza una struttura simile a quella dei tradizionali file INI di Windows, comunissimi anche nelle versioni storiche del sistema operativo Microsoft.

Al suo interno sono presenti sezioni e coppie chiave-valore che definiscono il comportamento della cartella. Una configurazione tipica può contenere una sezione come [.ShellClassInfo] seguita da parametri che specificano un’icona personalizzata, un nome custom o un testo descrittivo visualizzato da Esplora file.

Cosa cambia con gli aggiornamenti di giugno 2026

Dopo l’installazione delle nuove patch, Windows ignora i file desktop.ini quando non riesce a stabilire che la sorgente sia affidabile. In pratica, il sistema si comporta come se il file non esistesse.

Gli effetti più evidenti riguardano la scomparsa delle icone personalizzate e dei nomi “customizzati” nelle cartelle. L’accesso ai file continua a funzionare normalmente e nessun contenuto viene bloccato o eliminato.

Microsoft identifica tre categorie principali considerate potenzialmente non attendibili:

1. File scaricati da Internet e contrassegnati con Mark-of-the-Web (MotW);
2. file copiati da determinate risorse remote basate su WebDAV o HTTP;
3. percorsi di rete che non appartengono a zone intranet o che non risultano classificati come attendibili tramite le policy di sicurezza.

La modifica interessa numerose versioni del sistema operativo, comprese Windows 10 22H2, Windows 11 23H2, 24H2, 25H2 e varie edizioni di Windows Server supportate.

Il ruolo del Mark-of-the-Web nelle nuove verifiche

Una parte fondamentale del nuovo meccanismo ruota attorno al Mark-of-the-Web. Si tratta di un’informazione aggiuntiva memorizzata utilizzando funzionalità specifiche del file system NTFS che identificano la provenienza di un file scaricato da Internet.

Quando Windows rileva la presenza del MotW, diverse funzionalità di sicurezza modificano il proprio comportamento. SmartScreen, la funzione Visualizzazione protetta di Office e numerosi componenti del sistema utilizzano già questo indicatore per valutare il rischio associato a un file.

Adesso anche desktop.ini entra in questa logica: se il file porta con sé il contrassegno di origine Internet, Windows evita di applicarne le personalizzazioni in esso contenute. La scelta riduce il rischio che una cartella apparentemente innocua mascheri contenuti costruiti per sfruttare vulnerabilità della shell.

Le opzioni disponibili per amministratori e aziende

Microsoft non impedisce completamente il ripristino del comportamento precedente, ma suggerisce approcci mirati piuttosto che disattivazioni globali.

La soluzione considerata più sicura consiste nell’inserire l’origine dei file tra i siti attendibili di Windows. In questo modo il sistema continua a trattare normalmente i desktop.ini provenienti da sorgenti interne all’impresa.

Le organizzazioni che necessitano della massima compatibilità possono invece utilizzare la policy Consentire l’uso di percorsi remoti nelle icone di scelte rapide da file. L’attivazione ripristina il comportamento precedente alle patch di giugno 2026 anche negli scenari remoti o classificati come non attendibili.

Microsoft invita però a usare questa impostazione con cautela. Una disattivazione estesa delle verifiche riduce infatti la protezione contro contenuti malevoli distribuiti tramite share di rete o archivi remoti.

Dopo essersi accertati della bontà dei contenuti, è eventualmente possibile rimuovere il MotW digitando quanto segue da una finestra PowerShell:

Unblock-File "C:\Your\Folder\Path\desktop.ini"

Per tutti i file desktop.ini in una cartella:

Get-ChildItem "C:\Your\Folder\Path" -Recurse -Filter desktop.ini -Force | Unblock-File

Una modifica che riflette l’evoluzione della sicurezza Windows

L’intervento su desktop.ini è lo specchio della tendenza avviata da Microsoft che intende ridurre i casi in cui il sistema esegue automaticamente operazioni basate su dati provenienti da origini esterne senza una validazione preventiva.

La stessa filosofia ha guidato negli anni l’introduzione di SmartScreen, il rafforzamento delle regole di Zone Policy, l’uso esteso del MotW e numerose protezioni integrate nella shell e nel file manager.

Microsoft ha scelto di privilegiare la sicurezza rispetto alla compatibilità totale: una decisione che può generare qualche inconveniente iniziale, ma che riduce una superficie d’attacco rimasta esposta per molto tempo all’interno della shell di Windows.