KB5067036 attiva Protezione amministratore (Administrator Protection) in Windows 11: UAC migliorato

Secondo Microsoft, nonostante la presenza della nota funzionalità UAC (User Account Control) in Windows, gli utenti continuerebbero ad abusare degli account amministrativi anche per le operazioni quotidiane (che invece presupporrebbero l’impiego di account di tipo standard). La nuova funzione Protezione amministratore (Administrator Protection in inglese), al debutto in Windows 11 25H2, è progettata per migliorare la sicurezza del sistema operativo limitando l’uso dei privilegi amministrativi e garantendo che tali diritti siano concessi solo quando strettamente necessario e in modo controllato.

Quando la funzione è attivata, gli utenti amministratori accedono al sistema con i permessi limitati tipici di un utente normale. L’approccio riduce l’esposizione del sistema ad attacchi, poiché non tutte le operazioni più “profonde” possono essere eseguite automaticamente. Si pensi ad esempio a quelle che comportano modifiche di rilievo sulla configurazione del sistema operativo.

La nuova protezione richiede che l’amministratore di Windows 11 si autentichi con Windows Hello usando il PIN personale oppure un metodo biometrico (riconoscimento facciale o impronta digitale).

L’aggiornamento KB5067036 introduce Protezione amministratore (Administrator Protection) in Windows 11 25H2 e Windows 11 24H2

Il meccanismo della Protezione amministratore, introdotto in Windows 11, garantisce che solo il legittimo proprietario del dispositivo possa autorizzare azioni potenzialmente rischiose. Quali? Ad esempio l’installazione di nuovi software o driver, la modifica del contenuto del registro di sistema, l’accesso a impostazioni avanzate e risorse critiche.

Per abilitare Protezione amministratore, è possibile accedere alla schermata principale di Windows Update in Windows 11 24H2 o Windows 11 25H2, cliccare su Verifica disponibilità aggiornamenti quindi premere su Scarica e installa in corrispondenza di Anteprima aggiornamento (KB5067036). Il pacchetto di aggiornamento è installato automaticamente nel caso in cui l’utente avesse abilitato l’opzione Ottieni gli ultimi aggiornamenti non appena sono disponibili.

In alternativa, è possibile scaricare e installare KB5067036 facendo riferimento al Microsoft Update Catalog.

Policy di gruppo o Intune

L’azienda di Redmond indica che la nuova Protezione amministratore è per adesso attivabile tramite Intune o policy di gruppo. Nello specifico, dopo aver installato il pacchetto KB5067036, si deve premere Windows+R, digitare gpedit.msc quindi accedere alla sezione Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri locali, Opzioni di sicurezza.

Qui bisogna individuare le seguenti regole e impostarle (con un doppio clic) così come indicato, sostituendo i valori predefiniti:

• Controllo dell’account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in esecuzione con Protezione amministratore → Richiedi consenso sul desktop sicuro

• Controllo dell’account utente: configurare il tipo di modalità approvazione Amministrazione → Modalità Approvazione amministratore con Protezione amministratore

Gestione delle funzionalità di Protezione amministratore dalle impostazioni di Windows 11

La Protezione amministratore non risulta ancora attivabile dalla finestra Sicurezza di Windows, neppure dopo aver installato l’aggiornamento KB5067036.

In futuro, tuttavia, la voce Protezione amministratore apparirà nella schermata accessibile digitando Sicurezza di Windows nella casella di ricerca del sistema operativo, cliccando su Protezione account, quindi scorrendo fino a trovare la sezione Protezione amministratore.

Vantaggi della nuova funzionalità Protezione amministratore

• Riduzione del rischio di malware: I malware non possono eseguire operazioni critiche senza il consenso esplicito dell’utente, limitando la loro capacità di causare danni.
• Maggior sicurezza per le applicazioni non firmate: I prompt di autorizzazione includono elementi visivi migliorati, come aree codificate a colori, che aiutano l’utente a distinguere tra applicazioni affidabili e non affidabili.
• Controllo granulare: Gli utenti hanno maggiore consapevolezza e controllo su quali operazioni vengono eseguite con privilegi elevati.
• Prevenzione contro abusi interni: In ambienti condivisi o aziendali, Protezione amministratore impedisce che un account amministrativo sia sfruttato per disporre modifiche non autorizzate.

Mentre UAC mostra un semplice prompt per richiedere l’autorizzazione, Protezione amministratore va ben oltre. Richiede infatti l’autenticazione tramite Windows Hello, rendendo più difficile per un attaccante aggirare la misura di difesa. Protezione amministratore limita proattivamente i privilegi dell’utente fino al momento in cui sono necessari, mentre UAC agisce solo in risposta a specifiche azioni.

Come si vede nell’immagine, il prompt di conferma (elevazione dei privilegi) è prodotto da Sicurezza di Windows e integra la richiesta di autenticazione mediante Windows Hello.

Le altre novità dell’aggiornamento KB5067036: come attivarle subito

Il nuovo menu Start di Windows 11 prosegue nel percorso di rinnovamento grafico e funzionale. Microsoft ha implementato un layout più fluido, scorrevole e reattivo, con l’obiettivo di migliorare la produttività e la rapidità d’accesso alle applicazioni.

Tra le principali novità:

• Sezione “Tutte” scorrevole, che semplifica la navigazione tra le app installate.
• Visualizzazione per categorie o griglia, con la possibilità di passare da un layout all’altro e mantenere la scelta preferita.
• Adattamento dinamico allo schermo, con un numero maggiore di app e suggerimenti visibili su display di grandi dimensioni.
• Integrazione con Collegamento al telefono, per gestire contenuti provenienti da dispositivi Android e iPhone direttamente dal menu Start.

Per abilitare subito queste e le altre caratteristiche “inedite” introdotte con l’aggiornamento KB5067036, si può scaricare ViVeTool, aprire il prompt dei comandi con i diritti di amministratore, portarsi nella cartella del programma quindi digitare quanto segue, per poi riavviare Windows 11:

vivetool /enable /id:57048231,47205210,56328729,48433719

Miglioramenti in Esplora file, Barra delle applicazioni e schermata di blocco

L’aggiornamento KB5067036 include anche diverse ottimizzazioni mirate a rendere più coerente l’esperienza d’uso nelle aree chiave del sistema operativo.

Esplora file

• Ora mostra fino a 3 file consigli anche per gli account Microsoft personali e locali, basandosi sull’attività recente.
• Nuove API StorageProvider consentono ai provider cloud di integrare suggerimenti intelligenti direttamente nella sezione Home.
• Risolti problemi di instabilità del menu contestuale, blocchi durante l’apertura di cartelle e errori di estrazione di archivi di grandi dimensioni (>1,5 GB).

Barra delle applicazioni e Schermata di blocco

• Il nuovo indicatore di batteria mostra colore, percentuale e stato di carica in modo più intuitivo (verde per carica, giallo per risparmio energia, rosso per livello critico).
• Le stesse icone sono visualizzate in Impostazioni, area di notifica e schermata di blocco, garantendo coerenza visiva.

Impostazioni e Copilot

• La sezione “Email e account” risulta rinominata in “I tuoi account”, semplificando la gestione unificata delle identità.
• Per i dispositivi aziendali con abbonamento Microsoft 365, una nuova pagina “Microsoft 365 Copilot” nella guida introduttiva illustra le funzionalità AI integrate nella suite.

Correzioni tecniche e miglioramenti di stabilità

Oltre alle novità funzionali, l’update include un’ampia serie di interventi correttivi che interessano autenticazione, grafica, rete e accessibilità:

• Risolto un errore ACCESS_DENIED durante la modifica remota delle password su dispositivi non in dominio.
• Corretto un problema con il servizio Kerberos KDC, che impediva la generazione di ticket dopo l’arresto manuale.
• Migliorata la gestione di HTTP/2 e HTTP.sys, che in alcuni casi rifiutavano connessioni locali.
• Corretto il rendering del testo nelle caselle multilinea e la risposta di screen reader come Narrator.
• Migliorata la stabilità del Task Manager, della finestra di dialogo Apri/Salva e delle sessioni Remote Credential Guard tra Windows 11 e Windows Server 2022.
• Risolti alcuni problemi che causavano fallimenti nell’installazione degli aggiornamenti (errore 0x800f0983) o la mancata chiusura dopo “Aggiorna e arresta”.