Aggiornamenti automatici Windows 11 e Windows 10: come disattivarli per davvero

Sia Windows 10 che Windows 11 si appoggiano a Windows Update per la gestione degli aggiornamenti di sistema. Il problema, lamentato da molti utenti, è che Windows Update di default utilizza lo schema degli aggiornamenti automatici. Le patch correttive rilasciate da Microsoft sono installate in modo del tutto automatico, non appena rese disponibili.

Questo succede sui sistemi consumer e sulle workstation che non fanno parte di un dominio. In azienda, infatti, dovrebbero essere gli amministratori IT a definire politiche “ad hoc” per la distribuzione e l’installazione degli aggiornamenti software all’interno della rete locale.

Il problema del patch management e gli aggiornamenti automatici di Windows 10 e 11

L’installazione degli aggiornamenti di Windows e delle altre applicazioni è qualcosa che non può e non dovrebbe mai essere rimandato per troppo tempo. Il rischio è quello di esporsi inutilmente a problemi di sicurezza, che possono essere sfruttati da criminali informatici e codice malevolo per lanciare attacchi.

Una falla di sicurezza lasciata irrisolta, astenendosi dall’installazione degli aggiornamenti correttivi, può rappresentare un problema. E ciò a seconda della specifica superficie d’attacco di ogni sistema Windows.

Esponendo un componente software vulnerabile sull’IP pubblico, ad esempio, il rischio di aggressione è elevatissimo. Si pensi alle molteplici falle wormable che si sono susseguite negli anni.

Citiamo ad esempio CodeRed, che sfruttava una vulnerabilità nel server Web IIS di Microsoft; SQL Slammer (2003), che faceva leva su una vulnerabilità nel RDMBS Microsoft SQL Server per diffondersi rapidamente; Blaster (2003) e SASSER (2004) che attaccavano sistemi Windows direttamente esposti sulla rete; EternalBlue (2017), sfruttata dai ransomware WannaCry e Petya per diffondersi rapidamente nelle reti; SMBGhost e SMBleed (2020), colpivano le risorse condivise per eseguire codice arbitrario; BlueKeep (2019), che interessa i sistemi accessibili tramite RDP (Desktop remoto) permettendo l’esecuzione di codice arbitrario senza autenticazione. L’elenco sarebbe lunghissimo.

Per non parlare delle molteplici vulnerabilità scoperte nella suite Microsoft Office, che potrebbero essere sfruttate per eseguire codice arbitrario semplicemente aprendo o visualizzando l’anteprima di un documento dannoso.

Che i sistemi Windows debbano essere aggiornati periodicamente è quindi pacifico. In un altro articolo abbiamo spiegato cosa succede davvero se non si installano gli aggiornamenti Microsoft.

Come evitare gli aggiornamenti automatici

Il tema del patch management, ossia la corretta gestione degli aggiornamenti software, non va preso sotto gamba. Il rovescio della medaglia è che Windows 10 e Windows 11 usano un approccio oggettivamente molto aggressivo per quanto riguarda l’installazione degli aggiornamenti periodici.

Non è infrequente ritrovarsi con un PC quasi inutilizzabile perché è in corso l’installazione degli aggiornamenti, con la banda di rete impegnata da ciascun sistema collegato in LAN che effettua il download delle patch, con macchine che si riavviano automaticamente per rendere operative le modifiche applicate.

Per impostazione predefinita, Microsoft offre ai “comuni mortali” solamente la possibilità di posticipare gli aggiornamenti o di evitarne l’installazione durante gli orari di ufficio o comunque allorquando il PC risultasse in uso. Queste impostazioni si trovano digitando Opzioni avanzate Windows Update nella casella di ricerca di Windows 10 o di Windows 11.

Interventi di questo tipo non permettono tuttavia di raggiungere il risultato sperato, ossia fare in modo che Windows Update notifichi la disponibilità degli aggiornamenti ma eviti di scaricarli e installarli automaticamente.

Configurare Windows 10 e Windows 11 affinché informino circa la disponibilità degli aggiornamenti, senza installare nulla

Purtroppo, sia Windows 10 che Windows 11 non dispongono più di quell’impostazione tanto cara agli utenti di Windows 7, ovvero Notifica disponibilità degli aggiornamenti, ma non scaricarli né installarli. Per ottenere lo stesso risultato in Windows 10/11 e disattivare gli aggiornamenti automatici, basta scrivere cmd nella casella di ricerca del sistema operativo, selezionare Esegui come amministratore quindi impartire i seguenti due comandi:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 2 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d 1 /f

Il valore AUOptions controlla il comportamento degli aggiornamenti automatici:

• Impostandolo a 2 si regola Windows Update in modo che notifichi l’eventuale disponibilità degli aggiornamenti, senza scaricarli in automatico.
• Windows avvisa l’utente prima di scaricare e installare gli aggiornamenti, ma non li scarica automaticamente.

Il valore NoAutoRebootWithLoggedOnUsers impedisce a Windows 10/11 di riavviarsi automaticamente dopo l’installazione degli aggiornamenti quando un utente è connesso. In questo modo si evita che, per qualsivoglia motivo, l’installazione degli aggiornamenti interferisca sulla produttività. Microsoft ne parla chiaramente in questo documento di supporto.

Tutto qui. Con due semplici comandi (dopo il loro utilizzo è comunque necessario riavviare il sistema), senza cervellotiche procedure, è possibile disattivare gli aggiornamenti automatici decidendo in piena autonomia quando installare le patch Microsoft.

Il pulsante Verifica disponibilità aggiornamenti

Digitando Verifica disponibilità aggiornamenti nella casella di ricerca di Windows 10 e di Windows 11 quindi scegliendo l’omonima voce, si accede alla finestra principale di Windows Update.

Va tenuto in debita considerazione che la configurazione AUOptions = 2 presentata in precedenza impedisce solo il download automatico e l’installazione automatica, ma Windows avvia comunque l’installazione degli aggiornamenti se l’utente interagisce manualmente con il pulsante Verifica disponibilità degli aggiornamenti.

L’approccio descritto è un ottimo compromesso per evitare di disattivare completamente la funzionalità di aggiornamento di Windows (sarebbe cosa assolutamente sconsiderata dal punto di vista della sicurezza!) e lasciare che sia l’utente a scegliere quando scaricare e installare le patch Microsoft.

Il tema del patch management in azienda fa storia a sé

Gli interventi descritti si riferiscono ai sistemi consumer e alle macchine utilizzate da singoli professionisti. In azienda, come abbiamo visto in tanti nostri articoli, Windows Update può essere sostituito o affiancato da soluzioni di gestione centralizzata degli aggiornamenti, specialmente in ambienti con molti dispositivi. Questi strumenti evoluti di patch management permettono di avere un controllo più preciso e centralizzato sull’installazione degli aggiornamenti, riducendo i rischi di interruzioni non pianificate e garantendo una gestione efficace della sicurezza e delle funzionalità.

Microsoft ha deciso di abbandonare lo storico WSUS (Windows Server Update Services) ma le alternative non mancano: sia quelle basate sul cloud che quelle completamente locali (on-premises).

Lato cloud ci sono Windows Autopatch, Microsoft Intune e Azure Update Manager. Per non parlare delle molteplici soluzioni sviluppate da terze parti.

Sempre in casa Microsoft resta utilizzabile SCCM (System Center Configuration Manager), una soluzione di patch management che funziona interamente in locale. Oltre agli aggiornamenti software, SCCM consente anche di gestire la distribuzione di applicazioni, configurazioni e politiche di sicurezza.