Verificare ed aggiornare i certificati Secure Boot in Windows

L'avvio protetto (Secure Boot) è una funzionalità UEFI per garantire che il sistema operativo venga avviato solo utilizzando bootloader e componenti firmati / considerati affidabili. Alla base di questo meccanismo c'è un insieme di certificati e chiavi memorizzati nel firmware UEFI e, in parte, gestiti anche da Windows.

In alcune situazioni, ad esempio dopo aggiornamenti di sicurezza critici, cambi di hardware o problemi di compatibilità con driver, può essere utile verificare lo stato dei certificati secure boot e, se necessario, forzarne l'aggiornamento via linea di comando.

 

Attenzione alla scadenza dei certificati Secure Boot

Microsoft ha annunciato che i certificati originali usati per Secure Boot (come quelli del 2011) inizieranno a scadere a partire da giugno 2026. Se un sistema non dispone dei certificati aggiornati, non potrà più ricevere aggiornamenti di sicurezza o fidarsi di firme future. Per questo motivo è importante verificare non solo che l'avvio protetto sia abilitato, ma anche che i certificati correnti siano aggiornati e correttamente installati.

 

Prerequisiti

Prima di procedere, bisogna assicurarsi che:

• il sistema utilizzi UEFI (non BIOS legacy);
• l'avvio protetto sia abilitato nel firmware;
• i comandi vengano eseguiti come Amministratore;
• Windows sia Windows 10 o Windows 11.

in caso contrario... non c'è bisogno di far niente. 

Se invece siamo costretti a lavorare... iniziamo con PowerShell e:

Confirm-SecureBootUEFI

i possibili risultati sono:

• True → l'avvio protetto è attivo;
• False → l'avvio protetto è disattivato;
• Errore → il sistema non usa UEFI (olé).

Questo comando non verifica i certificati in dettaglio, ma è un prerequisito fondamentale.

Uno strumento di sistema che verifica parzialmente lo stato dei database correlati all'avvio protetto è `msinfo32`. Una volta avviato bisogna controllare le voci:

• "Modalità BIOS", deve essere UEFI;
• "Stato avvio protetto", Attivo.

Verificare lo stato dell'aggiornamento dei certificati Microsoft

Microsoft distribuisce aggiornamenti ai database secure boot (in particolare dbx, la lista di revoca) tramite Windows Update. Per verificare se il sistema ha applicato gli aggiornamenti più recenti, possiamo ricorrere a PowerShell:

Get-HotFix | Where-Object {$_.Description -like "*Security*"}

Gli aggiornamenti secure boot più rilevanti (come quelli legati alle vulnerabilità dei bootloader) vengono spesso distribuiti come aggiornamenti di sicurezza cumulativi, quindi non sono sempre immediatamente riconoscibili (!) come riguardanti l'avvia protetto.
Questo significa che non esiste un KB "magico" da cercare. L'aggiornamento dei certificati avviene come parte del normale ciclo di patch di sicurezza di Windows.

Forzare l'aggiornamento dei certificati Secure Boot

Il metodo consigliato e supportato rest Windows Update. È la strada più sicura. Dalla riga di comando:

wuauclt /detectnow
wuauclt /updatenow

Sulle versioni più recenti di Windows, è preferibile:

usoclient StartScan
usoclient StartDownload
usoclient StartInstall

Dopo l'installazione, riavviare il sistema: gli aggiornamenti ai database UEFI vengono applicati solo durante il boot.

Verificare eventuali errori legati a Secure Boot

Se si sospettano problemi con certificati o revoche, si può controllare il registro eventi (eventvwr.msc) in particolare visualizzando:

Registri applicazioni e servizi
└── Microsoft
    └── Windows
        └── Secure-Boot

Errori o avvisi in questa sezione possono indicare bootloader bloccati, firme non valide o conferme dell'avvenuto aggiornamento del database `dbx`.

La scadenza dei certificati, cosa controllare davvero

Windows non fornisce un comando diretto per elencare i certificati UEFI con data di scadenza, perché questi risiedono nel firmware. Tuttavia è possibile verificare se il sistema è già pronto per i nuovi certificati tramite controlli indiretti.

Un primo indizio utile è la versione del boot manager (`bootmgfw.efi`), che viene aggiornata solo se il sistema è pronto ad usare i nuovi certificati:

Get-Item "C:\Windows\Boot\EFI\bootmgfw.efi" | Select-Object VersionInfo

Bisogna osservare `ProductVersion`, `FileVersion` e `Data di compilazione`.

Versioni aggiornate tramite patch di sicurezza dal 2023 in poi indicano che il sistema è compatibile con i certificati più recenti.

Microsoft sta distribuendo gli aggiornamenti in più fasi, proprio per evitare sistemi non avviabili. Un sistema che non riceve più aggiornamenti o è fermo a build molto vecchie rappresenta un segnale critico.

Un ultimo dettaglio pratico: gli aggiornamenti al secure boot possono richiedere la chiave BitLocker al riavvio. È normale e previsto (cambia la "catena di fiducia" del boot). Prima di procedere assicurarsi sempre di avere la chiave di ripristino BitLocker disponibile.

La mia 'value proposition' oggi? Sincerità brutale contro il maglione a collo alto

Sono indeciso su come cominciare... ho appena finito di sorbirmi un affermato consulente che, dopo aver scritto (scritto?) un'email con ChatGPT, senza trovare neanche quel briciolo di dignità per cambiare una riga di testo con un contenuto proprio, ha liquidato la mia successiva telefonata con un "mi lasci parlare, non ho tempo da perdere!".

Il punto di partenza di questa meravigliosa esperienza è la value proposition, termine simbolo dell'odierno "corporate-ese".

Per i fortunati che ancora non si sono imbattuti in queste due parole, dirò che, letteralmente, è traducibile con "proposta di valore".

Si tratta di qualcosa che il compianto conte Lello Mascetti definirebbe "supercazzola" (prematurata): il lecito quesito "Perché mai qualcuno dovrebbe darmi dei soldi?" viene riassunto ed ingentilito in value proposition.

Certo, nell'analizzare l'operato della propria azienda, domande come "Cosa faccio?", "A chi si rivolge la mia offerta?", "Perché preferirla a quella di un concorrente?" sono fondamentali.

Tuttavia queste paiono proprio non far pendant con il maglione a collo alto, gli occhiali alla moda e la giacchetta ultimo grido dell'arrembante consulente.

Pare indispensabile accompagnarle con un tono epico, condirle con quel briciolo di gergo tecnologico ed imbastirle al punto giusto (i maligni direbbero al fine di complicarle e permettere risposte vaghe).

Pascal chiedeva scusa aver reso "questa lettera più lunga del solito perché non ho avuto il tempo di renderla più breve"; Feymann sosteneva che "Se non riesci a spiegarlo in modo semplice, non lo capisci abbastanza bene"... come siamo caduti in basso!

Per farla breve, mi ritrovo a leggere il documento:

---

PINCOPALLA SRL - Value Proposition Strategica per Settore

1. Difesa, Aerospazio e Settore Militare

Positioning: Fornitore...

Value Proposition: – Riservatezza e sicurezza documentale. –...

---

(da osservare l'uso delle maiuscole, del carattere '–' al posto di '-' e della punteggiatura... onde trarne le debite conclusioni)

La domanda (retorica) che mi viene posta è cosa ne penso. Come minimo penso che sia mancanza di rispetto verso l'interlocutore.

Come ogni buon operativo, ho l'errata inclinazione a disdegnare in toto commerciali e consulenti strategici / finanziari / per il controllo di gestione... Lo so sbaglio a generalizzare e, per fortuna, ogni tanto, incontro persone che col loro lavoro mi dimostrano che sono in errore.

Purtroppo l'avvento dei modelli linguistici di grandi dimensioni sta ingrossando le file di costoro, rendendo gli incontri piacevoli sempre meno frequenti.

L'insegnamento che ne traggo è che bisogna usare gli strumenti nel modo giusto; il rischio, per tutti, è di lasciarsi andare all'ignavia e svilire il proprio lavoro sostituendolo con una meccanica "interpolazione acritica di informazioni rubate al prossimo".

Forse per un po' funzionerà. Confido però che la classica conclusione "Non ho capito cosa vendi ma scommetto che costa caro" possa spazzar via molta immondizia.

Gestire la cache dei pacchetti su Slackware

Chi usa Slackware lo sa, mantenere DELALL=off in slackpkg.conf è fondamentale per avere sempre un paracadute e poter effettuare un rollback in caso di necessità. Tuttavia, col tempo, l'archivio locale dei pacchetti può diventare enorme.

Pubblichiamo uno script che risolve proprio questo problema, inserendosi perfettamente nel workflow di aggiornamento standard:

1. slackpkg update
2. slackpkg upgrade-all
3. manage_updates

Cosa fa lo script? Agisce come un garbage collector intelligente per l'archivio locale. Invece di accumulare versioni obsolete all'infinito, lo script applica una policy di conservazione: mantiene solo le due versioni più recenti di ogni pacchetto.

✅ Sicurezza. Hai sempre a disposizione l'ultima versione stabile e quella precedente per un rollback immediato.

✅ Efficienza. Mantieni il controllo dello spazio su disco in modo automatico.

✅ Pulizia. Eviti la rimozione manuale dei vecchi pacchetti `.txz`.

Trovi la documentazione e lo script qui: https://github.com/morinim/documents/tree/master/sysadmin/slackware

Come dar l'impressione di non sbagliare mai i comandi in Bash! O:‑)

Sei seduto al terminale ed hai appena digitato un lungo e complesso comando. Premi Invio.

ERRORE.

La rabbia ti assale.

Situazione familiare? Bene, la vera arte dello smanettone non è digitare correttamente al primo colpo, bensì far sembrare di riuscirci, sfruttando la cronologia di Bash e confondendo, quando opportuno, eventuali spettatori.

Senza pretendere di scrivere una guida definitiva ed implorando il perdono dei veri maghi della tastiera, ecco qualche suggerimento ricavato da (ahimè) qualche anno di esperienza.

Livello base: le freccette

Quanto segue è per i principianti che hanno ancora la dignità di usare una tastiera fisica.

• il richiamo (↑): hai appena digitato cd /usr/bin/pippo/pluto ed hai dimenticato /local/ nel mezzo. Non ridigitarlo! Premi 'freccia su'. Il comando riappare (!). Premi ancora per riesumare ulteriori errori imbarazzanti;
• il richiamo eccessivo (↓): sei andato troppo indietro ed hai trovato un comando del 1973. Premi 'freccia giù' per tornare alla realtà e non affrontare il tuo passato.

(si, lo so, tutto questo è imbarazzante... ma si deve pur cominciare) 

Livello intermedio: l'investigatore di basso rango (Ctrl+R)

Ti ricordi solo una vaga parola chiave del tuo comando.

Premi Ctrl R. Compare un enigmatico (reverse-i-search). Inizia a digitare, diciamo che vuoi trovare un vecchio comando git. Digiti "gi" e Bash ti mostra la corrispondenza più recente. Non è quella giusta? Continua a premere Ctrl R.

È come cambiare senza posa il canale TV: scorri velocemente tra la programmazione della tua cronologia finché non trovi il tuo vecchio film preferito. In realtà trovi solo git push --force che non avresti mai dovuto usare.

Individuato quanto cercavi, premi Invio per eseguirlo di nuovo (possibilmente, prima, correggendolo).

Livello pro: sapersi affermare (!)

Se vuoi dimostrare di essere un vero hacker della shell, devi padroneggiare il carattere più prepotente di tutti: il pungolo esclamativo ! (no, questa volta nessun rimando a Wikipedia :-).

Sequenza	Obiettivo
!!	Ripete l'ultimo, comando. Perfetto per una situazione tipo sudo !! quando avevi scordato di non poter far qualcosa senza il permesso.
!n	Richiama il comando numero n nella cronologia (server un history preliminare perché nessun essere umano normale ricorda questi numeri).
!git	Rifai l'ultima cosa che ho fatto con git (utile per "incasinare" un repository già sull'orlo del collasso).
!$	Dammi solo l'ultimo ARGOMENTO usato (scorciatoia: ESC + .). Perfetto se hai appena copiato un file su /usr/local/bin/il-file-con-il-nome-impossibile ed ora vuoi semplicemente farci un ls.

Livello finale: analisi post mortem

fc (fix command) apre l'ultimo comando (od uno specifico) nel tuo editor di testo predefinito (speriamo non sia vi/vim, altrimenti rischi di rimanerci intrappolato per l'eternità senza ricordare l'arcana sequenza per uscire).

A questo punto puoi modificarlo in modo esteso prima di eseguirlo.

Una importante nota a margine: se hai aperto il comando nell'editor e ti rendi conto che la sua eventuale esecuzione scatenerà l'Apocalisse, NON uscire come se nulla fosse!

Vai all'inizio della riga ed aggiungi il sacro sigillo del non-comando (`#`). Ora (stai sereno) puoi salvare ed uscire senza... evocare i Cavalieri.

L'incubo della condivisione file su Windows 11: quando un SID duplicato manda tutto in tilt

Può sembrare un'operazione banale: due PC sulla stessa rete, una cartella condivisa, qualche clic e via. 

Eppure, a volte Windows decide che la semplicità è sopravvalutata. Di recente ci siamo trovati intrappolati in una situazione paradossale: due macchine Windows 11 perfettamente configurate che, nonostante tutto, rifiutavano di autenticarsi fra loro.

La soluzione era nascosta in un dettaglio invisibile, ereditato da un'installazione clonata troppo in fretta.

Rimbalzo continuo fra errori incomprensibili

L'ambiente era lineare: due PC con nomi diversi, IP diversi e condivisioni SMB configurate con attenzione. Eppure Windows insisteva con lo scoraggiante messaggio: "Il nome utente o la password non sono corretti".

Richieste di credenziali ripetute all'infinito, come se qualunque password fosse sbagliata per definizione.

Controllati firewall, credenziali, servizi di rete; resettato quel che poteva essere resettato. Nulla.

La rete funzionava: i PC si vedevano, ma l'autenticazione era un muro.

Scavare nei log è uno sporco lavoro... che ripaga

La svolta è arrivata guardando dove Windows parla senza filtri: nel Visualizzatore Eventi.
Sotto `Log di Windows → Sistema` è spuntato l'indizio decisivo: un evento 6167 del servizio `LsaSrv`.

Il messaggio era tecnico ma rivelatore:

"Il fornitore di supporto sicurezza Kerberos ha rilevato una parziale corrispondenza nell'ID macchina… Ciò può verificarsi se l'immagine del sistema operativo di destinazione è stata clonata…"

Quelle due parole, parziale corrispondenza, erano tutto ciò che serviva per capire che il problema non era la rete, ma l'identità delle macchine.

Il colpevole

Tutto risaliva ad una vecchia immagine disco che qualcuno aveva clonato per velocizzare l'installazione (saltando però un passaggio importante, usare `sysprep /generalize`, che rigenera il SID, cioè l'identificatore univoco del sistema).

Il risultato? Le due macchine erano, dal punto di vista di Windows, indistinguibili.

Per anni questo non era stato un problema: Windows tendeva a chiudere un occhio. Ma con gli aggiornamenti di sicurezza rilasciati dopo l'agosto 2025, il controllo è diventato molto più rigoroso. Ora due PC con la stessa identità non vengono più autenticati, neanche in una semplice rete domestica.

Di fatto, ciascun PC diceva all’altro: "Non posso autenticarti, perché… sembri me".

La soluzione è un dilemma

Il modo "ufficiale" per risolvere un SID duplicato è eseguire sysprep /generalize su almeno uno dei sistemi, facendo rigenerare l'identità al PC. Il rovescio della medaglia è che `sysprep` ripristina vari aspetti del sistema e richiede una riconfigurazione quasi completa.

Per evitare questo reset esistono strumenti di terze parti, come SIDCHG, che tentano di modificare il SID. Funzionano ma non sono riconosciuti da Microsoft... quindi bisogna usarli con consapevolezza (qualsiasi cosa significhi :).

Gli errori fatti in fase di installazione possono restare silenziosi per anni, salvo poi riemergere al momento meno opportuno. A volte il vero bug non è in Windows ma in ciò che abbiamo fatto noi molto tempo prima.

Stiamo confondendo un intelligente pappagallo con un genio?

Negli ultimi anni ci siamo convinti che ChatGPT, Gemini e compagnia (LLM - modelli linguistici di grandi dimensioni) siano una sorta di cervello digitale in rapida evoluzione.

Parlano bene, rispondono in fretta e non si lamentano mai: come non considerarli intelligenti?

Dal punto di vista della neuroscienza, stiamo facendo un clamoroso errore di prospettiva: stiamo scambiando la capacità di mettere insieme frasi con la capacità di pensare. Il punto è semplice, un LLM non ragiona, prevede. Ogni frase che produce è solo la scelta statistica del prossimo token più probabile. È un po' come quando ricicliamo frasi o battute soltanto perché le leggiamo ovunque: il modello fa qualcosa di simile ma in versione estrema e completamente automatica.

La mente umana, invece, usa il linguaggio come strumento, non come materia prima del pensiero. Le persone con gravi lesioni linguistiche continuano a ragionare; alcuni che non parlano affatto hanno un'intelligenza perfettamente integra. Insomma: per noi il linguaggio è un mezzo, per i modelli è tutto ciò che hanno.

Molti sostenitori dell'AGI raccontano che basterà "scalare" i modelli: più dati, più GPU, più tutto... et voilà l'intelligenza generale. È come sostenere che se alleni un pappagallo a memorizzare abbastanza frasi, prima o poi diventerà un filosofo. I neuroscienziati ricordano che l'intelligenza umana non è fatta solo di parole: è radicata nel corpo, nei sensi, nell'esperienza, nelle percezioni, nell'intuizione.

Un LLM non ha nulla di tutto questo. Ha soltanto testo, tanto testo (tanto, tanto, tanto!).

Nonostante tutto gli LLM sono strumenti eccellenti per usare il linguaggio: scrivere, riassumere, tradurre, rispondere in modo simpatico e disinvolto. Il problema nasce quando pretendiamo che facciano ciò che non possono fare: capire davvero il mondo, ragionare come un essere umano, prendere decisioni sensate in contesti imprevisti. Sono ottimi imitatori, ma pessimi filosofi.

La cosa più intelligente che noi possiamo fare è ricordarcelo.

---

Per approfondire il tema un ottimo punto di partenza è l'articolo: Large language mistake - Cutting-edge research shows language is not the same as intelligence. The entire AI bubble is built on ignoring it di Benjamin Riley.

Correlato è lo storico esperimento mentale della Stanza Cinese di John Searle.

Aggiornamento normative: ventilazione dei corrispettivi

L'ipotesi preliminare di abolizione dell'IVA ventilata, a partire dal 1° gennaio 2026, non ha avuto seguito.

La situazione è confermata:

• dall'assenza di pubblicazione nella Gazzetta Ufficiale di una norma di legge in tal senso;
• dalle indicazioni fornite dalle aziende produttrici dei registratori di cassa;
• dalle comunicazioni delle organizzazioni di categoria come Federfarma nazionale e Comufficio.

Tuttavia, non si può escludere che la normativa venga ripresa nel corso del prossimo anno. Per questo motivo consigliamo di iniziare a predisporre la configurazione dei reparti, sul gestionale Sistema F Platinum, in modo che risulti già compatibile con un'eventuale futura gestione dell'IVA puntuale.

Continueremo a monitorare l'evoluzione normativa del settore farmaceutico e forniremo tempestivamente tutte le indicazioni necessarie per garantire l'allineamento alle esigenze operative.