/
  • Ultimo aggiornamento
/
  • 5 min read

Come attivare o disattivare l’avvio sicuro di System Guard per la protezione del firmware in Windows

Come attivare o disattivare l'avvio sicuro di System Guard per la protezione del firmware in Windows Immagine banner del blog

L’avvio sicuro di System Guard è una funzionalità di sicurezza integrata di Windows che protegge il sistema convalidando il firmware e l’hypervisor durante il processo di avvio. Detto questo, non può essere semplicemente attivata senza una conoscenza avanzata di altre funzionalità e impostazioni di Windows. Questa guida introduce i requisiti chiave e i metodi principali per abilitare o disabilitare l’avvio sicuro di System Guard sui sistemi compatibili.

Prerequisiti e metodi per la gestione delle impostazioni dell’avvio sicuro di System Guard

Prima di apportare qualsiasi modifica, tieni conto di questi requisiti di sistema e di accesso:

✔️ È necessario un firmware UEFI con supporto Secure Boot .

✔️ TPM2.0 deve essere attivo e abilitato.

✔️ Hyper-V e la sicurezza basata sulla virtualizzazione (VBS) devono essere supportati/abilitati.

✔️ Sono necessari i privilegi di amministratore.

Metodo 1: Abilitazione o disabilitazione tramite Criteri di gruppo

Questo metodo è disponibile sia su Windows 10 (1903+) che su Windows 11. In Windows 10, l’impostazione potrebbe non apparire se i modelli ADMX non sono aggiornati.

Gli strumenti di gestione dei Criteri di gruppo sono disponibili per le edizioni Windows Pro, Enterprise ed Education. Questo metodo GPO è consigliato per la distribuzione in batch.

  1. Premi Win + R, digita gpedit. msc e clicca su OK per aprire l’ Editor dei criteri di gruppo locali.
  2. Accedi a Configurazione del computer → Modelli amministrativi → Sistema → Device Guard.
  3. Fai doppio clic su Attiva l’avvio sicuro.
  4. Seleziona Abilita per applicare l’avvio sicuro all’avvio o scegli Disabilita per disabilitare l’avvio sicuro. Puoi anche lasciare Non configurato, così che seguirà l’impostazione predefinita del sistema o del registro di sistema.
  5. Fai clic su Applica, quindi su OK per confermare e uscire.
  6. Riavvia il sistema per rendere effettiva la modifica.

ℹ️ Nota: Puoi eseguire il comando gpupdate/force per applicare immediatamente le modifiche. Dai un’occhiata a questo video dimostrativo. Altrimenti, le nuove impostazioni verranno applicate all’intervallo successivo.

Se abilitato, l’avvio sicuro convalida il firmware e i componenti critici di avvio rispetto alle misurazioni basate sull’hardware.

Metodo 2: Configurazione dell’avvio sicuro tramite l’Editor del Registro di sistema

Questo metodo supporta le distribuzioni tramite script ed è consigliato per i sistemi che non hanno accesso a GPO. È supportato sia su Windows 10 che su Windows 11, anche se Windows 11 offre un migliore feedback dell’interfaccia utente per la verifica.

  1. Premi la combinazione di tasti Win + R, digita regedit e clicca su OK per aprire l’ Editor del registro.
  2. Naviga o copia e incolla il seguente percorso nella barra degli indirizzi del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  3. Modifica o crea il valore EnableSecureLaunch . (Per crearlo) Nel riquadro destro, fai clic con il tasto destro del mouse → Nuovo → Valore DWORD (32 bit). Salta questo passaggio se il valore esiste già.
  4. Fai doppio clic sul valore e imposta i dati del valore su 1 per attivarlo o 0 per disattivarlo.
  5. Fai clic su OK per confermare.

⚠️Attenzione: Le modifiche involontarie al registro di Windows possono compromettere le prestazioni e la stabilità del sistema. Scopri come eseguire il backup del Registro di sistema e creare un punto di ripristino prima di configurare il database.

Script PowerShell per la configurazione dell’avvio sicuro

Nel frattempo, puoi utilizzare questo script PowerShell per modificare i valori del registro.

Abilitare l’avvio sicuro:

  1. Apri PowerShell dalla Barra di ricerca e seleziona Esegui come amministratore.
  2. Utilizza il seguente comando per abilitare l’avvio sicuro:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard” `

-Name “EnableSecureLaunch” -Value 1

Disattivare l’avvio sicuro:

  1. Apri PowerShell dalla Barra di ricerca e seleziona Esegui come amministratore.
  2. Utilizza il seguente comando per abilitare l’avvio sicuro:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard” `

-Name “EnableSecureLaunch” -Value 0

Dopo aver applicato le modifiche, riavvia il dispositivo. Puoi, anche, utilizzare il Registro di Windows per verificare che i valori siano stati aggiornati correttamente.

Nota: Funziona allo stesso modo sia su Windows 10 che su Windows 11. Utilizza PowerShell o il Registro di sistema per verificare su Windows 10.

Ulteriori considerazioni e suggerimenti sull’avvio sicuro

Ecco alcune considerazioni importanti da tenere in considerazione se scegli di attivare o disattivare la funzionalità di Avvio sicuro:

  • L’avvio sicuro deve essere abilitato in UEFI affinché l’avvio sicuro funzioni.
  • BitLocker: L’attivazione dell’avvio sicuro può provocare la richiesta della chiave di ripristino all’avvio successivo. Sospendi BitLocker prima di apportare modifiche.
  • Compatibilità: Richiede Intel vPro (Coffee Lake+) o AMD Zen 2+, TPM 2.0, l’avvio sicuro ed estensioni di virtualizzazione. I dispositivi legacy potrebbero non riuscire ad avviarsi con l’avvio sicuro abilitato se viene abilitato l’avvio sicuro.
  • Hyper-V & VBS: Assicurati che entrambi siano abilitati nelle impostazioni di sicurezza del firmware e di Windows.

Inoltre, i problemi di avvio sicuro richiedono spesso una complessa risoluzione dei problemi. Ti consigliamo di fare una prova prima, verificare la compatibilità dei driver e fare un benchmark dei tempi di avvio e delle prestazioni del sistema.

Quando attivare l’avvio sicuro di System Guard

L’avvio sicuro di System Guard Secure aggiunge un forte livello di protezione durante il processo di avvio del sistema. Di conseguenza, può essere fondamentale per le strategie di distribuzione in ambienti aziendali di livello enterprise e per i principali endpoint aziendali.

Gli amministratori possono gestire facilmente questa funzionalità utilizzando i Criteri di gruppo, il Registro di sistemaPowerShell per soddisfare la conformità alla sicurezza e rafforzare i protocolli di protezione dei dati. Tieni presente che questa attivazione non è adatta ai dispositivi legacy. Inoltre, il personale IT deve verificare regolarmente se il programma sta raggiungendo i suoi obiettivi, soprattutto perché di tanto in tanto possono sorgere problemi di compatibilità.

Inizia una prova gratuita

Potresti trovare interessante anche

Come disattivare il blocco maiuscole utilizzando il tasto Bloc Maiusc o Maiusc in Windows 11 Immagine banner del blog

Come disattivare il blocco maiuscole utilizzando i tasti Bloc Maiusc o Maiusc in Windows 11

Come rimuovere una cartella o un'unità da una libreria in Windows Immagine del banner del blog

Come rimuovere una cartella o un’unità da una libreria in Windows

Come abilitare o disabilitare i dispositivi mobili in Windows Immagine blog

Come abilitare o disabilitare i dispositivi mobili in Windows

Come disattivare le notifiche push su Microsoft Edge Immagine banner del blog

Come disattivare le notifiche push su Microsoft Edge

Come modificare la posizione predefinita della cartella Screenshot in Windows 11 Immagine banner del blog

Come modificare la posizione predefinita della cartella Screenshot in Windows 11

Come attivare o disattivare la visualizzazione della stima del tempo rimanente della batteria in Windows 11 Immagine in evidenza

Come attivare o disattivare la visualizzazione della stima della durata residua della batteria in Windows 11

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto