Microsoft sta ristrutturando il funzionamento dei software antivirus (AV) e di rilevamento e risposta degli endpoint (EDR) rimuovendoli dal kernel di Windows. La modifica è in fase di anteprima privata e fa parte della più ampia Windows Resilience Initiative , una strategia a lungo termine per ridurre al minimo i guasti critici del sistema, come quello verificatosi con CrowdStrike nel 2024, che rese inutilizzabili milioni di sistemi a seguito di un aggiornamento difettoso a livello del kernel.
Perché Microsoft sta apportando questa modifica
Tradizionalmente, gli strumenti antivirus e EDR hanno operato in profondità nel kernel (il nucleo privilegiato di Windows 11, 10 e versioni precedenti) per ottenere pieno accesso a processi, memoria e driver. Da un lato, questo li ha resi efficaci nel rilevare minacce avanzate, ma dall'altro li ha anche resi pericolosi, poiché un bug o un aggiornamento errato del kernel può causare il blocco dell'intero sistema, come dimostrato dall'incidente di CrowdStrike.
Isolando gli strumenti antivirus/EDR in modalità utente, Microsoft riduce il loro accesso ai componenti critici del sistema, il che significa che se un motore antivirus non funziona correttamente, sarà molto meno probabile che causi il blocco del computer.
Cosa significa per i consumatori comuni
Per gli utenti di Windows 11 , questa transizione sarà in gran parte impercettibile, il che è un bene. Microsoft Defender Antivirus (o qualsiasi altro antivirus di terze parti) continuerà a funzionare e il tuo laptop, tablet o computer desktop rimarrà protetto. Tuttavia, opererà in un ambiente più sicuro e controllato, in background.
Sarà possibile disinstallare Microsoft Defender ora? La risposta breve è no, non ancora. Microsoft Defender rimarrà un componente di sicurezza predefinito del sistema operativo, soprattutto per gli utenti che non installano software antivirus di terze parti. Tuttavia, spostare Defender fuori dal kernel potrebbe aprire la strada a una maggiore modularità. In futuro, potrebbe diventare più semplice disabilitare o sostituire l'antivirus predefinito senza compromettere l'integrità del sistema.
Un altro aspetto da sottolineare è che, in caso di errore durante l'aggiornamento dell'antivirus, il resto del sistema rimarrà protetto, riducendo così il numero di errori "Schermata blu della morte" .
Inoltre, il colosso del software sta lavorando a una nuova funzionalità chiamata "Quick Machine Recovery", che consentirà agli amministratori di rete di ripristinare più rapidamente i dispositivi che non riescono ad avviarsi, una risposta diretta ai danni causati dal crash del kernel di CrowdStrike. Questa funzionalità sarà disponibile anche per i consumatori, non solo per le organizzazioni.
Cosa significa per le aziende
Anche per le aziende e i professionisti si tratta di un cambiamento positivo. I sistemi antivirus a livello di kernel hanno sempre rappresentato un rischio, ad esempio un aggiornamento non riuscito, un conflitto tra driver o un controllo di compatibilità mancato, che possono mandare in tilt migliaia di macchine in un istante. Questa modifica architetturale isola gli strumenti di sicurezza di terze parti dai livelli critici del sistema operativo, rendendo le organizzazioni meno vulnerabili ai crash e facilitando il ripristino.
Microsoft sta già collaborando con diversi partner , tra cui CrowdStrike, Bitdefender, Sophos, Trend Micro ed ESET, per garantire che i loro strumenti possano funzionare anche al di fuori del kernel. L'azienda sottolinea inoltre che non si tratta di una decisione unilaterale, bensì di una riprogettazione collaborativa del modo in cui l'antivirus si integra nel sistema operativo.
Inoltre, la nuova piattaforma consente anche una distribuzione più controllata degli aggiornamenti di sicurezza. I reparti IT trarranno vantaggio da implementazioni graduali, una telemetria migliore e opzioni di ripristino ottimizzate.
Microsoft vuole anche sistemare il sistema anti-cheat
Sebbene la rimozione dell'antivirus dal kernel rappresenti un passo avanti positivo, non è l'unico problema. Molte soluzioni anti-cheat nei giochi utilizzano driver a livello di kernel per rilevare strumenti di cheating e manomissioni della memoria. Tuttavia, ciò comporta gli stessi rischi dei software antivirus, come una programmazione scadente o aggiornamenti obsoleti, che possono compromettere la stabilità del sistema.
Microsoft sta ora collaborando con gli sviluppatori di videogiochi per progettare meccanismi anti-cheat non basati sul kernel, che potrebbero portare a un'esperienza di gioco più stabile e a un minor numero di ban ingiustificati.
La nuova architettura per gli strumenti antivirus e EDR è attualmente in fase di sviluppo pensando a Windows 11 e alle versioni future. Non ci sono indicazioni che questa modifica verrà retroportata a Windows 10. Tuttavia, poiché l'azienda intende semplificare la transizione degli utenti a Windows 10 anche dopo la fine del supporto, prevista per il 14 ottobre 2025, è possibile che la modifica venga estesa anche alla versione precedente del sistema operativo.
Il ciclo di vita di Windows 11 Home e Pro per la versione 25H2 termina il 13/10/2027, mentre il ciclo di vita della versione 24H2 termina il 13/10/2026. Le versioni Enterprise ed Education hanno un supporto più lungo.
Per eseguire un'installazione pulita di Windows 11 da un file ISO, è necessario montare l'immagine e avviare il programma di installazione con l'opzione "Niente" per cancellare l'unità.
Per abilitare la funzionalità di sfondo video su Windows 11, nell'ultima build di sviluppo o beta, eseguire il comando vivetool /enable /id:57645315.
Per impostare sfondi animati su Windows 11, apri Sfondi animati, fai clic su Libreria, fai clic con il pulsante destro del mouse sullo sfondo animato e scegli Imposta come sfondo.
KB5065779 (build 26220.5790) per Windows 11 25H2 e build 26120.5790 per 24H2 con la nuova dettatura fluida, i comandi al passaggio del mouse e altre funzionalità.
Copilot Connectors su Windows 11 permette all'intelligenza artificiale di trovare file ed email su OneDrive, Outlook, Google Drive, Gmail, Google Calendar e Contatti.
Per convertire da MBR a GPT per Windows 11, apri WinRE, avvia il Prompt dei comandi ed esegui i comandi mbr2gpt /validate e mbr2gpt /convert.
Il supporto per Windows 10 terminerà il 14 ottobre 2025, il che significa che non ci saranno più aggiornamenti, ma tra le opzioni a disposizione ci sono l'iscrizione al programma ESU (Employment Support Update), l'aggiornamento a Windows 11 o a Linux.
È possibile scaricare il file ISO ufficiale di Windows 10 LTSC da questo sito Web Microsoft, dopodiché seguire questi passaggi per creare una chiavetta USB avviabile.
È possibile ripristinare le impostazioni di Backup di Windows nel caso in cui lo strumento non funzioni o sia necessario disabilitarlo. Questi passaggi mostrano come completare l'operazione.
