Il problema sembra colpire soprattutto sistemi aziendali e notebook già aggiornati. Al centro ci sarebbero controlli più severi legati a Secure Boot e alla catena di avvio UEFI.
KB5094126 e KB5093998: quando Windows 11 si ferma al riavvio
Le segnalazioni sono arrivate dopo l’installazione di KB5094126 su Windows 11 24H2 e di KB5093998 su Windows 11 23H2. In molti casi il PC non riesce più a completare il boot e finisce su una schermata blu con il codice 0xc0430001. Nessun altro indizio chiaro, nessun segnale evidente di un sistema danneggiato.
Un dettaglio, però, ha subito attirato l’attenzione dei tecnici: disattivando Secure Boot dal firmware UEFI, Windows spesso torna ad avviarsi. Non accade sempre, ma abbastanza spesso da indicare una pista precisa. Alcuni amministratori IT hanno segnalato anche richieste insolite del codice di ripristino BitLocker, soprattutto su configurazioni TPM+PIN. Su altri sistemi, invece, il PIN ha continuato a funzionare normalmente.
Microsoft, al momento, non risulta aver collegato pubblicamente l’errore ai PC già installati dopo questi update. La documentazione ufficiale parla soprattutto di casi legati a supporti di installazione, immagini WinPE o media personalizzati. La differenza è importante: qui non si tratta di nuove installazioni, ma di macchine già in uso, aggiornate e poi rimaste ferme al riavvio.
Secure Boot 2023: dove può spezzarsi la catena di fiducia
Alla base del problema ci sarebbe il passaggio ai nuovi certificati Secure Boot 2023. È una fase con cui Microsoft sta aggiornando gli elementi che controllano l’affidabilità del software caricato prima dell’avvio di Windows.
Durante l’installazione delle patch possono cambiare diversi componenti: il Boot Manager Microsoft, i database delle firme, gli elementi legati al TPM, alcuni file nella partizione EFI e il file boot.stl, usato nelle verifiche dell’ambiente di avvio. Se anche solo uno di questi pezzi resta indietro, oppure se il firmware del produttore non gestisce bene le nuove regole, la catena di fiducia può interrompersi.
Il risultato è il blocco del boot con Secure Boot attivo. Questo, però, non significa automaticamente che Windows 11 sia corrotto. Anzi, dalle ricostruzioni tecniche circolate tra amministratori e laboratori di test, nella maggior parte dei casi il sistema operativo risulta integro. A fallire è il controllo iniziale, quello che avviene prima del caricamento completo di Windows.
BIOS, partizione EFI e boot.stl: i tre controlli da fare subito
Il primo punto da verificare è il BIOS UEFI. Molti sistemi colpiti usano firmware rilasciati prima dell’arrivo dei certificati Secure Boot 2023. Su notebook aziendali e workstation, soprattutto se gestiti con immagini standard, è una situazione tutt’altro che rara. In diversi casi l’aggiornamento del BIOS fornito dal produttore ha risolto il blocco, mentre la semplice rimozione dell’update di Windows non è bastata.
Il secondo controllo riguarda la partizione EFI. Molti PC passati da Windows 10 a Windows 11 hanno ancora una partizione da 100 MB. A volte è troppo piccola per contenere nuovi file di avvio, certificati e componenti aggiornati. Gli amministratori possono controllare dimensioni e spazio disponibile con strumenti come diskpart, mountvol e fsutil, evitando interventi improvvisati.
Il terzo elemento, meno evidente ma decisivo, è EFI\Microsoft\Boot\boot.stl. In alcune configurazioni il Boot Manager risulta aggiornato, così come i certificati, mentre boot.stl resta a una versione precedente. Basta questa differenza per far fallire la verifica di Secure Boot. Su alcuni sistemi, inoltre, cartelle OEM nella partizione EFI possono occupare spazio con file temporanei o immagini firmware non più necessarie. Su macchine HP, per esempio, sono state segnalate cartelle come EFI\HP\DEVFW. Controlli simili possono essere utili anche su Dell, Lenovo e ASUS.
Prima di reinstallare Windows 11: le mosse più sicure
Prima di pensare alla reinstallazione di Windows 11, conviene andare per gradi. Se il PC è bloccato, il primo passo è disattivare temporaneamente Secure Boot dal pannello UEFI per rientrare nel sistema. Meglio evitare di cancellare chiavi o cambiare impostazioni non necessarie.
Una volta tornati in Windows, la priorità è verificare se esiste un aggiornamento BIOS sul sito del produttore o tramite l’utility ufficiale di manutenzione. Le note di rilascio vanno lette con attenzione: riferimenti a Security Update, Secure Boot o aggiornamenti UEFI possono essere un segnale utile.
Poi va controllato lo spazio nella partizione EFI. Se è quasi piena, può avere senso valutare un’estensione a 500 MB o 1 GB, ma solo con un backup aggiornato e strumenti affidabili. Per capire se l’aggiornamento della catena di avvio non è andato a buon fine, anche i log di sistema possono aiutare: da PowerShell avviato come amministratore si possono cercare eventi legati a Secure Boot, Boot Manager e boot.stl nel registro di Windows.
Solo dopo questi passaggi ha senso valutare interventi più pesanti. Nei casi descritti finora, la soluzione non sembra passare dalla formattazione, ma dal riallineamento tra firmware, partizione EFI e componenti aggiornati da Microsoft.
