Bloccare Windows 11 23H2 non significa spegnere gli update
Se l’obiettivo è fermare l’aggiornamento a Windows 11 23H2, la prima distinzione da fare è questa: vuoi bloccare il feature update oppure vuoi bloccare qualsiasi patch?
Nel lavoro quotidiano la differenza conta. Fermare tutto con una policy troppo aggressiva ti lascia esposto a vulnerabilità già corrette. Bloccare solo il salto di versione, invece, ti permette di tenere il sistema aggiornato senza cambiare ramo funzionale, driver, policy o compatibilità applicativa.
Il punto operativo è semplice: Windows Update decide cosa proporre in base a più segnali, tra cui edizione, canale di servicing, policy locali, gestione centralizzata, stato del dispositivo e presenza di un target version fissato dall’amministratore. Per questo i metodi efficaci sono quelli che impostano un vincolo esplicito, non quelli che cercano di inseguire il comportamento del client a colpi di workaround estemporanei.
Qui sotto trovi quattro modi pratici per bloccare l’aggiornamento a Windows 11 23H2. Non tutti hanno lo stesso impatto: alcuni sono adatti a una singola macchina, altri a una flotta. Prima di toccare la configurazione, il criterio resta lo stesso: verifico lo stato attuale, applico il vincolo minimo, controllo che il sistema resti sul release target desiderato.
1) Impostare la versione di destinazione con Group Policy
È il metodo più pulito quando la macchina è in dominio o comunque gestita da criteri locali. In pratica dici al sistema: “resta su questa release, non salire oltre”.
Il vantaggio è che il blocco è leggibile, documentabile e reversibile. Il limite è banale: funziona bene se il device riceve davvero le policy e se non c’è un altro strato di gestione che le sovrascrive.
Come si fa
- Apri l’Editor Criteri di gruppo locali con
gpedit.msc. - Vai in Configurazione computer → Modelli amministrativi → Componenti di Windows → Windows Update → Windows Update for Business.
- Apri il criterio Seleziona la versione di destinazione dell'aggiornamento delle funzionalità.
- Impostalo su Abilitato.
- Compila i campi con l’edizione corretta e la release di destinazione consentita. Se vuoi impedire il salto a 23H2, il target va fissato a una versione precedente coerente con il parco macchine e con il supporto ancora attivo.
- Esegui un aggiornamento delle policy con
gpupdate /force.
Verifica minima:
gpresult /h C:\temp\gpresult.htmlNel report controlla che il criterio risulti effettivamente applicato. Se la macchina continua a proporsi per 23H2, il problema non è il client ma una policy confliggente o una gestione MDM che prevale sul locale.
Rollback: rimetti il criterio su Non configurato e rilancia gpupdate /force.
Blast radius: limitato al device o all’OU su cui agisce la GPO. Attenzione solo a non confondere il blocco della feature update con altre impostazioni di Windows Update presenti nella stessa policy.
2) Fissare la release target con registro di sistema
Su una singola postazione, o dove la Group Policy non è disponibile, il registro è la via diretta. È anche il metodo più utile quando devi fare troubleshooting: vedi subito se il vincolo esiste davvero oppure no.
Il principio è identico al criterio di gruppo: si indica a Windows quale versione deve considerare come massima consentita per il feature update.
Chiavi da controllare
Il ramo da verificare è:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdateIn questo percorso, le impostazioni tipiche da controllare sono quelle che definiscono il target versioning. Se il ramo non esiste, significa che nessuna policy locale sta imponendo il blocco.
Verifica rapida da prompt elevato:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersione, se presente, anche:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfoSe i valori non risultano presenti o non corrispondono alla release desiderata, il client continuerà a vedere 23H2 come upgrade disponibile quando gli altri prerequisiti sono allineati.
Impostazione minima
Su una macchina gestita manualmente, il blocco si ottiene con valori coerenti nel ramo policy. Un esempio pratico, da eseguire solo con privilegi amministrativi e con backup del ramo prima della modifica:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfo /t REG_SZ /d "22H2" /fSe l’ambiente è ancora su Windows 10 o su una release diversa, il valore di destinazione va scelto in modo coerente con la linea supportata e con la strategia di migrazione. Forzare un target non valido non blocca in modo utile: crea solo confusione operativa.
Rollback: esporta il ramo prima del change e poi rimuovi i valori aggiunti se devi tornare indietro.
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" C:\temp\WindowsUpdate-backup.regreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion /freg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfo /fBlast radius: la singola macchina. Se però il device riceve policy da MDM o dominio, il valore locale può essere sovrascritto al successivo refresh.
3) Bloccare 23H2 da Intune o da gestione centralizzata MDM
Se parliamo di ambienti gestiti, questo è spesso il metodo che vince davvero. Il motivo è semplice: la configurazione locale può essere corretta, ma il servizio di gestione centralizzata continua a reiniettare il target desiderato o a proporre il feature update secondo il profilo assegnato.
In Intune, il controllo va fatto nel profilo dedicato agli aggiornamenti di Windows, dove puoi fissare una release target per i feature update. È il modo più coerente per gestire un parco eterogeneo, perché separa i device per gruppi e non per interventi manuali macchina per macchina.
Dove guardare
Nel portale, il punto da verificare è il profilo di aggiornamento delle funzionalità assegnato al gruppo del device. Il campo da controllare è quello che indica la versione di destinazione o la policy equivalente per il feature update.
Se il device è sia in dominio sia in MDM, conta capire quale sorgente di configurazione è prioritaria. In pratica: se il criterio locale dice una cosa e Intune un’altra, vince chi ha precedenza nel modello di gestione del dispositivo.
Verifica operativa
Dal lato client, controlla lo stato della sincronizzazione e l’ultima ricezione policy. Su Windows puoi verificare rapidamente che il device stia effettivamente ricevendo configurazioni MDM con:
dsregcmd /statuse, se serve, con la sincronizzazione forzata dalla UI di accesso aziendale o dal pannello di gestione account. Se il profilo è assegnato ma il device continua a offrire 23H2, il primo sospetto è un conflitto tra profili o un filtro di assegnazione errato.
Rollback: rimuovi o modifica il profilo di feature update dal gruppo interessato e attendi il refresh della policy. Se c’è un secondo profilo sovrapposto, va tolto anche quello.
Blast radius: medio o alto, dipende dal gruppo assegnato. Qui il rischio non è il comando, ma la segmentazione sbagliata del target.
4) Usare una pausa temporanea o un blocco di manutenzione quando serve solo guadagnare tempo
Non sempre vuoi un blocco permanente. A volte ti serve solo evitare che il feature update parta durante una finestra delicata: chiusura contabile, rollout applicativo, migrazione di un client critico, test di compatibilità ancora incompleti.
In questi casi la pausa degli aggiornamenti è un tampone, non una soluzione architetturale. Va bene se hai già deciso quando riaprire la finestra e se hai un controllo preciso sulla durata. Non va bene come strategia stabile, perché prima o poi scade e il sistema torna a proporre l’upgrade.
Quando ha senso
Ha senso se devi fermare il rischio nel breve periodo e hai già pianificato il blocco definitivo con una delle tre misure precedenti. È utile anche quando stai aspettando di validare un’applicazione interna o un driver che non è ancora pronto per 23H2.
Come verificarla
Dal pannello di Windows Update controlla la presenza della pausa attiva e la data di ripresa. Se vuoi una verifica più precisa, osserva lo stato del servizio update e la cronologia degli aggiornamenti per capire se il feature update è solo sospeso o già scaricato in coda.
Una verifica pratica lato sistema è controllare che non ci siano download o installazioni in corso:
sc query wuauserve, se necessario, il log operativo di Windows Update nel Visualizzatore eventi. Se il sistema mostra ancora il feature update come disponibile dopo la ripresa della pausa, significa che la pausa non è un blocco: è solo un rinvio.
Rollback: rimuovi la pausa o fai scadere la finestra temporanea e applica subito un target version esplicito per evitare che il client riparta da solo.
Blast radius: limitato alla macchina o al gruppo di device su cui è stata impostata la pausa. Il rischio è operativo: dimenticarsi il vincolo temporaneo e ritrovarsi il salto di versione nel momento sbagliato.
Quale metodo scegliere davvero
Se hai una sola macchina, il registro è rapido ma va usato con disciplina. Se hai un PC in dominio o una macchina gestita localmente, la Group Policy è la scelta più leggibile. Se hai una flotta, soprattutto con device remoti o ibridi, la gestione centralizzata tramite MDM è quella che regge meglio nel tempo. La pausa, invece, è solo un cuscinetto temporaneo.
La regola pratica è questa: più il contesto è gestito, più il blocco deve stare nel sistema di gestione, non sul singolo client. Se fai il contrario, il rischio è di vedere il device “tornare indietro” al primo refresh policy.
Prima di chiudere il lavoro, controlla sempre tre cose: che il target version sia coerente con la tua strategia, che non ci siano policy concorrenti, e che il device non stia ricevendo un canale di aggiornamento diverso da quello che pensi. Il blocco di 23H2 non è un trucco: è una scelta di governance. Se la config è chiara, il client si allinea. Se la config è ambigua, Windows fa esattamente quello che gli hai lasciato fare.
Assunzione operativa: i comandi e i percorsi indicati sono pensati per postazioni Windows gestite con privilegi amministrativi; prima di cambiare policy o registro, esporta sempre il ramo interessato o verifica la possibilità di rollback dal tuo sistema di gestione.
Commenti (0)
Nessun commento ancora.
Segnala contenuto
Elimina commento
Eliminare definitivamente questo commento?
L'azione non si può annullare.