Aggiornamento cumulativo Windows 11 di maggio 2026 (KB5089549)
Introduzione
Microsoft ha rilasciato gli aggiornamenti cumulativi di maggio 2026 per le versioni supportate di Windows. Come ogni mese, si tratta di aggiornamenti cumulativi che includono correzioni di sicurezza, miglioramenti di qualità e, dove previsto, fix già introdotti con le preview update del mese precedente. Per Windows 11 le KB principali sono KB5089549 per Windows 11 25H2 e 24H2 e KB5087420 per Windows 11 23H2. Per Windows 10, ormai fuori dal supporto standard, l’aggiornamento del mese è disponibile nel contesto ESU con KB5087544. In questo articolo vedremo quali sono le KB pubblicate, quali build installano e quali aspetti conviene controllare prima di distribuirle in ambienti aziendali gestiti con Windows Update for Business, Microsoft Intune, Autopatch o WSUS.
Le KB di maggio 2026
La parte più rilevante per la maggior parte degli ambienti enterprise riguarda Windows 11 versioni 24H2 e 25H2, che condividono la stessa KB, ma con build differenti. Windows 11 23H2 riceve invece una KB separata.
Sistema operativo | Versione | KB | Build dopo l’installazione | Note |
|---|---|---|---|---|
Windows 11 | 25H2 | KB5089549 | 26200.8457 | Aggiornamento cumulativo di sicurezza |
Windows 11 | 24H2 | KB5089549 | 26100.8457 | Aggiornamento cumulativo di sicurezza |
Windows 11 | 23H2 | KB5087420 | 22631.7079 | Aggiornamento cumulativo di sicurezza |
Windows 11 | 26H1 | KB5089548 | 28000.2113 | Disponibile per scenari specifici 26H1 |
Windows 10 ESU | 22H2 | KB5087544 | 19045.7291 | Solo per dispositivi coperti da ESU |
Windows 10 LTSC 2021 | 21H2 | KB5087544 | 19044.7291 | Disponibile per edizioni LTSC supportate |
KB5089549 per Windows 11 25H2 e 24H2
La KB5089549 è l’aggiornamento cumulativo di maggio 2026 per Windows 11 25H2 e Windows 11 24H2. Dopo l’installazione, i dispositivi Windows 11 25H2 arrivano alla build 26200.8457, mentre i dispositivi Windows 11 24H2 arrivano alla build 26100.8457. L’aggiornamento include le correzioni di sicurezza del mese e i miglioramenti già presenti negli aggiornamenti precedenti. Tra gli elementi più interessanti troviamo alcune modifiche legate a Secure Boot, al servicing del boot manager e alla connettività.
Microsoft segnala che gli aggiornamenti di qualità di Windows includono ora dati di targeting aggiuntivi per aumentare la copertura dei dispositivi idonei a ricevere automaticamente i nuovi certificati Secure Boot. Il rollout resta comunque controllato e graduale, i certificati vengono distribuiti solo ai dispositivi che mostrano segnali sufficientemente affidabili dopo l’installazione degli update. Per maggiori informazioni potete consultare il mio articolo Aggiornamento dei certificati Secure Boot: cosa cambia nel 2026 e come gestirlo in azienda pubblicato sul sito ICT Power.
Un altro punto da evidenziare riguarda il boot manager servicing update. L’aggiornamento migliora l’affidabilità dell’avvio dopo modifiche ai file di boot e corregge uno scenario in cui alcuni dispositivi potevano entrare in BitLocker Recovery dopo l’installazione dell’aggiornamento di sicurezza di aprile 2026, in presenza di specifiche configurazioni TPM/PCR7.
Importante: secondo le note Microsoft, al momento non risultano problemi noti per questa KB su Windows 11 24H2 e 25H2.
KB5087420 per Windows 11 23H2
Per Windows 11 23H2 la KB del mese è KB5087420, che porta il sistema operativo alla build 22631.7079. Anche in questo caso si tratta di un aggiornamento cumulativo di sicurezza. La KB include correzioni e miglioramenti provenienti dalla precedente KB5082052 di aprile 2026 e introduce alcuni interventi interessanti per ambienti aziendali.
Tra le novità più rilevanti c’è il supporto alla gestione di Enterprise State Roaming tramite le policy di Windows Backup for Organizations. È un dettaglio importante perché conferma il progressivo spostamento di alcune configurazioni storicamente distribuite in modo separato verso un modello più integrato nella gestione moderna del backup e del ripristino delle impostazioni utente. Se volete approfondire l’argomento, potete consultare l’articolo Configurare Windows Backup for Organizations con Microsoft Intune.
La KB introduce anche un miglioramento per Microsoft Defender SmartScreen: Windows shell può inviare hash dei file non firmati, così da migliorare i controlli di reputazione delle applicazioni. Per gli ambienti dove il controllo del software è un tema sensibile, questa modifica va letta insieme alle altre tecnologie di application control, come App Control for Business, AppLocker e Microsoft Defender for Endpoint.
Microsoft segnala inoltre la correzione di un problema relativo alla finestra di avviso di sicurezza di Remote Desktop, che poteva essere visualizzata in modo non corretto in scenari multi-monitor con scale diverse dopo l’installazione dell’aggiornamento di aprile 2026.
Attenzione a BitLocker e PCR7
Per Windows 11 23H2, e anche per Windows 10 ESU, Microsoft documenta un possibile comportamento da monitorare: alcuni dispositivi con una configurazione non raccomandata di BitLocker Group Policy potrebbero richiedere la recovery key al primo riavvio dopo l’installazione dell’aggiornamento. Lo scenario riguarda sistemi in cui sono vere tutte queste condizioni:
Condizione | Dettaglio |
|---|---|
BitLocker attivo | Il volume del sistema operativo è protetto con BitLocker |
Policy TPM configurata manualmente | È configurata la policy “Configure TPM platform validation profile for native UEFI firmware configurations” |
PCR7 incluso | PCR7 è incluso nel validation profile |
PCR7 Binding non possibile | In msinfo32, Secure Boot State PCR7 Binding risulta “Not Possible” |
Certificato Windows UEFI CA 2023 presente | Il dispositivo è idoneo al nuovo Windows Boot Manager firmato 2023 |
Boot Manager non ancora aggiornato | Il dispositivo non sta già usando il Windows Boot Manager firmato 2023 |
In questo scenario la richiesta della recovery key dovrebbe avvenire una sola volta. Tuttavia, in ambienti enterprise, è un aspetto da non sottovalutare, soprattutto se il parco macchine utilizza configurazioni BitLocker storiche, ereditate da GPO o da baseline non più allineate alle raccomandazioni attuali. Prima di distribuire l’aggiornamento in modo esteso può essere utile verificare msinfo32 e controllare lo stato di PCR7 Binding.
Per un controllo lato BitLocker, invece, è possibile usare:
manage-bde -status C:
Se l’ambiente utilizza policy esplicite sui TPM platform validation profile, conviene validare la configurazione prima del rollout esteso e verificare che le recovery key siano correttamente salvate in Active Directory, Microsoft Entra ID o nel sistema di escrow previsto dall’organizzazione.
KB5087544 per Windows 10 ESU
Windows 10 ha terminato il supporto standard il 14 ottobre 2025. Per questo motivo, gli aggiornamenti successivi sono disponibili solo per dispositivi coperti da scenari supportati, come Extended Security Updates oppure edizioni LTSC ancora nel ciclo di vita previsto.
La KB di maggio 2026 per Windows 10 ESU è KB5087544. Sui dispositivi Windows 10 22H2 porta la build a 19045.7291, mentre su Windows 10 21H2 LTSC 2021 porta la build a 19044.7291.
La KB include correzioni di sicurezza e alcuni miglioramenti di qualità. Tra questi troviamo la correzione del problema relativo agli avvisi di sicurezza di Remote Desktop in configurazioni multi-monitor con scaling differente, miglioramenti legati allo stato di Secure Boot nella Windows Security App e aggiornamenti relativi al cambio dell’ora legale per l’Egitto.
Anche per questa KB Microsoft documenta lo stesso possibile scenario BitLocker/PCR7 descritto in precedenza. Questo è particolarmente importante perché molti ambienti che stanno ancora mantenendo Windows 10 potrebbero avere configurazioni storiche di BitLocker applicate tramite Group Policy.
Nota su Windows 11 26H1
Microsoft ha pubblicato anche KB5089548 per Windows 11 26H1, che porta il sistema alla build 28000.2113. Questa KB interessa però un perimetro più specifico rispetto alle release Windows 11 normalmente distribuite nella maggior parte degli ambienti aziendali. Per un articolo rivolto a un pubblico enterprise generalista, conviene citarla come nota separata e non metterla al centro dell’analisi, che resta invece su Windows 11 25H2, 24H2 e 23H2. Per informazioni dettagliate su questa versione, vi rimando all’articolo pubblicato su Endpoint Ninja Windows 11 26H1 spiegato semplice.
Come distribuire gli aggiornamenti in ambienti gestiti
In ambienti gestiti, questi aggiornamenti possono arrivare tramite Windows Update, Windows Update for Business, Microsoft Intune, Windows Autopatch, Microsoft Update Catalog o WSUS, a seconda del modello operativo adottato. Per i tenant gestiti con Intune, il consiglio resta quello di non trattare le cumulative update come semplici aggiornamenti automatici da lasciare senza governo. Il modello più solido è sempre quello basato su anelli di distribuzione:
Ring | Destinatari | Obiettivo |
|---|---|---|
Pilot IT | Dispositivi IT e amministratori tecnici | Verifica iniziale di installazione, reboot, BitLocker, VPN, RDP, applicazioni core |
Early adopters | Utenti selezionati e reparti con bassa criticità | Validazione su scenari reali |
Broad deployment | Resto del parco macchine | Distribuzione controllata dopo la fase pilota |
Critical devices | Device sensibili o con vincoli operativi | Rollout dedicato con finestre concordate |
Per questo mese, il controllo BitLocker e PCR7 merita particolare attenzione. Non significa bloccare automaticamente la distribuzione, ma verificare prima gli scenari in cui sono presenti configurazioni custom del TPM platform validation profile.
Cosa controllare dopo l’installazione
Dopo l’installazione della KB, è utile verificare la build del sistema operativo con:
winver
oppure da PowerShell:
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber
Per verificare rapidamente la presenza della KB installata:
Get-HotFix | Where-Object {$_.HotFixID -in "KB5089549","KB5087420","KB5087544"}
Su dispositivi gestiti da Intune, il controllo va poi completato dai report di Windows Update for Business, dai report Intune e, dove disponibile, da Windows Autopatch. In caso di anomalie lato client, i log principali da consultare restano quelli di Windows Update e gli eventi relativi al servicing del sistema operativo.
Conclusioni
Le KB5089549 e KB5087420 di maggio 2026 non introducono solo correzioni di sicurezza, ma toccano anche aree operative importanti come Secure Boot, boot manager, BitLocker, Remote Desktop e, per Windows 11 23H2, Enterprise State Roaming e SmartScreen. Per gli ambienti modern managed, il patching mensile va governato con un processo stabile. Pilot ring, monitoraggio, verifica dei problemi noti e controllo delle configurazioni critiche devono essere parte del ciclo ordinario di gestione endpoint. La nota su BitLocker e PCR7 è il punto da non ignorare questo mese. Anche se riguarda una casistica specifica, può avere impatto operativo immediato se un dispositivo richiede la recovery key al riavvio. Prima di procedere con una distribuzione ampia, conviene quindi verificare le configurazioni BitLocker più datate e assicurarsi che le recovery key siano disponibili e correttamente archiviate.
