Windows 11 si aggiorna: BitLocker più sicuro, Sysmon diventa nativo e nuovi freni per i dati di Copilot

KB5077241 è l’update opzionale cumulativo con cui Microsoft chiude febbraio 2026 su Windows 11, consegnando agli amministratori un pacchetto “preview” pensato per testare miglioramenti qualitativi prima del Patch Tuesday successivo. L’aggiornamento porta 29 modifiche, aggiorna Windows 11 25H2 alla build 26200.7922 e Windows 11 24H2 alla build 26100.7922, e tocca tre nervi scoperti del ciclo recente: la stabilità di BitLocker nel recovery, l’arrivo di Sysmon come funzionalità nativa e l’estensione dei controlli DLP per Copilot oltre i soli storage cloud. Sullo sfondo, Microsoft conferma che sta indagando anche un bug fastidioso in Outlook classico, legato alla scomparsa del puntatore del mouse.

KB5077241: perché conta anche se è un update “preview”

KB5077241 segue la logica dei rilasci opzionali: non è un pacchetto centrato su patch di sicurezza, ma su correzioni e affinamenti che devono essere validati in anticipo. In pratica Microsoft lo usa come ponte tra le regressioni osservate nelle settimane precedenti e la distribuzione generalizzata che avverrà con il Patch Tuesday. È la ragione per cui, nelle organizzazioni strutturate, la preview diventa un banco di prova operativo: permette di misurare impatti su compatibilità applicativa, driver, performance e processi di gestione, senza aspettare l’aggiornamento mensile obbligatorio. L’installazione passa dal flusso standard di Windows Update, dove l’aggiornamento appare come preview e richiede l’azione esplicita di Download and install, oppure tramite download manuale dal catalogo di Microsoft. Questa scelta “opt-in” è coerente con la funzione dell’update: ridurre il rischio di sorprese sul parco macchine, ma aumentare la qualità delle correzioni prima che diventino mainstream.

BitLocker: il fix che evita il congelamento dopo la chiave di recupero

Uno dei cambiamenti più importanti di KB5077241 riguarda BitLocker, non per nuove funzionalità ma per affidabilità. Microsoft interviene su un problema che poteva portare al congelamento del dispositivo dopo l’inserimento della chiave di ripristino, uno scenario che, nella realtà operativa, non è “un bug qualunque”: è un evento ad alto stress, spesso associato a incidenti di avvio, sostituzione hardware, aggiornamenti o recovery forzati. Il valore del fix sta nel ridurre downtime e ambiguità in un passaggio delicato, dove l’utente percepisce la cifratura come barriera e non come protezione. In ambienti enterprise, la conseguenza pratica è una riduzione degli interventi manuali e delle escalation su helpdesk, perché la sequenza recovery torna a essere prevedibile e lineare. Per Microsoft, invece, è anche un modo di proteggere la reputazione di BitLocker come pilastro della postura endpoint: se la fase di recupero si rompe, la fiducia nella cifratura si incrina proprio quando serve di più.

Sysmon integrato: telemetria avanzata, ma disabilitata di default

KB5077241 porta su Windows 11 la funzionalità nativa di System Monitor (Sysmon), un segnale preciso della direzione che Microsoft sta prendendo: incorporare strumenti storicamente “da amministratori e threat hunter” dentro il sistema operativo, riducendo dipendenze esterne e tempi di deployment. Sysmon rimane disabilitato di default, scelta che evita impatti involontari su performance e rumore di log, ma al tempo stesso apre una strada: chi vuole può attivarlo in modo controllato e integrarlo nelle pipeline di monitoraggio. Il passaggio è rilevante perché Sysmon non è una feature cosmetica. È un livello di osservabilità che, se governato bene, rende più leggibili processi, connessioni, modifiche a componenti critici, e migliora l’analisi post-evento. In un’epoca in cui molte compromissioni passano da identità e da catene SaaS, la telemetria di host resta però decisiva quando serve ricostruire “cosa è successo davvero” su una macchina. Per gli amministratori, la conseguenza è doppia: da un lato cresce la disponibilità di strumenti nativi, dall’altro aumenta la responsabilità di configurare logging e retention in modo sostenibile. Sysmon senza regole sensate può diventare solo una sorgente di dati ingestibili. Sysmon con regole coerenti diventa un acceleratore per detection e forensics.

Controlli dati Copilot: DLP oltre SharePoint e OneDrive, anche su storage locali

Nel pacchetto di annunci collegati a questo ciclo, Microsoft estende i controlli di prevenzione perdita dati (DLP) legati a Copilot a tutti gli storage, inclusi i dispositivi locali. È un punto che pesa perché corregge un’asimmetria che molte aziende avevano percepito come un rischio: policy DLP efficaci nel cloud, ma più deboli o non uniformi quando i file sensibili restano fuori da SharePoint e OneDrive. In questo modello, l’obiettivo è impedire che Copilot elabori contenuti marcati come confidenziali in applicazioni Office come Word, Excel e PowerPoint, indipendentemente da dove quei file risiedano. È una mossa che parla direttamente a chi sta valutando l’adozione dell’AI in contesti regolati: la fiducia non nasce dal marketing, nasce dalla capacità di garantire che la classificazione e le regole di trattamento restino valide anche quando i dati non sono “dentro il perimetro ideale”. Microsoft indica un rollout tramite componenti di distribuzione lato Office tra fine marzo e aprile 2026. In pratica, l’enforcement diventa più vicino al client e meno dipendente da controlli solo cloud-based, con l’idea di ridurre i buchi logici. Per le organizzazioni che hanno già policy DLP, l’impatto più interessante è la promessa di continuità: non serve riscrivere tutto, serve verificare che l’estensione non crei falsi positivi o frizioni sui workflow quotidiani.

Outlook classico: Microsoft indaga sul bug del cursore che scompare

Accanto alle novità di Windows e alla governance di Copilot, Microsoft conferma che sta indagando un bug in Outlook classico desktop: per alcuni utenti il puntatore del mouse scompare quando si muove sull’interfaccia, rendendo l’esperienza frustrante e, in alcuni casi, praticamente inutilizzabile. Il problema non blocca necessariamente l’interazione a livello logico, ma la rende opaca: le azioni “succedono”, solo che l’utente perde il riferimento visivo. Microsoft sta raccogliendo diagnosi e segnalazioni per arrivare a una correzione definitiva. Nel frattempo, il caso racconta una tensione tipica del 2026: l’ecosistema corre su miglioramenti continui, ma basta un difetto di usabilità per trasformare un client storico come Outlook in un punto di attrito quotidiano, soprattutto nelle aziende dove il “classico” resta ancora lo standard.

Gli altri ritocchi di KB5077241: rete, Explorer, taskbar e Arm64

Dentro le 29 modifiche di KB5077241 ci sono interventi che puntano più alla qualità percepita che alle headline. Microsoft introduce un test integrato della velocità di rete su Ethernet, Wi-Fi e connessioni cellulari accessibile dai Quick Settings o dal menu contestuale dell’icona di rete, un dettaglio che sembra semplice ma riduce la distanza tra diagnosi e intervento, soprattutto in scenari ibridi dove il collo di bottiglia è spesso “la rete” senza evidenza immediata. Su File Explorer, arriva la possibilità di aprire una nuova istanza tenendo premuto Shift o usando il tasto centrale del mouse, mentre sul sistema in generale Microsoft dichiara miglioramenti sul ritorno dallo sleep, con riduzione dei tempi di resume soprattutto sotto carichi pesanti. Sul taskbar impostato in modalità uncombined, cambia il comportamento dell’overflow: quando un’app ha più finestre, solo quelle che non entrano vengono spostate, evitando spazi inutili nel menu e rendendo più coerente la percezione di “capacità” della barra. C’è anche il supporto diretto alle immagini WebP come sfondo desktop e un passaggio importante per chi lavora su architetture alternative: l’estensione dei RSAT su dispositivi Windows 11 Arm64, includendo strumenti legati a servizi come Active Directory e gestione criteri, installabili dalle funzionalità opzionali. Sul fronte resilienza, Microsoft attiva automaticamente Quick Machine Recovery (QMR) su dispositivi Windows 11 Pro non domain-joined e non gestiti da piattaforme enterprise, segnale di una spinta verso recovery più automatico anche per il segmento professionale “non IT-managed”.