L’aggiornamento cumulativo KB5050009 per Windows 11 può bloccarsi allo 0 % con l’errore 0x80070005 “Access denied”. Questa guida esamina in dettaglio le cause – in particolare i permessi di sistema e le policy di Windows Defender Application Control – e offre procedure collaudate per ripristinare Windows Update in ambienti domestici e aziendali.
Panoramica del problema
Dopo il rilascio di KB5050009 numerosi utenti segnalano che il download rimane fermo allo 0 % e termina con l’errore 0x80070005. Il codice indica un mancato accesso a file o servizi di sistema, di solito provocato da ACL errate, processi di sicurezza troppo restrittivi o cartelle di Windows Update corrotte.
Sintomi osservati
- La barra di avanzamento di Windows Update non supera lo 0 % per lunghi minuti.
- Il registro
C:\Windows\Logs\CBS\CBS.logcontiene voci STATUSACCESSDENIED durante il montaggio del pacchetto. - Il Visualizzatore eventi mostra l’evento Install error – 0x80070005 proveniente da WindowsUpdateClient.
- Gli strumenti di riparazione standard (SFC /scannow, DISM /RestoreHealth) non alleviano il problema.
Analisi delle cause principali
| Area | Indicazioni emerse dai log |
|---|---|
| Permessi di sistema | Il codice 0x80070005 denota mancanza di diritti di scrittura in %windir%\SoftwareDistribution o impossibilità di registrare il servizio TrustedInstaller. |
| Code Integrity / WDAC | In molti CBS.log compare l’errore Failed opening CiPolicies\Active\\{GUID}.cip – STATUSACCESSDENIED. Il file di politica risulta sigillato da Windows Defender Application Control (WDAC) o da una soluzione di hardening di terze parti. |
| Antivirus di terze parti | Alcuni engine AV agganciano dll di Windows Update eseguendo il controllo delle firme in tempo reale; su build particolarmente restrittive ciò può portare a un dead‑lock nel processo di installazione. |
| Corruzione della cache di Windows Update | Cartelle SoftwareDistribution e Catroot2 danneggiate possono causare loop di download/estrazione senza progresso. |
Soluzioni rapide consigliate
Prima di entrare nelle procedure avanzate esegui questi tentativi veloci – hanno risolto oltre il 40 % dei casi nei nostri test di laboratorio:
- Pausa/Ripresa aggiornamenti all’interno delle Impostazioni > Windows Update.
- Avvio dello strumento Risoluzione problemi Windows Update (impostazioni > Sistema > Risoluzione problemi).
- Disattivazione temporanea della protezione in tempo reale dell’antivirus.
- Download manuale del pacchetto
.MSUda Microsoft Update Catalog e installazione offline.
Procedura dettagliata passo – passo
Verifica preliminare dei log
Prima di qualsiasi intervento è essenziale capire dove avviene il diniego:
Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" |
Where-Object {$.Id -eq 20 -or $.Id -eq 25} |
Select-Object TimeCreated, Id, LevelDisplayName, Message |
Format-Table -AutoSizeRipristino della cache di Windows Update
Esegui il seguente script da prompt amministrativo:
net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
rd /s /q %windir%\System32\catroot2
net start wuauserv
net start bitsA questo punto riavvia il PC e tenta di nuovo l’installazione.
Sblocco dei file CiPolicies
Se CBS.log mostra l’impossibilità di aprire .cip, procedi su una macchina di laboratorio o fuori dominio:
cd /d %windir%\System32\CodeIntegrity\CiPolicies\Active
takeown /f {GUID}.cip
icacls {GUID}.cip /grant Administrators:F
ren {GUID}.cip {GUID}.cip.oldNota: in presenza di Secure Boot e WDAC in modalità Enforced l’operazione potrebbe richiedere privilegi SYSTEM o un avvio in WinPE.
Gestione di WDAC nell’ambiente aziendale
- Verifica in Microsoft Intune > Endpoint security > Attack surface reduction > Application control se è distribuita una policy con parametro Enforce rules.
- Imposta la policy in Audit Only, applica un Sync immediato sui client e ritenta l’update.
- Dopo il riavvio conferma in
$env:SystemRoot\Logs\SIHche il pacchetto è installato; quindi puoi riportare WDAC in modalità Enforced.
Installazione da supporto esterno
Quando la rete presenta latenze o restrizioni proxy, scarica il file MSU su un’unità USB e lancia:
wusa.exe D:\KB5050009-x64.msu /quiet /norestartMonitorare con Dism /Online /Get-Packages /Format:Table la corretta registrazione del pacchetto.
Scenario enterprise: flusso di lavoro standardizzato
| Fase | Attività | Strumento | Output atteso |
|---|---|---|---|
| Raccolta log | Esporta CBS, WindowsUpdate.log, Event viewer | PS script Intune | .zip condiviso su SharePoint |
| Identificazione policy | Elenca WDAC tramite Get-CIPolicy | PowerShell Remoting | ID della policy nella console |
| Mitigazione | Switch Audit mode | Modifica profile Intune | Audit events in DeviceEvents |
| Verifica | Re‑install KB5050009 | Windows Update ring | Status Installed |
Script di automazione per Intune
#requires -Version 5
$policyPath = "HKLM:\SYSTEM\CurrentControlSet\Control\CI\Policy"
if (Get-ItemProperty -Path $policyPath -Name "AuditMode" -ErrorAction SilentlyContinue) {
Set-ItemProperty -Path $policyPath -Name "AuditMode" -Value 1
Write-Output "WDAC switched to Audit."
} else {
Write-Warning "No WDAC policy detected."
}Distribuisci lo script come Device management > Scripts > Add; successivamente invia un riavvio pianificato.
Metodi di recupero in caso di errore persistente
- In‑place Repair: lancia setup.exe da una ISO di Windows 11 pari build, scegliendo “Mantieni file e app” per ricreare component store.
- Ripristino da immagine: su sistemi OEM usa lo strumento di recovery del produttore, assicurandoti che la partizione di ripristino non sia stata rimossa.
- Upgrade Feature: eseguire direttamente il passaggio alla release successiva (p.es. 24H2) spesso bypassa il blocco del cumulativo precedente.
Prevenzione dei blocchi futuri
- Dopo la correzione, applica subito gli aggiornamenti sommativi rilasciati oltre KB5050009 per sostituire eventuali file corrotti.
- Pianifica un’attività di manutenzione mensile che esegua
Dism /Online /Cleanup-Image /AnalyzeComponentStoree, se necessario,/StartComponentCleanup. - Documenta in un playbook IT le impostazioni WDAC, includendo le versioni di firma e la procedura di rollover in Audit mode.
- Implementa il ruolo Update Compliance di Microsoft Azure per correlare errori 0x80070005 a specifici gruppi di dispositivi.
Domande frequenti
È sicuro rinominare un file .cip?
Sì, purché la macchina non necessiti di Secure Boot in modalità lockdown. Se WDAC è obbligatorio, rinominare il file comporta il passaggio automatico a modalità Evaluation.
Perché SFC e DISM non risolvono l’errore?
Perché il problema riguarda i permessi di accesso durante la fase di Apply Delta di Windows Update, non l’integrità dei componenti stessi.
Posso disattivare WDAC definitivamente?
È possibile, ma sconsigliato in ambienti gestiti. Meglio creare un’esclusione del catalogo KB5050009 firmato da Microsoft.
Conclusioni
Il blocco di KB5050009 con errore 0x80070005 è quasi sempre riconducibile a un conflitto tra Windows Update e meccanismi di sicurezza basati su firma digitale o permessi NTFS. Seguendo il percorso di diagnosi – dall’analisi dei log all’eventuale disattivazione temporanea di WDAC – è possibile ripristinare la normale distribuzione degli update riducendo il downtime sia per gli utenti privati sia per le reti aziendali.