Windows Server 2022 e 2025 supportano sia l’avvio Legacy BIOS sia UEFI. In produzione conviene preferire UEFI per abilitare Secure Boot, misurazione TPM, dischi GPT > 2 TB e funzionalità di sicurezza moderne. Di seguito una guida completa con vantaggi, scenari, verifiche e procedura di migrazione.
Panoramica
Negli ultimi anni l’adozione di UEFI ha reso più sicuri e gestibili i server Windows. La domanda tipica è se Windows Server 2022 e la prossima versione Windows Server 2025 possano ancora avviarsi in modalità Legacy BIOS oltre che in UEFI, e quali compromessi comporti ciascuna scelta. La risposta è sì: entrambe le release funzionano in entrambe le modalità, con UEFI fortemente raccomandato per sicurezza, scalabilità e compatibilità futura.
Risposta in breve
| Punto chiave | Dettagli |
|---|---|
| Compatibilità | Entrambe le release funzionano in Legacy BIOS (schema MBR) e in UEFI (schema GPT). |
| Raccomandazione Microsoft | Installare in UEFI per abilitare Secure Boot, misurazione TPM, dischi GPT > 2 TB e altre funzioni di sicurezza moderne. |
| Windows Server 2025 | Le build preliminari mostrano la stessa compatibilità di WS2022; eventuali requisiti più restrittivi (ad esempio Secure Boot obbligatorio) saranno chiariti nelle note di rilascio definitive. |
| Conversione post‑installazione | Da Legacy a UEFI possibile con mbr2gpt.exe, purché l’hardware supporti UEFI. |
| Quando restare su Legacy | Solo per hardware datato o hypervisor che emulano esclusivamente BIOS; si rinuncia però a Secure Boot e ai vantaggi di GPT. |
Vantaggi UEFI
- Secure Boot e avvio misurato: convalida della catena di boot e integrazione con TPM per mitigare rootkit e bootkit.
- Partizionamento GPT: supporto nativo a dischi di sistema superiori a 2 TB e fino a 128 partizioni primarie.
- Avvio più rapido: inizializzazione parallela dei device e gestione più efficiente dei driver firmware.
- Funzioni server avanzate: abilitazione e rafforzamento di Device Guard, Credential Guard, VBS, Shielded VMs e criteri “secured‑core”.
- Gestibilità: boot file standardizzati (
.efi) e strumenti moderni per il ripristino (bcdboot, WinRE) semplificati.
Limiti del Legacy BIOS
- Nessun controllo di integrità all’avvio: la catena di boot non è convalidata.
- MBR limitato a 2 TB per il disco di sistema; partizionamento meno flessibile.
- Compatibilità ridotta con funzionalità di sicurezza introdotte dopo Windows Server 2016.
- Dipendenza dal CSM su hardware recente, sempre più disabilitato dai vendor.
Confronto pratico
| Caratteristica | UEFI + GPT | Legacy BIOS + MBR |
|---|---|---|
| Secure Boot | Supportato | Non disponibile |
| Disco di sistema > 2 TB | Supportato | Non supportato |
| Numero di partizioni primarie | Fino a 128 (predefinite) | Fino a 4 (o 3 + estesa) |
| Deployment PXE | Boot file *.efi e opzioni DHCP dedicate | Boot file .com/.n12 |
| Hyper‑V Generation | Generation 2 (UEFI, Secure Boot) | Generation 1 (BIOS) |
| Funzioni VBS e Credential Guard | Agevolate | Limitate o non disponibili |
Verifica della modalità di avvio attuale
Prima di pianificare una migrazione, verifica come si avvia oggi il server. Ecco i metodi più rapidi.
Verifica grafica con informazioni di sistema
- Apri Esegui e digita
msinfo32. - Controlla la voce Modalità BIOS: UEFI oppure Legacy.
Verifica con PowerShell
(Get-ComputerInfo).BiosFirmwareType
oppure, via registro
$fw = Get-ItemPropertyValue -Path 'HKLM:\SYSTEM\CurrentControlSet\Control' -Name PEFirmwareType -ErrorAction SilentlyContinue
if ($fw -eq 2) {'UEFI'} elseif ($fw -eq 1) {'Legacy BIOS'} else {'Sconosciuto'}Verifica dello stile del disco
Get-Disk | Format-Table Number, FriendlyName, PartitionStyleSe il disco di sistema è GPT ed il firmware è impostato su UEFI, il sistema sta avviando in UEFI. Un disco MBR con firmware Legacy indica boot BIOS.
Verifica dei boot files
bcdedit /enum firmware
mountvol S: /S
dir S:\EFI\Microsoft\Boot\La presenza di \EFI\Microsoft\Boot\bootmgfw.efi è tipica di un avvio UEFI.
Pianificazione della migrazione da Legacy a UEFI
La migrazione si esegue in sede con mbr2gpt.exe oppure reinstallando direttamente in UEFI. La conversione in‑place è spesso la soluzione più rapida.
Prerequisiti e controlli
- Firmware e scheda madre con supporto UEFI; eventuale CSM disattivabile.
- Controller storage e HBA con driver/OpROM UEFI.
- Disco di sistema attualmente MBR; spazio libero sufficiente per creare la EFI System Partition (ESP).
- Backup completo e test di ripristino.
- Accesso remoto alla console out‑of‑band del server in caso di errori di boot.
Convalida e conversione
# Esegui come amministratore sulla macchina da convertire
mbr2gpt /validate /disk:0 /allowFullOS
mbr2gpt /convert /disk:0 /allowFullOSDurante la conversione, lo strumento ridimensiona la partizione del sistema, crea MSR ed ESP, converte la tabella partizioni e prepara i boot files UEFI.
Modifica del firmware
- Entra nel setup del firmware e imposta la modalità UEFI (disattiva CSM se presente).
- Imposta l’ESP come prima opzione di avvio o seleziona Windows Boot Manager.
- Avvia e verifica l’accesso al sistema operativo.
Abilitazione di Secure Boot
- Nel firmware, attiva Secure Boot e carica le chiavi di fabbrica del vendor.
- In Windows, verifica da PowerShell:
Confirm-SecureBootUEFI
Ripristino dei file di avvio se necessario
mountvol S: /S
bcdboot C:\Windows /l it-IT /s S: /f UEFIIl comando ricrea i file di boot UEFI sull’ESP e aggiorna le voci del firmware.
Problemi comuni e soluzioni
- Errore di convalida MBR2GPT: libera spazio sulla partizione del sistema (tipicamente 100–260 MB per l’ESP) o estendi il disco.
- INACCESSIBLEBOOTDEVICE dopo la conversione: verifica driver storage e priorità di boot; ricrea i boot files con
bcdboot. - Nessuna voce Windows Boot Manager nel firmware: ricrea l’entry da Windows oppure aggiorna il firmware all’ultima versione.
Consiglio: per nuove installazioni, crea un’ESP di 260 MB e installa direttamente in UEFI; la conversione è ottima per server già in produzione.
Distribuzione in rete e PXE
UEFI e Legacy richiedono bootloader diversi durante il deployment da rete. Assicurati che DHCP e i servizi di distribuzione siano configurati per entrambi i casi o, meglio, utilizza IP Helper sul router per demandare la scelta al server di deployment.
- BIOS: file di avvio tradizionali (es.
pxeboot.n12owdsnbp.com). - UEFI x64: file
wdsmgfw.efied immagini di avvio a 64 bit. - Immagini: usa boot image WinPE x64 firmate, necessarie per Secure Boot.
Nei domini misti, mantieni due profili di task sequence o profili distinti per firmware per evitare mismatch tra boot image e modalità di avvio.
Virtualizzazione e cloud
- Hyper‑V: usa VM Generation 2 per Windows Server 2022/2025 (UEFI, Secure Boot, vTPM). Abilita il Template Secure Boot “Microsoft Windows”.
- VMware vSphere: seleziona Firmware UEFI e opzionalmente Secure Boot nelle impostazioni della VM; questo è richiesto per molte funzioni di sicurezza.
- Proxmox/QEMU: imposta firmware OVMF (UEFI) e vTPM se vuoi usare BitLocker con protezione hardware o attivare Credential Guard.
- Shielded VMs: richiedono UEFI e Secure Boot per sfruttare al massimo l’attestazione basata su HGS/TPM.
Linee guida operative
- Nuove installazioni: imposta UEFI nel firmware prima del setup di Windows; preferisci GPT e abilita Secure Boot.
- Sistemi esistenti: valuta la conversione con
mbr2gpt.exedopo un backup completo. - Verifica hardware: conferma compatibilità UEFI di firmware, controller RAID/HBA e NIC.
- Secure Boot: abilitalo dopo l’installazione; verifica con
Confirm-SecureBootUEFI.
Approfondimento sulla sicurezza
Passare a UEFI è il prerequisito tecnico per molte difese moderne:
- Virtualization‑Based Security e Credential Guard isolano segreti e convalide in un ambiente protetto dall’hypervisor.
- Code Integrity rafforzato (HVCI) riduce l’esecuzione di driver non firmati o vulnerabili.
- Avvio misurato consente l’attestazione remota dello stato di boot tramite TPM, utile in ambienti regolamentati.
Queste caratteristiche migliorano sensibilmente la postura di sicurezza, specie su host che erogano servizi esposti o che gestiscono credenziali ad alto privilegio.
Contesti in cui mantenere Legacy BIOS
- Server con firmware o controller che non dispongono di OpROM UEFI aggiornato.
- Hypervisor o appliance che emulano esclusivamente BIOS e non possono essere aggiornati.
- Infrastrutture PXE ancora vincolate a bootfile e flussi Legacy non facilmente modernizzabili.
Anche in questi casi, pianifica un percorso di aggiornamento: il supporto a CSM/Legacy tende a sparire nei nuovi modelli.
Procedure consigliate post‑migrazione
- Abilita BitLocker con TPM per la cifratura del disco di sistema:
Enable-BitLocker -MountPoint "C:" -TpmProtector - Applica criteri VBS via GPO: Configurazione computer → Modelli amministrativi → Sistema → Device Guard → Attiva la sicurezza basata su virtualizzazione.
- Controlla l’integrità driver e la compatibilità con HVCI prima di abilitarlo in produzione.
- Documenta la nuova modalità di avvio e aggiorna runbook, template di VM e pipeline di deployment.
Domande frequenti
Posso avviare Windows Server 2022/2025 da GPT in Legacy BIOS? No: Windows avvia da GPT solo con firmware UEFI. In modalità Legacy BIOS il disco di sistema deve essere MBR.
<dt>La conversione con MBR2GPT è reversibile?</dt>
<dd>Non è prevista una conversione automatica inversa. Per tornare a MBR occorre un ripristino o una reinstallazione.</dd>
<dt>Quanto spazio serve per l’ESP?</dt>
<dd>Per conversioni in‑place lo strumento tende a creare ESP di circa 100 MB; per nuove installazioni è consigliabile prevedere 260 MB.</dd>
<dt>Devo abilitare Secure Boot prima o dopo la conversione?</dt>
<dd>Dopo la conversione, quando il sistema avvia già in UEFI. Verifica l’avvio corretto e poi abilita Secure Boot.</dd>
<dt>Che impatto ha UEFI sulle prestazioni?</dt>
<dd>Generalmente tempi di avvio più rapidi e nessun impatto negativo in esercizio; il guadagno dipende dall’hardware.</dd>Checklist decisionale
- Se stai installando su hardware recente allora scegli UEFI + GPT e abilita Secure Boot.
- Se il server è già in produzione con BIOS allora valuta
mbr2gptcon piano di backout. - Se usi virtualizzazione allora preferisci VM UEFI con vTPM e Secure Boot.
- Se hai dipendenze PXE Legacy allora pianifica un percorso di coesistenza o modernizzazione.
Conclusioni
Windows Server 2022 e 2025 supportano entrambe le modalità di avvio, ma UEFI è la scelta strategica per sicurezza, gestione e scalabilità. Mantieni Legacy solo dove esistono vincoli hardware o software non risolvibili nel breve periodo. Per tutto il resto, migrare a UEFI significa mettere il datacenter in linea con le migliori pratiche moderne.
In sintesi
- Entrambe le versioni avviano in BIOS e UEFI; UEFI è raccomandato.
- UEFI abilita Secure Boot, misurazione TPM, GPT > 2 TB e funzionalità avanzate.
- La conversione
mbr2gptè collaudata, con check accurati e backup. - Allinea deployment, hypervisor e policy di sicurezza alla nuova modalità.
Se l’infrastruttura lo consente, adottare UEFI rappresenta la scelta future‑proof; mantenere Legacy esclusivamente dove vincoli hardware o software lo rendano indispensabile.