Windows Defender bloccato su Windows 11 Home (Surface Pro 9): errore 0x80073D02 e messaggio “Il tuo provider IT ha limitato l’accesso” — guida completa e soluzione

Su un Surface Pro 9 con Windows 11 Home, la “Sicurezza di Windows” (Windows Defender) ha smesso di aprirsi dopo un ripristino, mostrando un avviso di restrizioni “IT”. In questo articolo trovi analisi del caso reale, cause, procedure passo‑passo (anche per l’errore 0x80073D02) e best practice verificabili.

Scenario e sintomi

Dopo il ripristino del dispositivo, l’app Sicurezza di Windows non si avviava più. L’unica schermata mostrava un banner con il testo:

“Il tuo provider IT ha limitato l’accesso ad alcune aree di questa app…”

Ulteriori indizi raccolti:

• Edizione del sistema: Windows 11 Home (priva dell’Editor Criteri di Gruppo).
• Nessun antivirus di terze parti installato o residui apparenti.
• I tentativi di reinstallare/registrare i pacchetti UWP con PowerShell (Add‑AppxPackage) fallivano con 0x80073D02 perché alcune app di sistema risultavano “in uso”.
• L’errore coinvolgeva processi come StartMenuExperienceHost, ShellExperienceHost e componenti UWP collegati.

Che cosa significa davvero il messaggio “Il tuo provider IT ha limitato l’accesso…”

Nonostante l’edizione Home non includa gpedit.msc, Windows può recepire politiche tramite chiavi di registro o update di piattaforma. Il banner indica che l’interfaccia della Sicurezza di Windows è stata “bloccata” da una policy o da uno stato incoerente della UI (SecHealthUI) successivo a un aggiornamento/ripristino. In pratica:

• Le aree dell’app (p.es. “Protezione da virus e minacce”) possono essere nascoste/limitate da chiavi sotto HKLM\SOFTWARE\Policies\Microsoft\Windows Defender e ...Windows Defender Security Center.
• In alcuni casi un bug introdotto da un aggiornamento fa scattare il blocco dell’UI pur senza policy intenzionali, specie dopo un reset.

Il caso reale (Surface Pro 9, Windows 11 Home)

Il sistema, appena ripristinato, mostrava il banner di restrizione e impediva qualsiasi intervento grafico. L’utente ha provato la classica rigenerazione dei pacchetti UWP:

Get-AppxPackage -AllUsers `
| %{ Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml" }

Il comando non è andato a buon fine: 0x80073D02 (“il pacchetto non può essere registrato perché è attualmente in uso”). Anche i tentativi di kill dei processi coinvolti si sono rivelati instabili in sessione standard.

Soluzioni tentate e risultati

Passaggio	Descrizione	Esito
Verifica software di sicurezza di terze parti	Disinstallare eventuali antivirus/antimalware esterni che possono disattivare Defender.	Non risolutivo (nessun AV di terze parti presente).
Windows Update	Installare tutte le patch da Impostazioni › Windows Update.	Non risolutivo all’inizio, risolutivo solo dopo un aggiornamento successivo (vedi più avanti).
Disattivare “Accesso controllato alle cartelle”	In Sicurezza di Windows › Protezione da ransomware, disattivare la funzione.	Impossibile da eseguire perché l’app non si apriva.
Ripristino dei pacchetti della Sicurezza di Windows	Re‑register con PowerShell usando Add‑AppxPackage sugli AppXManifest.	Fallisce con 0x80073D02: pacchetti bloccati da processi di sistema (StartMenuExperienceHost, ShellExperienceHost, ecc.).
Abilitare Local Group Policy Editor	Workaround per creare criteri locali ed eliminare restrizioni.	Non sufficiente: Defender resta non avviabile.
Assistenza Microsoft & patch correttiva	Apertura ticket con supporto; successivo cumulative update di Windows.	Risolutivo: l’aggiornamento ripristina Defender senza ulteriori interventi.

Perché compare l’errore 0x80073D02 e come gestirlo

0x80073D02 significa che stai tentando di registrare un pacchetto UWP mentre una sua istanza (o un suo dipendente) è in esecuzione. Nei casi della shell di Windows ciò accade perché componenti come StartMenuExperienceHost, ShellExperienceHost, ApplicationFrameHost o la stessa SecurityHealthService tengono aperti file/handle della UI.

Soluzioni efficaci per aggirare il lock:

1. Modalità provvisoria con rete: avvia in Safe Mode (con rete) e ripeti il re‑register; in Safe Mode la maggior parte delle UWP non parte.
2. Riavvio “pulito”: esegui un Clean Boot (avvio selettivo) per minimizzare i servizi terzi, poi riprova.
3. Target mirato: invece del re‑register “globale”, registra solo la UI della sicurezza: $pkg = Get-AppxPackage -AllUsers Microsoft.Windows.SecHealthUI if ($pkg) { Add-AppxPackage -DisableDevelopmentMode -Register "$($pkg.InstallLocation)\AppXManifest.xml" } Se la ricerca non restituisce nulla, prova anche Microsoft.SecHealthUI come identificatore.

Diagnostica rapida: checklist

Prima di “toccare” policy e pacchetti, raccogli questi dati (saranno utili anche per il supporto):

Elemento	Come verificarlo	Cosa osservare
Integrità file di sistema	sfc /scannow e poi DISM /Online /Cleanup-Image /RestoreHealth	“Nessuna violazione di integrità” o “Riparazioni completate”.
Servizi core	Get-Service WinDefend, SecurityHealthService, wscsvc	Tutti in stato “Running” e avvio Automatico.
Stato Defender	Get-MpComputerStatus	AntivirusEnabled=True, RealTimeProtectionEnabled=True, AMServiceEnabled=True.
Policy residue	Registro: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender e ...\Windows Defender Security Center	Nessun valore imposto (specialmente chiavi che nascondono aree UI).
Log eventi	Visualizzatore Eventi > Microsoft > Windows > Windows Defender / SecurityCenter	Errori/Warning su inizializzazione engine e UI.

Procedura consigliata in casi analoghi (sintesi)

1. Controlli preliminari
   • Rimuovere eventuali AV di terze parti con i rispettivi removal tool.
   • Eseguire sfc e DISM.
2. Ripristino pacchetti in Modalità Provvisoria
   • Safe Mode con rete, quindi Add‑AppxPackage mirato (vedi esempio sopra).
3. Aggiornare Windows
   • Installare gli aggiornamenti cumulativi più recenti; molti bug della UI sono stati corretti da patch rilasciate nelle settimane successive all’anomalia.
4. Evitare modifiche di policy non necessarie
   • Su Windows 11 Home, strumenti “gpedit” di terze parti possono aiutare, ma è preferibile attendere update ufficiali se disponibili.
5. Contattare il supporto Microsoft
   • Aprire un ticket fornendo log PowerShell ed Event Viewer; il canale per i dispositivi Surface dispone di diagnostica remota.

Guida pratica passo‑passo (dettaglio)

Passo 1 — Sanity check di sistema

1. Apri Prompt dei comandi (Amministratore) e lancia: sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth
2. Apri PowerShell (Amministratore) e verifica servizi e stato: Get-Service WinDefend, SecurityHealthService, wscsvc | Format-Table -Auto Get-MpComputerStatus | Select-Object AMServiceEnabled, AntivirusEnabled, RealTimeProtectionEnabled, InPassiveMode Se WinDefend non è in esecuzione, prova: Set-Service -Name WinDefend -StartupType Automatic Start-Service -Name WinDefend

Passo 2 — Verificare ed eventualmente rimuovere policy residue

Avvertenza: prima di modificare il registro, crea un punto di ripristino e esporta le chiavi interessate.

1. Apri PowerShell (Amministratore) e salva/azzera le policy che possono nascondere le aree dell’app: reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" "$env:USERPROFILE\Desktop\WDpoliciesbackup.reg" /y reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center" "$env:USERPROFILE\Desktop\WDSCpoliciesbackup.reg" /y reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /f reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center" /f Riavvia il PC. Se la UI resta bloccata, prosegui.

Passo 3 — Riparare la UI (SecHealthUI) senza incorrere in 0x80073D02

1. Avvia in Modalità Provvisoria con Rete.
2. Apri PowerShell (Amministratore) e registra solo i pacchetti mirati: $targets = @( "Microsoft.Windows.SecHealthUI", "Microsoft.SecHealthUI" # fallback su varianti di denominazione ) foreach ($t in $targets) { $pkg = Get-AppxPackage -AllUsers $t -ErrorAction SilentlyContinue if ($pkg) { Write-Host "Re-register: $($pkg.Name)" Add-AppxPackage -DisableDevelopmentMode -Register "$($pkg.InstallLocation)\AppxManifest.xml" } }
3. Riavvia in modalità normale e testa l’apertura di Sicurezza di Windows.

Passo 4 — Aggiornare piattaforma e firme di Defender

1. In PowerShell (Amministratore): Update-MpSignature Start-MpScan -ScanType QuickScan
2. In Impostazioni › Windows Update, verifica aggiornamenti facoltativi e cumulativi; se disponibili, installali e riavvia.

Passo 5 — Attività pianificate & servizi (sanità operativa)

Controlla che le attività di manutenzione di Defender siano abilitate:

• Task Scheduler > Libreria > Microsoft > Windows > Windows Defender
  • Windows Defender Scheduled Scan
  • Windows Defender Cache Maintenance
  • Windows Defender Cleanup
  • Windows Defender Verification

Se sono disabilitate, riabilitale.

Passo 6 — In‑place repair come ultima risorsa

Se, nonostante tutti i passaggi, la UI restasse bloccata e non fossero disponibili patch risolutive, valuta un in‑place upgrade riparativo (medesima edizione/build) per rigenerare i componenti senza perdere dati/app. È più invasivo: usalo solo come extrema ratio.

Note specifiche per dispositivi Surface

• Surface Diagnostic Toolkit (SDT): utile per collezionare log e verifiche automatiche.
• Firmware & driver: assicurati che UEFI, grafica e componenti di sistema siano aggiornati.
• Supporto dedicato Surface: in caso di persistenza, apri un caso; la telemetria remota aiuta a isolare bug lato piattaforma.

Domande frequenti (FAQ)

Non riesco ad aprire la Sicurezza di Windows: posso comunque eseguire una scansione?

Sì. Usa PowerShell (Amministratore):

Start-MpScan -ScanType QuickScan
oppure
Start-MpScan -ScanType FullScan

Come capisco se Defender è in “passive mode” dopo un vecchio AV?

Esegui:

Get-MpComputerStatus | Select-Object InPassiveMode

Se True, rimuovi completamente l’altro AV e riavvia. In assenza di altri prodotti di sicurezza, Defender tornerà attivo.

È sicuro cancellare le chiavi di policy nel registro?

Sì, se prima esporti le chiavi per poterle ripristinare. Su edizione Home tali chiavi non sono gestite da gpedit, quindi rimuovere policy residue (non richieste) è una prassi comune quando bloccano la UI.

Cosa causa l’errore 0x80073D02, nello specifico?

Un handle aperto sul pacchetto che stai registrando (es. SecHealthUI) da parte di processi di shell o servizi. La Modalità Provvisoria con rete evita proprio che quelle componenti si attivino, rimuovendo il lock.

Script e comandi “pronti all’uso”

Verifica rapida stato Defender

Get-Service WinDefend, SecurityHealthService, wscsvc | Format-Table -Auto
Get-MpComputerStatus | fl AMServiceEnabled,AntivirusEnabled,RealTimeProtectionEnabled,InPassiveMode,AMEngineVersion,AntivirusSignatureLastUpdated

Re‑register (mirato) della UI in Safe Mode

$candidates = "Microsoft.Windows.SecHealthUI","Microsoft.SecHealthUI"
foreach ($c in $candidates) {
  $p = Get-AppxPackage -AllUsers $c -ErrorAction SilentlyContinue
  if ($p) { Add-AppxPackage -DisableDevelopmentMode -Register "$($p.InstallLocation)\AppxManifest.xml" }
}

Pulizia policy di blocco UI (con backup)

reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" "$env:USERPROFILE\Desktop\WD_bak.reg" /y
reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center" "$env:USERPROFILE\Desktop\WDSC_bak.reg" /y
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /f
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center" /f

Aggiornare firme e motore

Update-MpSignature
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate

“Cosa evitare” (errori comuni)

• Re‑register indiscriminato di tutti i pacchetti UWP in sessione normale: genera facilmente 0x80073D02.
• Forzare criteri non necessari con tool non ufficiali su edizione Home: rischi di fissare restrizioni più rigide.
• Disabilitare servizi core per “spegnere” i lock: può peggiorare la situazione o compromettere l’avvio della shell.

Lezioni dal caso reale

• Il malfunzionamento non dipendeva da configurazioni locali, ma da un bug corretto da Microsoft con un aggiornamento cumulativo rilasciato a breve distanza.
• Windows Update è il primo alleato: quando l’app Sicurezza di Windows risulta bloccata dopo un reset, vale la pena attendere e installare le ultime patch.
• PowerShell in Modalità Provvisoria è la via più affidabile per evitare l’errore 0x80073D02 durante il re‑register della UI.
• Per i dispositivi Surface conviene utilizzare i canali di supporto dedicati, con strumenti diagnostici mirati.

Appendice — Mappa rapida di componenti utili

Componente	Nome/Posizione	Note
Servizio Antivirus	WinDefend	Deve essere in esecuzione (Automatico).
UI Sicurezza di Windows	Microsoft.Windows.SecHealthUI / SecHealthUI.exe	UI UWP; il re‑register risolve cache e registrazioni corrotte.
Centro Sicurezza	wscsvc	Aggrega lo stato di sicurezza e avvisa l’utente.
Policy registro	HKLM\SOFTWARE\Policies\Microsoft\Windows Defender HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center	Valori qui presenti possono nascondere la UI o porla in sola lettura.
Attività pianificate	Libreria > Microsoft > Windows > Windows Defender	Scansioni, cache, cleanup.

Conclusione

Nel caso analizzato, il problema è stato risolto da una patch cumulativa rilasciata da Microsoft poco dopo l’anomalia. Una volta installato l’aggiornamento, Sicurezza di Windows è tornata operativa senza ulteriori interventi. La miglior strategia, quando si incontra il banner “Il tuo provider IT ha limitato l’accesso…”, è dunque:

1. Verificare integrità e servizi con sfc, DISM e Get-MpComputerStatus.
2. Se serve, riparare la UI in Modalità Provvisoria per evitare 0x80073D02.
3. Installare tutte le patch disponibili (anche facoltative) e riavviare.
4. Evitare modifiche di policy finché non strettamente necessario.
5. Per dispositivi Surface, sfruttare il supporto dedicato per diagnosi più rapide.

Con questi passaggi si coprono sia le cause “locali” (cache o registrazioni corrotte) sia quelle “globali” (bug noti poi corretti via update), riducendo tempi di fermo e rischi di configurazioni improprie.

---

Procedura consigliata in casi analoghi (riepilogo operativo)

1. Controlli preliminari
   Assicurarsi che non esistano AV di terze parti o residui di vecchi AV; eseguire sfc /scannow e DISM /Online /Cleanup-Image /RestoreHealth.
2. Tentare il ripristino dei pacchetti in modalità provvisoria
   Avviare il sistema in Safe Mode with Networking prima di lanciare Add‑AppxPackage.
3. Aggiornare Windows
   Molti blocchi recenti di Defender si sono risolti tramite aggiornamenti cumulativi (KB) rilasciati entro poche settimane.
4. Creare criteri locali solo se indispensabile
   Su Windows 11 Home, evitare di alterare policy se un update ufficiale è imminente.
5. Contattare il supporto Microsoft
   Se i passaggi precedenti falliscono, aprire un ticket (Chat/Telefono) fornendo log di PowerShell e ID evento.