Microsoft Security Essentials su Windows 7 continua a ricevere definizioni antivirus anche dopo il 21 febbraio 2025, ma il canale Windows Update è stato dismesso; servono quindi procedure manuali e la presenza di TLS 1.2 per mantenere protetto il sistema legacy.
Panoramica
Il ciclo di vita di Windows 7 si è concluso a gennaio 2020, ma Microsoft ha lasciato aperto un corridoio speciale per le firme antivirus di Microsoft Security Essentials (MSE), identificate dal pacchetto KB2310138. Il traffico verso i server di definizioni è proseguito regolarmente fino al 21 febbraio 2025. Da quella data Windows Update non offre più le definizioni, mentre i download diretti e l’aggiornamento in‑app restano disponibili, sebbene con maggiore instabilità. In questa guida analizziamo i motivi della “scomparsa” via Windows Update e illustriamo i metodi più affidabili per continuare a ricevere le firme, con soluzioni dettagliate ai problemi più frequenti.
Perché Windows Update ha smesso di distribuire KB2310138
Dopo la fine del supporto esteso di Windows 7, Microsoft ha mantenuto un canale residuo di aggiornamenti di sicurezza critici (ESU – Extended Security Updates) accessibile solo alle aziende abbonate. Le firme MSE, pur non facenti parte del pacchetto ESU, viaggiavano ancora sui medesimi endpoint Microsoft Update. Con il consolidamento dei servizi Defender e la dismissione di infrastrutture legacy, il flusso su Windows Update è stato ufficialmente tagliato. L’app MSE, tuttavia, utilizza – in modo indipendente da Windows Update – un servizio cloud dedicato ai prodotti antimalware retail, che ad oggi continua a erogare i file di definizione completi (mpam-fe.exe) e delta (mpavdlta.exe).
Tabella di domande ricorrenti e soluzioni
| Problema | Soluzioni pratiche emerse nel Q&A | Note aggiuntive |
|---|---|---|
| Windows Update non offre più le firme MSE | Aprire MSE ► Aggiorna ► Aggiorna definizioni. Scaricare mpam-fe.exe (o mpavdlta.exe) dal portale Defender Updates e installarlo manualmente. | Il canale Windows Update per KB2310138 su Windows 7 è stato chiuso; le due vie sopra restano operative. |
| Errore o blocco dell’update interno | Verificare la presenza di KB3140245 e applicare la patch (Easy Fix o registro) che abilita TLS 1.2 su WinHTTP. | Senza TLS 1.2 MSE non negozia la connessione ai server di definizione. |
| Aggiornamenti riusciti un giorno e falliti il successivo | Ritentare dopo alcune ore: la CDN non è prioritaria, i mirror possono essere intermittenti. | Molti utenti segnalano un comportamento “a singhiozzo”. |
| Confusione fra MSE e Windows Defender | Su Windows 7 MSE è l’antivirus completo; Windows Defender (antimalware leggero) non gestisce le firme antivirus. Concentrarsi solo su MSE. | Evitare di aggiornare Defender: è sterile per le definizioni antivirus. |
| Necessità di protezione continuativa | Valutare un antivirus di terze parti ancora supportato su Windows 7 (p.es. Bitdefender Free, Kaspersky Endpoint, Avast). Pianificare la migrazione a un sistema operativo supportato (Windows 10/11 LTS o distribuzione Linux). | Dopo feb 2025 Microsoft non garantisce frequenza né durata futura del canale MSE. |
Prerequisito fondamentale: abilitare TLS 1.2
MSE negozia i download attraverso WinHTTP. Poiché i server di definizione ora rifiutano TLS 1.0/1.1, Windows 7 deve disporre di TLS 1.2 sia nei protocolli di sistema sia nelle librerie .NET. Segui questi passi:
- Installa KB3140245 (Aggiornamento di compatibilità SHA‑2/TLS 1.2). Controlla in Pannello di controllo ► Programmi ► Aggiornamenti installati; se assente, scaricalo dal Catalogo Microsoft e riavvia il PC.
- Applica l’Easy Fix fornito da Microsoft (Enable TLS 1.2), oppure crea manualmente le chiavi di registro:
Windows Registry Editor Version 5.00
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000a00
[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
Dopo aver importato il file .reg, riavvia il sistema e verifica in Internet Explorer ► Opzioni Internet ► Avanzate che “Usa TLS 1.2” sia selezionato.
Procedura di aggiornamento consigliata
- Controllo prerequisiti
Assicurati di avere KB3140245 installato e TLS 1.2 abilitato come indicato sopra. - Aggiornamento in‑app
Apri Microsoft Security Essentials, spostati nella scheda Aggiorna e premi Aggiorna definizioni. Se la connessione è stabile, le firme verranno scaricate e installate. - Aggiornamento offline
- Visita il portale generico Defender Updates (senza autenticarti) e preleva
mpam-fe.exe(full) oppurempavdlta.exe(delta, più piccolo). - Copialo sul PC Windows 7 ed eseguilo con doppio clic.
- Visita il portale generico Defender Updates (senza autenticarti) e preleva
- Verifica versione
In MSE, nella stessa scheda Aggiorna, controlla che la versione delle firme sia cambiata (p.es. da1.425.89.0a1.425.145.0o superiore). - Monitoraggio
Ripeti la procedura ogni 1–2 giorni; Microsoft pubblica mediamente 2–3 definizioni al dì, ma il ritmo può calare.
Troubleshooting avanzato
Errore 0x80072EFE o 0x80244019
Indica spesso handshake TLS fallito o timeout proxy. Conferma TLS 1.2 e verifica che la porta 443 verso definitions.update.microsoft.com sia aperta.
Errore 0x8050800C (motore antimalware obsoleto)
Il motore MSE viene aggiornato di rado ma resta necessario. Se il motore è fermo da oltre sei mesi, reinstallare l’ultima versione di MSE (4.10.209). Non rimuovere l’app senza disconnettere Internet: Windows Update non riproporrà il motore.
Definizioni installate ma non riconosciute
Capita quando si esegue mpam-fe.exe a 32 bit su un sistema a 64 bit: scarica il pacchetto che corrisponde all’architettura (x86 vs x64).
Download lenti o interrotti
Microsoft ha ridotto la priorità dei mirror legacy. Utilizza un download manager, verifica la presenza di firewall con ispezione SSL, oppure spostati temporaneamente su un’altra connessione.
Best practice di sicurezza su Windows 7 post‑2025
- Browser aggiornato – Usa un browser supportato (Firefox ESR o un fork Chromium LTS) perché IE11 non riceve più patch.
- Account limitato – Lavora con un account standard, attiva UAC al massimo.
- Backup frequenti – Utilizza un software di imaging (Macrium Reflect, Clonezilla) e conserva copia offline.
- Isolamento di rete – Se possibile limita l’uso del PC Windows 7 a compiti offline o segmenta la LAN con VLAN/Firewall.
- Virtualizzazione – Esegui attività a rischio (navigazione, posta) in una macchina virtuale con OS moderno.
Alternative a Microsoft Security Essentials
Sebbene MSE permetta ancora un livello minimo di protezione, molti vendor mantengono versioni antivirus compatibili con Windows 7. Ecco i più longevi:
| Prodotto | Licenza | Note di compatibilità |
|---|---|---|
| Bitdefender Antivirus Free / Plus 2025 | Freemium / Commerciale | Supporto garantito fino a fine 2026 per Windows 7 SP1. |
| Kaspersky Endpoint Security 11 | Commerciale | Richiede estensione contratto legacy; riceve patch motore. |
| Avast Free Antivirus 24.x | Gratuita | Motore compatibile, ma interfaccia potrebbe indicare “sistema obsoleto”. |
| ESET NOD32 Antivirus v17 | Commerciale | Annunciato supporto security-fix “best effort” fino al 2027. |
Migrazione: la soluzione definitiva
Per quanto le strategie sopra prolunghino la vita di un PC Windows 7, si tratta pur sempre di un sistema operativo fuori supporto. Driver, stack di rete e kernel non ricevono più correzioni di vulnerabilità: qualsiasi antivirus può soltanto mitigare i rischi, non eliminarli. La scelta più sicura è migrare a:
- Windows 10/11 con licenza valida (possibilmente edizione LTSC per contesti professionali).
- Distribuzione Linux long‑term support (Ubuntu LTS, Debian, Linux Mint LTS) per macchine di base.
La migrazione permette di ripristinare aggiornamenti di sicurezza cumulativi, supporto ai protocolli moderni (TLS 1.3, HTTP/3), driver correnti e funzioni di sicurezza integrate (HVCI, SmartScreen avanzato, Defender for Endpoint).
Conclusione
I download automatici di KB2310138 via Windows Update hanno raggiunto l’end‑of‑life il 21 febbraio 2025, ma i server di definizione per Microsoft Security Essentials non sono stati dismessi. Finché rimarranno pubblicati i file mpam‑fe.exe e l’interfaccia in‑app riuscirà a comunicare via TLS 1.2, è possibile mantenere un livello base di protezione su Windows 7. Ciò non toglie che il sistema sia privo di patch critiche per il kernel e lo stack di rete: la strategia ideale resta sostituire l’OS o adottare un antivirus di terze parti pienamente supportato.