Hai un’estensione “CumulonimbusincusPileus” bloccata in Edge con la dicitura “Managed by your organization”? Questa guida pratica spiega come rimuovere la policy malevola, disattivare l’add‑on e pulire i residui (metodo manuale e via PowerShell), con consigli di hardening.
Panoramica del problema
Alcuni software indesiderati forzano l’installazione di estensioni in Microsoft Edge impostando criteri di gruppo (Group Policy) locali. In questo scenario l’utente vede in Edge la dicitura “Gestito dalla tua organizzazione / Managed by your organization”, l’estensione non offre il pulsante Rimuovi e non è gestibile dalle normali impostazioni. Gli antivirus tradizionali spesso non rilevano il problema perché l’estensione, di per sé, non esegue codice nativo: viene semplicemente “imposta” tramite registro di sistema. Il caso tipico è proprio l’estensione dal nome “CumulonimbusincusPileus”.
La soluzione consiste nell’eliminare le chiavi di registro che applicano la policy a Edge. Una volta rimossa la policy, l’estensione non viene più caricata e Edge la segnala come indesiderata/disattivata. Facoltativamente, è possibile cancellarne i file locali e ripristinare alcune impostazioni di sicurezza.
Come funziona il blocco tramite policy
Edge eredita la struttura delle policy di Chromium. Un attore malevolo può creare (a livello computer o utente) chiavi del registro che includono liste di estensioni da installare e bloccare la loro rimozione. Le posizioni più comuni sono:
HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge
(tutti gli utenti)HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge
(solo utente corrente)- In sistemi a 64 bit, può comparire anche:
HKEYLOCALMACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge
All’interno di queste chiavi, voci come ExtensionInstallForcelist
o simili impongono una o più estensioni. Finché la policy esiste, Edge non espone il pulsante Rimuovi e segnala che il browser è “gestito”.
Procedura consigliata di rimozione
Di seguito trovi la sequenza operativa consolidata. Eseguila nell’ordine indicato.
Fase | Azione | Scopo / risultato |
---|---|---|
Chiudere Edge | Chiudi tutte le finestre e schede di Microsoft Edge. In caso di dubbi, termina il processo:taskkill /IM msedge.exe /F | Evita che il browser blocchi le modifiche al registro o mantenga handle su file dell’estensione. |
Rimuovere le policy di gruppo | Apri Regedit → attiva la barra degli indirizzi → elimina le chiavi:HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge Se presente su sistemi a 64 bit, elimina anche: HKEYLOCALMACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge | Rimuove il criterio che impone l’estensione e la dicitura “Managed by your organization”. |
Riavviare il PC | Riavvia Windows normalmente. | Applica le modifiche al registro e ricarica i servizi. |
Verificare in Edge | Apri Edge e digita nella barra: edge://extensions e edge://policy Controlla che l’estensione risulti disabilitata e che non ci siano policy attive. | Conferma che l’add‑on non viene più caricato; Edge può segnalarlo come indesiderato ma non può più eseguirlo. |
Eliminare i file residui (facoltativo) | Apri %LocalAppData% → vai in Microsoft\Edge\User Data\ → profilo interessato (Default , Profile 1 , ecc.). Nelle cartelle:...\Default\Extensions\ ...\Default\Local Extension Settings\ ...\Default\Extension State\ individua cartelle dal nome inusuale o l’ID dell’estensione (mostrabile in edge://extensions attivando “Modalità sviluppatore”). Elimina la cartella corrispondente.Suggerimento: cerca manifest.json o *.json per rintracciare la directory. | Pulisce completamente il disco rimuovendo cache, stato e codice dell’add‑on. |
Scansione di sicurezza (facoltativa) | Esegui un’analisi completa con Microsoft Defender o altro AV affidabile. | Convalida che non restino componenti malevoli o persistenze. |
Backup e sicurezza prima di toccare il registro
Qualsiasi modifica al registro dovrebbe essere preceduta da un backup. Ecco tre modi rapidi.
Esportazione mirata da Regedit
- Apri regedit.
- Seleziona
HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge
(se esiste) → File > Esporta → salva sul Desktop. - Ripeti per
HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge
e, se presente, perWOW6432Node
.
Backup da Prompt dei comandi
reg export "HKLM\SOFTWARE\Policies\Microsoft\Edge" "%USERPROFILE%\Desktop\backupEdgeHKLM.reg" /y
reg export "HKCU\SOFTWARE\Policies\Microsoft\Edge" "%USERPROFILE%\Desktop\backupEdgeHKCU.reg" /y
reg export "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" "%USERPROFILE%\Desktop\backupEdgeHKLM_W6432.reg" /y
Punto di ripristino di sistema
Apri “Crea un punto di ripristino” → Crea… → assegna un nome e conferma. In questo modo puoi tornare indietro se qualcosa non va.
Rimozione delle policy: metodi alternativi
Metodo veloce da Prompt dei comandi
Esegui il Prompt dei comandi come amministratore e immetti:
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f
Nota: se una chiave non esiste, il comando segnalerà un errore “impossibile trovare la chiave” — è normale.
Metodo PowerShell (administratore)
Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Metodo via file .reg (un-click)
Crea un file di testo sul Desktop, incolla il contenuto qui sotto e salvalo come rimuovipolicyedge.reg
. Fai doppio clic e conferma.
Windows Registry Editor Version 5.00
\[-HKEY\LOCAL\MACHINE\SOFTWARE\Policies\Microsoft\Edge]
\[-HKEY\CURRENT\USER\SOFTWARE\Policies\Microsoft\Edge]
\[-HKEY\LOCAL\MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge]
Verifica dopo il riavvio
- In Edge, apri
edge://policy
: l’elenco deve essere vuoto o privo di voci inerenti alle estensioni. - Apri
edge://extensions
: l’estensione “CumulonimbusincusPileus” dovrebbe risultare disattivata. Edge potrebbe segnalarla come indesiderata/corrotta; ciò è sufficiente, perché non viene più caricata. - La dicitura “Gestito dalla tua organizzazione” dovrebbe essere sparita dalle impostazioni.
Pulizia completa dei file residui
L’eliminazione della policy basta a neutralizzare l’estensione. Se desideri una pulizia totale, rimuovi i file locali.
- Apri
%LocalAppData%\Microsoft\Edge\User Data\
. - Identifica il profilo interessato:
Default
è il principale;Profile 1
,Profile 2
ecc. sono profili aggiuntivi. - Controlla e, se presenti, svuota le cartelle dell’ID dell’estensione nei seguenti percorsi:
...<Profilo>\Extensions\
(codice dell’estensione)...<Profilo>\Local Extension Settings\
(settaggi locali)...<Profilo>\Extension State\
(stato persistente)
- Se non conosci l’ID, in
edge://extensions
attiva “Modalità sviluppatore” e leggi la voce ID, oppure cerca nel profilomanifest.json
per individuare la directory che contiene il nome “CumulonimbusincusPileus”.
Consiglio: ordina per “Data modifica” e ispeziona le cartelle create a ridosso dell’infezione.
Perché l’antivirus non l’ha segnalata
Molti motori AV/EDR classificano le estensioni del browser come “contenuti utente” e si attivano solo se scaricano/eseguono payload o stabiliscono persistenze evidenti. Nel tuo caso, l’estensione è apparsa “invisibile” perché la parte dannosa era la policy che ne forzava l’installazione. Eliminare la policy equivale a “disinstallarla” in modo corretto, perché impedisce a Edge di caricarla in memoria.
Hardening dopo la rimozione
Ripristinare Edge
Apri Impostazioni di Edge → Ripristina impostazioni → Ripristina le impostazioni ai valori predefiniti (oppure digita nella barra: edge://settings/reset
). Questo rimuove regole, provider di ricerca e pagine di avvio modificati.
Attivare SmartScreen e protezione PUA
- Apri Windows Security → Controllo app e browser.
- In Protezione basata sulla reputazione, abilita SmartScreen e il blocco delle app potenzialmente indesiderate (PUA).
Abilitare la protezione stack abilitata dall’hardware
- Apri Windows Security → Controllo app e browser → Impostazioni di protezione exploit.
- Nella scheda Impostazioni di sistema, abilita Protezione stack abilitata dall’hardware (se supportata dall’hardware).
Mantenere Windows ed Edge aggiornati
- In Windows Update, installa tutte le patch disponibili.
- In Edge, vai su Informazioni su Microsoft Edge per forzare il controllo degli aggiornamenti.
Risoluzione dei problemi
La dicitura “Gestito dalla tua organizzazione” riappare
Possibili cause:
- Un’attività pianificata o uno script ripristina le chiavi all’avvio.
- Un servizio o un programma in esecuzione automatica riscrive le policy.
- Sincronizzazione del profilo Edge che reimposta impostazioni (di solito non reimposta le policy, ma può ripristinare startup pages o estensioni legittime).
Contromisure rapide:
- Attività pianificate: apri Utilità di pianificazione, ordina per Data di creazione; elimina voci sospette create di recente. Controlla anche
C:\Windows\System32\Tasks\
. - Esecuzioni automatiche: verifica le chiavi:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Programmi installati: ordina per data in “App e funzionalità” e disinstalla software sospetti aggiunti poco prima del problema.
Edge non si apre dopo la rimozione
Rarissimo, ma può capitare se sono stati eliminati file in uso. Soluzioni:
- Esegui
sfc /scannow
da Prompt amministratore. - Ricrea il profilo di Edge: rinomina
%LocalAppData%\Microsoft\Edge\User Data\Default
inDefault.bak
(perderai temporaneamente impostazioni locali, poi puoi reimportare i preferiti se sincronizzati).
Non trovo la cartella dell’estensione
In “...User Data<Profilo>\Extensions
” le cartelle hanno nomi composti da 32 caratteri (ID). In edge://extensions
attiva “Modalità sviluppatore” e copia l’ID esatto. In alternativa, cerca manifest.json
e aprilo: nel campo "name"
trovi la stringa che identifica l’estensione.
Checklist rapida
- Chiudi Edge (e termina eventuali processi residui).
- Backup delle chiavi di registro e/o punto di ripristino.
- Elimina le chiavi
Policies\Microsoft\Edge
inHKLM
,HKCU
e (se presente)WOW6432Node
. - Riavvia il PC.
- Controlla
edge://policy
eedge://extensions
. - Pulisci file residui in
Extensions
,Local Extension Settings
,Extension State
. - Esegui una scansione completa con Defender.
- Ripristina Edge e attiva SmartScreen/PUA; verifica la protezione stack.
Domande frequenti
Un’estensione disabilitata è ancora pericolosa?
No: senza policy la estensione non viene caricata da Edge e non può eseguire codice. Eliminare i file residui è una misura igienica, non una necessità per la sicurezza immediata.
Perché Zemana o altri tool la rimuovono da Chrome ma non da Edge?
Ogni browser mantiene proprie chiavi di policy e percorsi di profilo. Un tool può conoscere le chiavi di Chrome ma non intercettare quelle di Edge. Agendo direttamente sulle policy di Edge, la rimozione è certa e duratura.
Serve reinstallare Edge?
Non è necessario. La rimozione della policy, seguita da un riavvio, è sufficiente. Il ripristino delle impostazioni di Edge è consigliato per tornare a una configurazione “pulita”.
È possibile che il PC fosse realmente gestito da un’organizzazione?
Se il dispositivo è aziendale e unito a dominio/Azure AD, la dicitura può essere legittima. In quel caso non eliminare le policy: contatta l’IT. Se il PC è personale e non gestito, la dicitura è quasi certamente indotta da una policy locale non autorizzata.
Approfondimento tecnico: chiavi e valori tipici
Se vuoi indagare prima di cancellare, cerca in HKLM
/HKCU
sotto Policies\Microsoft\Edge
i valori che forzano le estensioni, ad esempio:
ExtensionInstallForcelist
(lista di estensioni imposte)ExtensionInstallAllowlist
/ExtensionInstallBlocklist
(whitelist/blacklist)AutoLaunchProtocolsFromOrigins
(raro, ma usato da attori più invadenti)
I valori della Forcelist
sono spesso numerati (1
, 2
, …) e contengono l’ID dell’estensione e una sorgente. Non serve decifrarli per procedere: la cancellazione dell’intera chiave Edge
è il modo più rapido e sicuro per tornare allo stato di default.
Script di automazione per ambienti multipli
Se devi sanare più PC, ecco uno script PowerShell idempotente che rimuove le policy e crea log locali. Eseguilo come amministratore.
$Log = "$env:PUBLIC\EdgePolicyCleanup$(Get-Date -Format yyyyMMddHHmmss).log"
"=== Edge Policy Cleanup $(Get-Date) ===" | Out-File -FilePath $Log -Encoding UTF8
\$keys = @(
"HKLM:\SOFTWARE\Policies\Microsoft\Edge",
"HKCU:\SOFTWARE\Policies\Microsoft\Edge",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge"
)
foreach (\$k in \$keys) {
if (Test-Path \$k) {
"Removing: \$k" | Tee-Object -FilePath \$Log -Append
Remove-Item -Path \$k -Recurse -Force -ErrorAction SilentlyContinue
} else {
"Not found: \$k" | Tee-Object -FilePath \$Log -Append
}
}
"Done. Please reboot the system." | Tee-Object -FilePath \$Log -Append
Segnali di compromissione da tenere d’occhio
- Nuove estensioni “bloccate” che compaiono senza consenso (Edge, Chrome, altri browser).
- Modifica non autorizzata della pagina iniziale, motore di ricerca, notifiche push invadenti.
- Popup che invitano a “aggiornare codec/estensioni” da siti inaffidabili.
- Attività pianificate create di recente, servizi con nomi pseudo‑casuali.
Buone pratiche per evitare recidive
- Scarica estensioni solo dallo Store ufficiale e da sviluppatori noti.
- Diffida di siti che chiedono l’installazione di componenti per poter proseguire.
- Usa un account standard per la navigazione; tieni un account amministratore separato.
- Abilita l’autenticazione a due fattori sull’account Microsoft per proteggere la sincronizzazione del profilo.
In sintesi
Il problema nasce da una policy di gruppo malevola che forza l’installazione di “CumulonimbusincusPileus” e impedisce la rimozione dall’interfaccia di Edge. Eliminando le chiavi di registro responsabili (in HKLM
e/o HKCU
), l’estensione smette di caricarsi e diventa inoffensiva. Come rifinitura, puoi cancellarne i file residui, ripristinare Edge e rafforzare il sistema con SmartScreen, PUA protection e protezione stack hardware‑assisted. Così riporti il browser a uno stato pulito e riduci la probabilità che l’incidente si ripeta.
Nota finale importante: se il tuo PC è realmente gestito da un’organizzazione (dominio aziendale, MDM, Intune), non rimuovere policy senza autorizzazione. In un contesto personale, invece, le istruzioni di questa guida sono appropriate e sicure, purché tu abbia eseguito i backup suggeriti.