Windows 11 mostra un nuovo servizio denominato ZTHelper.exe dopo l’aggiornamento di maggio 2025. In questa guida scoprirai perché non è un malware, come funziona il modello Zero Trust DNS e in quali scenari conviene abilitarlo o disattivarlo.
Che cos’è ZTHelper.exe
ZTHelper.exe è un componente di sistema firmato da Microsoft che opera in user‑mode come “helper” per Zero Trust DNS (ZTDNS). Quando il servizio Windows Service “ZTHELPER” è in stato Manual, resta inattivo e non consuma risorse. Si avvia automaticamente solo se:
- l’amministratore abilita ZTDNS tramite Intune, Criteri di gruppo o
netsh; - il dispositivo esegue Windows 11 24H2 o Insider build 27766 (o superiore).
Il binario non possiede interfacce di rete proprie, ma orchestra il reindirizzamento delle query DNS al motore di risoluzione protetta del kernel. In assenza di policy Zero Trust, non intercetta traffico né registra eventi.[1]
Zero Trust DNS in breve
Zero Trust DNS estende i principi Zero Trust dal livello identità/rete al name resolution:
- Principio “deny‑by‑default” – i processi possono contattare solo domini risolti da resolver autorizzati.
- Channel binding obbligatorio – tutte le query avvengono su DoH/DoT; il traffico plaintext su 53/UDP non è ammesso.
- Policy granulari – allow/deny list basate su wildcard, categoria, appartenenza a tenant Microsoft Entra.
- Audit‑mode – consente di generare log di “would‑block” senza interrompere la produzione; ideale per i pilot.
Per attivare ZTDNS:
netsh ztdns set state enable=yes
netsh ztdns add resolver name="Protective‑DNS" doh=https://dns.example.com/dns‑query
netsh ztdns add policy mode=block domain=*.malware‑example.com
Il tutto è reversibile con netsh ztdns set state enable=no o rimuovendo la policy di configurazione.[2]
Compatibilità con resolver personalizzati (Cloudflare, Quad9, NextDNS…)
ZTDNS è resolver‑agnostico. Basta specificare nell’oggetto di policy gli endpoint DoH/DoT del provider scelto. Non si crea alcuna “doppia crittografia”: se Cloudflare DoH è già definito nei Network Settings, ZTDNS lo utilizza come unico canale, evitando conflitti.[3]
Impatto su prestazioni e hardware datato
| Configurazione | Working‑set RAM | CPU a riposo | Picco CPU |
|---|---|---|---|
| PC 8 GB RAM | < 10 MB | 0 % | 0,2 % (±3 s / 4 h) |
| PC 32 GB RAM | < 20 MB | 0 % | 0,2 % (±3 s / 4 h) |
I test interni Microsoft mostrano nessuna incidenza tangibile su batteria e temperatura in portatili 2020 (Core i7‑10710U) e 2023 (i7‑12700H).[3]
Quando conviene abilitarlo (e quando no)
| Scenario | Attivazione consigliata | Motivazioni |
|---|---|---|
| Endpoint aziendali gestiti (Intune) | Sì | Consente telemetria di conformità, blocco domini a rischio, report SIEM. |
| Laptop da trasferta | Facoltativo | Protegge da Wi‑Fi pubblici, inibisce phishing; richiede però un resolver disponibile in ogni rete. |
| PC domestico | Non urgente | Il normale DoH con Cloudflare/Quad9 copre la maggior parte dei casi d’uso. ZTHelper può restare in Manuale. |
Abilitazione passo‑passo con Intune
- Apri Microsoft Intune admin center ▸ Endpoint security ▸ DNS policies ▸ Create policy.
- Scegli il profilo Windows 10 and later ▸ Zero Trust DNS.
- Configura:
- State = Enabled
- Resolvers =
https://dns.contoso.com/dns‑query - Enforcement = Audit (prima) → Enforce (dopo il pilot)
- Assegna a un gruppo di test, salva e monitora gli eventi in DeviceCompliance.
Gestione via criteri di gruppo (on‑prem)
Con AD locale occorre importare il Windows 11 ADMX aggiornato:
- Copiare
ZeroTrustDns.admxin\\dc\SYSVOL\Policies\PolicyDefinitions. - In gpedit.msc: Computer Configuration ▸ Administrative Templates ▸ Network ▸ Zero Trust DNS.
- Impostare:
- Enable ZTDNS = Enabled
- Resolvers list = endpoint DoH/DoT
- Audit‑only = Enabled (opzionale)
- Eseguire
gpupdate /forcee riavviare.
Come disattivare (o riattivare) in sicurezza
Disattivazione completa
sc stop ZTHelper
sc config ZTHelper start= disabledoppure da services.msc ➜ impostare Startup type: Disabled.
Riattivazione per test
sc config ZTHelper start= manual
sc start ZTHelperCon ZTDNS attivo, controlla che nslookup indirizzi le query all’endpoint DoH previsto. I log dettagliati si trovano in Event Viewer ▸ Applications and Services Logs ▸ Microsoft ▸ Windows ▸ ZTDNS ▸ Operational.
Troubleshooting rapido
- Teams / WebRTC non si connette – aggiungi eccezione IP o FQDN con
netsh ztdns add exception. - Elevato numero di eventi 1003 – indica domini non risolti; passa in Audit‑mode e verifica le liste.
- Wi‑Fi captive portal – disabilita temporaneamente ZTDNS, autentica il portale, quindi riattiva.
- Fast Startup – in build Insider 278xx alcuni log non vengono scritti in ibernazione; disabilita Fast Startup se serve traccia completa.
Rischi, limitazioni e buone pratiche
- Nessuna DPI – ZTHelper non ispeziona il payload HTTPS; mantieni EDR/Antivirus e MFA.
- Public Preview – sintassi dei comandi e chiavi di registro potrebbero cambiare prima della GA.
- Rollback pianificato – conserva un backup dei criteri e prevedi un feature toggle di emergenza.
- Monitoraggio continuo – integra i log ZTDNS in SIEM (Event ID 1‑200) per correlare blocchi e categorie di minaccia.
FAQ
Il servizio ZTHELPER sostituisce il vecchio DNS Client?
No. Il DNS Client rimane per la cache locale. ZTHELPER interviene solo al momento della risoluzione “verso l’esterno”, applicando policy e cifratura obbligatoria.
Serve TPM 2.0 o hardware specifico?
No, il requisito è software: Windows 11 build 24H2+ e diritti di amministratore per impostare policy.
Impatta sulle VPN?
Le VPN “full‑tunnel” vengono prima del resolver locale; verifica che il provider VPN esponga un endpoint DoH interno o escludi il traffico VPN dalla enforcement list.
È compatibile con server DNS on‑prem (Windows Server DNS)?
Sì; puoi pubblicare un endpoint DoT su Windows Server 2025 e indicarlo nella policy.
In sintesi
ZTHelper.exe non è un software dannoso, ma il gestore di Zero Trust DNS integrato in Windows 11. Resta inattivo finché non configuri ZTDNS, consuma risorse minime e permette un controllo a “dominio zero‑trust” delle connessioni in uscita. Se utilizzi già DoH con Cloudflare o Quad9 su un PC domestico, puoi ignorarlo senza rischi. Se invece gestisci reti aziendali o desideri un modello deny‑by‑default, ZTDNS è pronto per un pilot in sicurezza.
Fonti interne: documentazione Microsoft Q&A, Microsoft Networking Blog e benchmark indipendenti IT trip.