Windows dice addio a NTLM: quello che devi sapere sulla transizione della sicurezza

Il cambio che riguarda tutti

Se gestisci un’infrastruttura Windows, devi sapere che Microsoft sta eliminando NTLM, il protocollo di autenticazione che ha protetto i sistemi Windows per oltre trent’anni. Non è una novità tecnica astratta: è un cambiamento concreto che richiede azioni concrete dalle tue squadre IT.

La soluzione rapida: inizia subito a mappare dove NTLM è ancora in uso nella tua rete. Hai tempo fino alla seconda metà del 2026 per prepararti seriamente, ma il countdown è già iniziato. Microsoft sta introducendo gradualmente Kerberos come alternativa principale, e le nuove versioni di Windows avranno NTLM disattivato per impostazione predefinita.

Perché Microsoft sta abbandonando NTLM

NTLM è stato un componente fondamentale dell’autenticazione Windows per oltre tre decenni. Con l’evoluzione del panorama delle minacce informatiche, questo protocollo è diventato sempre più una porta spalancata per gli hacker.

Ci sono tre problemi principali:

1. Mancanza di autenticazione del server
NTLM non verifica che il server a cui ti stai connettendo sia effettivamente chi dice di essere. Un hacker potrebbe creare un server falso e intercettare le tue credenziali.

2. Vulnerabilità ad attacchi sofisticati
Il protocollo è vulnerabile ad attacchi di tipo replay, relay e pass-the-hash. Un hacker può intercettare la tua autenticazione e riutilizzarla, inoltrarla ad altri servizi, o rubare l’hash della tua password e usarlo senza nemmeno dover craccare la password originale. Sono tecniche vecchie quanto NTLM stesso ma ancora terribilmente efficaci.

3. Algoritmi crittografici deboli
La crittografia di NTLM era solida negli anni ’90, quando i computer facevano fatica a calcolare password complesse. Oggi i computer sono milioni di volte più potenti, rendendo gli algoritmi di NTLM obsoleti.

La roadmap di Microsoft: tre fasi di transizione

Microsoft ha delineato un percorso graduale per permettere agli amministratori IT di migrare senza causare disservizi. È un processo deliberatamente lento perché cancellare improvvisamente un componente usato da migliaia di applicazioni sarebbe un suicidio operativo.

Fase 1: Mappatura e censimento

Gli amministratori possono usare strumenti Microsoft per identificare dove, come e perché NTLM viene ancora utilizzato nell’infrastruttura. Questa fase è fondamentale: devi contare quante applicazioni, servizi e configurazioni legacy dipendono ancora da quella tecnologia. Senza questa mappatura, le fasi successive diventeranno caotiche.

Fase 2: Introduzione del Local KDC (seconda metà 2026)

Microsoft introdurrà il Local KDC in anteprima, un Key Distribution Center locale che permetterà agli account locali di usare Kerberos invece di ricadere automaticamente su NTLM. Contemporaneamente, i componenti “core” di Windows verranno aggiornati per dare priorità a Kerberos nelle autenticazioni. Questa è la fase critica dove la maggior parte delle organizzazioni dovrà effettuare la transizione effettiva.

Fase 3: Disattivazione predefinita

Con il rilascio delle prossime versioni di Windows Server e delle edizioni client, NTLM sarà disattivato per impostazione predefinita. Le aziende potranno ancora abilitarlo se assolutamente necessario, ma dovranno farlo esplicitamente sapendo che stanno usando tecnologia obsoleta e insicura a proprio rischio e pericolo.

La checklist pratica per gli amministratori IT

Non aspettare l’ultimo momento. Inizia oggi con questi passaggi concreti:

Implementa un auditing avanzato
Identifica esattamente dove NTLM è ancora in uso. I log di sicurezza di Windows e gli strumenti di Microsoft forniscono visibilità completa sulle autenticazioni NTLM nella tua rete.

Dai priorità alle dipendenze critiche
Non tutte le applicazioni sono uguali. Alcune possono essere aggiornate o riconfigurate per usare Kerberos. Altre richiedono di contattare gli sviluppatori software. Altre ancora sono così vecchie che l’unica opzione è sostituirle completamente.

Testa in ambienti non di produzione
La migrazione e validazione dei carichi di lavoro critici serve per capire cosa succede effettivamente quando elimini NTLM. Testare prima è fondamentale per evitare sorprese in produzione.

Abilita i miglioramenti di Kerberos non appena disponibili
Partecipa al programma Windows Insider per anticipare e prevenire i problemi prima dell’aggiornamento ufficiale.

Conosci il canale di escalation
Microsoft ha previsto che ci saranno casi limite in cui sarà assolutamente impossibile eliminare NTLM. Per questi scenari, Microsoft ha creato un indirizzo email dedicato: ntlm@microsoft.com. Non è una garanzia di soluzione, ma almeno Microsoft sa che questi casi esistono e potrebbe offrire alternative o estensioni temporanee.

Kerberos: il presente e il futuro

Kerberos esiste da quasi quanto NTLM, ma Microsoft lo supporta in Windows da Windows 2000, più di vent’anni fa. Kerberos è semplicemente migliore sotto ogni aspetto rilevante per la sicurezza moderna. Ha tutto quello che NTLM non ha o fa male: autenticazione bidirezionale, protezione contro gli attacchi relay, algoritmi crittografici moderni e supporto per ambienti complessi.

Il fatto che Microsoft abbia aspettato così a lungo per eliminare NTLM è principalmente dovuto alla necessità di mantenere la retrocompatibilità con software legacy. Ma il momento è arrivato.

Il countdown è iniziato

Gli amministratori IT hanno tempo fino alla seconda metà del 2026 per prepararsi seriamente, e poi un periodo aggiuntivo prima che le nuove versioni di Windows arrivino con NTLM disattivato di default. Sembra lontano, ma chiunque abbia mai gestito un’infrastruttura aziendale complessa sa che il tempo vola quando si deve testare, validare e migrare centinaia o migliaia di servizi.

Non rimandare. Inizia la mappatura oggi. La sicurezza della tua infrastruttura dipende da questo.

Technical Deep Dive

Dettagli tecnici della vulnerabilità NTLM

Per gli amministratori e i professionisti IT che necessitano di una comprensione più profonda, ecco i dettagli tecnici delle vulnerabilità di NTLM:

Attacchi brute force
Gli aggressori possono provare a indovinare le password degli utenti gestite tramite NTLM utilizzando un gran numero di tentativi. La mancanza di rate limiting nel protocollo lo rende particolarmente vulnerabile.

Problemi di crittografia derivata
Anche con NTLMv2, rimangono scenari problematici. Ad esempio, quando si usa MS-CHAPv2 in un ambiente aggiunto a un dominio, la crittografia derivata da NTLMv1 è ancora presente e può essere sfruttata.

Blocco NTLM in SMB
A partire da Windows Server 2025 e Windows 11 versione 24H2, è possibile configurare SMB per bloccare NTLM. Il blocco dell’autenticazione NTLM impedisce agli utenti malintenzionati di indurre i client a inviare richieste NTLM a server dannosi, contrastando efficacemente gli attacchi di forza bruta, violazione e pass-the-hash.

Per configurare il blocco NTLM del client SMB:

• Apri la Console Gestione criteri di gruppo
• Naviga a Configurazione computer > Modelli amministrativi > Rete > Workstation Lanman
• Fai clic con il pulsante destro su “Blocca NTLM (LM, NTLM, NTLMv2)” e scegli Modifica
• Seleziona Enabled

Rimozione di NTLMv1
Microsoft ha rimosso completamente il protocollo NTLMv1 da Windows 11 versione 24H2 e Windows Server 2025. Tuttavia, i resti della crittografia NTLMv1 rimangono in alcuni scenari specifici e devono essere affrontati separatamente.

Monitoraggio e auditing
Per mitigare i rischi associati a NTLM durante la transizione, è essenziale abilitare i log di audit per tutte le autenticazioni NTLM nel dominio e monitorare attivamente per identificare tentativi di exploit. Questo fornisce visibilità sui sistemi che richiedono ancora NTLM e aiuta a identificare potenziali attacchi.

Fonte: https://www.punto-informatico.it/windows-dice-addio-ntlm-it-admin-devono-prepararsi-ora/