Microsoft ha confermato che NTLM verrà disabilitato per impostazione predefinita nelle prossime major release client e server, inclusi Windows 11 24H2 e Windows Server 2025. Non si tratta di una rimozione immediata del codice, ma del blocco dell’autenticazione di rete automatica basata su NTLM, con Kerberos come percorso primario e policy per eventuali eccezioni. In parallelo, l’azienda ha rilasciato aggiornamenti correttivi che migliorano stabilità e usabilità, risolvendo regressioni emerse tra fine 2025 e gennaio 2026.
NTLM: perché viene disabilitato e quali rischi elimina
NTLM è un protocollo legacy concepito quando le minacce moderne non esistevano. Nel tempo si è dimostrato vulnerabile a NTLM relay, replay e pass-the-hash, tecniche che permettono escalation di privilegi e domain takeover sfruttando servizi esposti o configurazioni deboli. Attacchi noti come PetitPotam, ShadowCoerce, DFSCoerce e RemotePotato0 hanno mostrato come NTLM possa essere abusato anche in ambienti apparentemente ben protetti.
Kerberos, introdotto come default nei domini dal 2000, riduce drasticamente queste superfici grazie a ticket time-bound, mutual authentication e integrazione con Active Directory. Disabilitare NTLM “di rete” elimina il fallback silenzioso che spesso maschera configurazioni errate.
Il piano Microsoft in tre fasi per il phase-out
La strategia è progressiva per evitare interruzioni operative. Fase uno: strumenti di auditing in Windows 11 24H2 e Server 2025 per mappare dove NTLM è ancora usato. Fase due (seconda metà 2026): introduzione di capacità come IAKerb e Local KDC in pre-release per gestire scenari di compatibilità senza ricorrere a NTLM. Fase tre: disabilitazione di default dell’autenticazione NTLM di rete nelle release future, con possibilità di riabilitazione via policy solo dove strettamente necessario. Microsoft chiarisce che NTLM non viene “cancellato”, ma non deve più essere il percorso automatico.
Cosa devono fare gli amministratori ora
La priorità è misurare l’impatto. Gli admin dovrebbero attivare l’audit NTLM, identificare applicazioni legacy, servizi di stampa, NAS, appliance e script che ancora dipendono dal protocollo, quindi pianificare la migrazione a Kerberos o alternative moderne. Nei domini, è consigliato bloccare i relay su AD CS, rafforzare SMB signing e testare ambienti NTLM-off in non-production. L’obiettivo è arrivare al cut-over senza sorprese.
Bug di shutdown: cosa succede e chi è colpito
Parallelamente al phase-out di NTLM, Microsoft ha affrontato un bug di shutdown comparso dopo gli update di gennaio 2026. Su sistemi con Virtual Secure Mode (VSM) o System Guard Secure Launch, il comando di spegnimento poteva causare riavvii o fallimenti di ibernazione. L’impatto è stato confermato su Windows 11 23H2 con System Guard e su Windows 10 22H2 (incluse Enterprise LTSC 2019/2021) quando VSM è attivo.
Un fix out-of-band ha risolto alcuni casi su Windows 11; per Windows 10 con VSM il correttivo definitivo è in preparazione. Nel frattempo, Microsoft ha indicato workaround temporanei (ad esempio shutdown /s /t 0) e aggiornato la Health Dashboard.
Ripristino dell’opzione password nel lock screen
Un’altra regressione riguardava Windows 11: dopo update di agosto 2025, l’icona Password poteva scomparire dal lock screen quando era l’unica opzione di accesso configurata. Il comportamento, riconosciuto a novembre, è stato risolto con l’update cumulativo KB5074105 (preview) rilasciato a fine gennaio 2026, migliorando l’esperienza di sign-in e riducendo confusione per gli utenti.
Outlook “Encrypt Only”: bug risolto in rollout
Nel classic Outlook per Microsoft 365, una build del Current Channel impediva l’apertura di email “Encrypt Only”, mostrando l’allegato message_v2.rpmsg invece del contenuto. Il problema è stato fixato nel Beta Channel ed è in rollout su Current Channel e Preview a febbraio 2026. È stato fornito anche un workaround per i mittenti e la possibilità di rollback temporaneo per chi doveva sbloccare i flussi di lavoro.
KB5074105: stabilità e nuove funzioni su Windows 11
L’update KB5074105 per Windows 11 24H2/25H2 include 32 miglioramenti non-security: risolve hang all’avvio, fail di boot iSCSI, freeze di Explorer al primo login con app in avvio automatico e migrazioni di licenza fallite. Introduce inoltre Cross-Device Resume (riprendi attività dal telefono Android), supporto a sensori fingerprint esterni in Windows Hello Enhanced Sign-in Security e un UAC prompt più chiaro nelle impostazioni di storage. Microsoft ha anche separato gli identifier degli update tra Windows Server 2025 e Windows 11 per maggiore chiarezza amministrativa.
Implicazioni strategiche: sicurezza prima, senza rompere il legacy
Il messaggio è coerente: ridurre la superficie d’attacco senza bloccare l’operatività. Disabilitare NTLM di default chiude una classe di exploit molto sfruttata; i fix paralleli mostrano attenzione alla stabilità mentre si alza l’asticella della sicurezza. Per le organizzazioni, il lavoro è ora: audit, test e migrazione. Rimandare aumenta il rischio di disruption quando il default cambierà.
Domande frequenti su NTLM e le novità Windows
NTLM verrà rimosso completamente da Windows?
No. Microsoft non rimuove subito NTLM dal sistema, ma disabilita di default l’autenticazione di rete basata su NTLM nelle future release, privilegiando Kerberos. La riabilitazione resta possibile via policy per scenari specifici.
Quando cambia il default e quali versioni sono coinvolte?
Il cambio è legato alle prossime major release, incluse Windows 11 24H2 e Windows Server 2025, con una transizione in più fasi che prosegue nel 2026.
Come verifico se la mia infrastruttura usa ancora NTLM?
Usa gli strumenti di auditing introdotti in Windows 11 24H2/Server 2025 per mappare i flussi NTLM, poi testa ambienti NTLM-off in non-production.
Il bug di shutdown è risolto per tutti?
È risolto in parte su Windows 11 con fix dedicati. Su Windows 10 con VSM il correttivo definitivo è in arrivo; nel frattempo esistono workaround consigliati da Microsoft.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU...
