Microsoft si prepara a compiere un passo decisivo verso una maggiore sicurezza informatica, disabilitando per impostazione predefinita il protocollo NTLM (New Technology LAN Manager) nelle prossime versioni di Windows. Una mossa che segna la fine di un'era per un componente introdotto oltre tre decenni fa con Windows NT 3.1 nel 1993, ma che oggi rappresenta un rischio concreto per le infrastrutture aziendali. L'azienda di Redmond ha tracciato una roadmap precisa che si svilupperà in tre fasi distinte, con l'obiettivo di accompagnare le organizzazioni verso alternative più sicure basate su Kerberos, senza compromettere la continuità operativa.
Il problema fondamentale di NTLM risiede nella sua crittografia ormai obsoleta, che espone le reti aziendali a diverse tipologie di attacchi informatici. Gli amministratori di sistema conoscono bene le vulnerabilità di questo protocollo di autenticazione: attacchi replay, man-in-the-middle, pass-the-hash e relay sono solo alcune delle tecniche che i cybercriminali possono sfruttare. A questo si aggiunge l'assenza di autenticazione del server, capacità diagnostiche limitate e una visibilità di audit insufficiente, elementi che in un panorama di minacce sempre più sofisticato non sono più accettabili.
La classificazione ufficiale di NTLM come protocollo deprecato rappresenta il preludio alla sua graduale dismissione. Microsoft ha chiarito che disabilitare NTLM per impostazione predefinita non equivale a rimuoverlo completamente dal sistema operativo. L'approccio adottato segue la filosofia "secure-by-default": Windows bloccherà l'autenticazione di rete NTLM impedendone l'uso automatico, privilegiando Kerberos come standard moderno. Per gestire gli scenari legacy ancora diffusi, l'azienda introdurrà nuove funzionalità come Local KDC e IAKerb, attualmente in fase di pre-release.
La prima fase del piano è già operativa per Windows Server 2025 e Windows 11 versione 24H2, che dispongono di strumenti avanzati di audit NTLM. Questi permettono agli amministratori di mappare con precisione dove il protocollo viene ancora utilizzato all'interno dell'infrastruttura aziendale, un passaggio fondamentale per pianificare la migrazione. Microsoft raccomanda di implementare immediatamente questa auditing potenziata per identificare le dipendenze applicative e dei servizi prima che le modifiche divengano permanenti.
Questi nuovi componenti affronteranno problematiche concrete come le limitazioni di connettività con i domain controller, i requisiti di autenticazione per gli account locali e le selezioni di protocollo hardcoded presenti nei componenti core di Windows. Si tratta di ostacoli tecnici che finora hanno rallentato la transizione verso Kerberos in molte realtà aziendali, soprattutto quelle con infrastrutture complesse o sistemi legacy ancora in produzione.
L'ultimo step del percorso coinciderà con il prossimo major release di Windows Server e delle corrispondenti versioni client. In questa fase, l'autenticazione di rete NTLM sarà disabilitata per impostazione predefinita, sebbene rimanga presente nel sistema operativo. Un dettaglio importante per gli amministratori: il protocollo potrà essere riattivato esplicitamente attraverso policy controls qualora necessario, garantendo una via di fuga per situazioni eccezionali o ambienti che richiedono tempi di migrazione più lunghi.
Microsoft ha delineato una serie di best practice per le organizzazioni che devono prepararsi al cambiamento. L'imperativo immediato è avviare il deployment dell'auditing potenziato e mappare tutte le dipendenze applicative e dei servizi. Parallelamente, le aziende dovrebbero prioritizzare la transizione a Kerberos per i workload critici e testare configurazioni con NTLM disabilitato in ambienti non di produzione, evitando brutte sorprese quando la modifica diventerà standard.
