Addio a NTLM! Microsoft verso una nuova era di autenticazione con kerberos

Per oltre tre decenni è stato una colonna silenziosa dell’ecosistema Windows. Ora però il tempo di NTLM sembra definitivamente scaduto. Microsoft ha deciso di avviare una transizione profonda che segna la fine di un’era e l’inizio di un nuovo modello di autenticazione più sicuro.

NTLM, acronimo di New Technology LAN Manager, nasce nel 1993 come uno dei primi sistemi di autenticazione basati su password sviluppati da Microsoft. All’epoca rappresentava una soluzione efficace, ma il contesto di sicurezza era radicalmente diverso da quello attuale.

Addio ad un protocollo storico

Il suo funzionamento, basato sullo scambio di credenziali, lo rende oggi vulnerabile. Come una password intercettata durante una conversazione, NTLM può essere forzato o falsificato con relativa facilità da attori malevoli sempre più sofisticati. Nel tempo, questa debolezza strutturale è diventata un problema sistemico, soprattutto negli ambienti enterprise complessi e interconnessi.

Gli aggressori sfruttano spesso attacchi di tipo NTLM relay, inducendo dispositivi legittimi ad autenticarsi contro server controllati da criminali. Il risultato è l’escalation dei privilegi e, in molti casi, il controllo completo dei domini Windows.

A questo si aggiungono le tecniche pass-the-hash, che permettono di rubare hash NTLM per impersonare utenti legittimi, sottrarre dati sensibili e muoversi lateralmente all’interno delle reti aziendali. Anche con patch ripetute, vulnerabilità come PetitPotam e ShadowCoerce hanno dimostrato che le difese basate su NTLM possono ancora essere aggirate.

Il passaggio a Kerberos in tre fasi

Kerberos rappresenta l’alternativa moderna scelta da Microsoft. Il protocollo utilizza una terza parte fidata per emettere ticket temporanei, molto più difficili da falsificare rispetto alle semplici password. La prima fase del piano è già iniziata, con strumenti avanzati di auditing NTLM introdotti in Windows Server 2025 e Windows 11 24H2. Questi consentono agli amministratori di mappare con precisione le dipendenze ancora legate a NTLM.

Nella seconda metà del 2026 arriveranno funzionalità come IAKerb e Local KDC, pensate per gestire scenari complessi come account locali e controller di dominio con connettività limitata. La fase finale prevede la disabilitazione di NTLM di rete per impostazione predefinita nella prossima versione principale di Windows Server, lasciando comunque una possibilità di riattivazione manuale tramite policy.

La ricerca e l’annuncio sono stati pubblicati da Microsoft in un post ufficiale sul proprio blog, che dettaglia l’intero percorso di migrazione e le raccomandazioni operative per le organizzazioni.

Questa transizione non è solo un aggiornamento tecnico, ma un cambio di mentalità: la sicurezza non può più poggiare su fondamenta nate in un’altra epoca.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Silvia Felici

Red Hot Cyber Security Advisor, Open Source e Supply Chain Network. Attualmente presso FiberCop S.p.A. in qualità di Network Operations Specialist, coniuga la gestione operativa di infrastrutture di rete critiche con l'analisi strategica della sicurezza digitale e dei flussi informativi.

Aree di competenza: Network Operations, Open Source, Supply Chain Security, Innovazione Tecnologica, Sistemi Operativi.

Visita il sito web dell'autore