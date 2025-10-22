Microsoft ha confermato che gli aggiornamenti di Windows rilasciati a partire dal 29 agosto 2025 possono essere la causa di problemi di autenticazione sui sistemi che condividono lo stesso Security Identifier (SID). I SID sono stringhe alfanumeriche univoche utilizzate da Windows per identificare in modo sicuro utenti, gruppi e account macchina: costituiscono il fondamento della gestione dei permessi, degli audit di sicurezza e del controllo degli accessi. A differenza dei nomi utente, che possono cambiare, i SID restano invariati e rappresentano l’identità interna effettiva di ogni entità utilizzata nel sistema operativo Microsoft.

Secondo la documentazione ufficiale pubblicata da Microsoft, le versioni di Windows aggiornate dopo il 29 agosto 2025 includono nuove protezioni di sicurezza che applicano controlli più rigorosi sui SID, impedendo l’autenticazione tra dispositivi che presentano identificatori duplicati. In pratica, la modifica blocca gli “handshake” di autenticazione NTLM e Kerberos quando viene rilevata una collisione tra SID.

Impatti sui sistemi Windows 11 e Server 2025

L’introduzione delle nuove verifiche di sicurezza ha effetti diretti su Windows 11 24H2, Windows 11 25H2 e Windows Server 2025. Gli amministratori di rete hanno segnalato un ampio ventaglio di malfunzionamenti:

Connessioni di Desktop remoto che non si instaurano.

che non si instaurano. Errori “Accesso negato” nel tentativo di utilizzare risorse condivise in rete.

in rete. Tentativi di login falliti nonostante l’uso di credenziali corrette.

nonostante l’uso di credenziali corrette. Messaggi di errore del tipo: “Tentativo di accesso non riuscito”, “Le tue credenziali non sono valide” o “C’è una discrepanza parziale nell’ID della macchina”.

Nei registri eventi, gli utenti possono imbattersi in errori come SEC_E_NO_CREDENTIALS e messaggi provenienti dal servizio Local Security Authority (LSA) che segnalano incongruenze nel ticket di autenticazione o tra ID macchina e sessione di avvio.

Origine del problema: sistemi duplicati senza usare Sysprep

La causa principale del problema risiede nei processi di clonazione o duplicazione delle installazioni Windows non preparate correttamente con Sysprep (System Preparation Tool). Si pensi ad esempio alle immagini create con software di disk imaging e ripristinate su PC diversi che fanno parte della medesima rete.

Oggi, sia Windows 10 che Windows 11 non producono neppure una schermata blu all’avvio quando si ripristina un’immagine su un PC dotato di una configurazione hardware differente rispetto a quella originale. Questo ha portato molti a creare modelli di immagini contenenti la configurazione di base di Windows 10 e Windows 11 e a utilizzarle come base altrove.

In realtà, come sottolinea Microsoft, è fondamentale servirsi dell’utilità di sistema Sysprep: essa si occupa di rimuovere le informazioni specifiche della macchina (inclusi SID, nome host, cache hardware e profili univoci), in modo che, al primo avvio post-deployment, Windows rigeneri automaticamente gli identificatori.

Si prenda in esame, nello specifico, il seguente comando:

sysprep /generalize /oobe /shutdown

L’opzione /generalize rimuove i SID e altri identificatori univoci, rendendo l’immagine riutilizzabile; /oobe (Out-of-Box Experience) forza la configurazione iniziale alla prima accensione, permettendo la rigenerazione dei SID e l’inserimento di nuovi dati (nome computer, utente, lingua, ecc.); /shutdown spegne la macchina dopo la preparazione, consentendo la creazione sicura dell’immagine. Ad esempio con un software di disk imaging avviato tramite supporto di boot.

Soluzioni temporanee e raccomandazioni

Per mitigare il problema, Microsoft consiglia agli amministratori IT di ricostruire le macchine con SID duplicati utilizzando metodi supportati di imaging, includendo l’esecuzione di Sysprep prima del deployment.

In alternativa, è possibile applicare una policy di gruppo temporanea, disponibile esclusivamente tramite il supporto tecnico Microsoft per clienti business. Tale policy disattiva parzialmente le nuove verifiche sui SID, permettendo il ripristino dell’autenticazione fino alla rigenerazione corretta dei sistemi.