ACTIVE DIRECTORY: aggiornamento di sicurezza Microsoft in scadenza

Verifica ora il tuo ambiente!

Microsoft sta implementando un importante aggiornamento di sicurezza che elimina progressivamente l’algoritmo RC4 dall’autenticazione Kerberos in Active Directory. Questa modifica rappresenta un cambiamento strutturale nel comportamento di Kerberos e richiede un’azione proattiva per evitare interruzioni operative.

Dove può impattare?
Ambienti Active Directory che usano l’autenticazione Kerberos, che è la modalità più comune utilizzata on-premises, con impatto potenziale su:
service account utenti, applicazioni (soprattutto legacy), trust tra domini, dispositivi/computer, anche non-Windows (NAS, appliance Linux-based, ecc.), che usano l’autenticazione Kerberos.

Cosa può succedere se non si agisce?
Dal 14 aprile 2026 in poi o successivamente, non appena avviene l’aggiornamento di sicurezza sui server Active Directory aziendali (domain controller), si potrebbero sperimentare:

  • Servizi critici che smettono di funzionare, tipicamente al riavvio o alla prima autenticazione successiva.
  • Autenticazioni intermittenti (se solo alcuni Domain Controller sono aggiornati e altri no).
  • Applicazioni legacy o appliance particolari (load balancer, reverse proxy, NAS, etc.) potrebbero non riuscire più ad autenticarsi se utilizzano ancora RC4.
  • Trust tra domini/foreste potrebbero non funzionare correttamente.

Compila il form per ricevere il nostro supporto!

Timeline delle modifiche Microsoft basata su 3 fasi:

Il team Microsoft di WeAreProject è a tua disposizione!

Consigliamo di avviare un piano di verifica e adeguamento prima che l’enforcement diventi permanente. In sintesi:

  • Aggiornare i Domain Controller alle ultime versioni supportate (es. Windows Server 2019, 2022, 2025) e applicare le patch di sicurezza disponibili.
  • Monitorare sin da ora gli eventi di audit Kerberos sui DC (dopo aver installato gli update di gennaio) per scoprire quali servizi o account usano ancora RC4.
  • Intervenire: cambiare configurazioni o aggiornare applicazioni per usare cifrature moderne (AES), ruotare password mai aggiornate sui service account, verificare che eventuali trust AD siano configurati con algoritmi aggiornati.
  • Verificare e mitigare utenti, applicazioni e dispositivi: assicurarsi che supportino Kerberos/AES, altrimenti pianificarne la sostituzione / aggiornamenti o la loro dismissione. Fare eventuali mitigazioni temporanee per sistemi legacy.

 

Il nostro team Microsoft è pronto a supportarti con attività di assessment e remediation dedicate per analizzare la tua infrastruttura Active Directory e pianificare azioni correttive per evitare potenziali interruzioni di servizio e problematiche di autenticazione.

Ricordiamo inoltre che siamo a disposizione anche per fare assessment più completi, focalizzati su tematiche di sicurezza e compatibilità in ambito tecnologico Microsoft, per valutare l‘infrastruttura e il dominio aziendale su varie tematiche tra cui:

  • verifica di protocolli/cifrature legacy o insicuri in generale:
    • su file share: SMBv1 vecchio protocollo deprecato e con vulnerabilità di sicurezza note;
    • l’utilizzo di NTLMv1, su Windows Server 2025 e Windows 11 24H2 è stato rimosso, consigliamo almeno in audit di valutare gli applicativi, i programmi e i servizi che lo utilizzano;
    • l’utilizzo di DES nell’autenticazione Kerberos che è stato rimosso su Windows Server 2025 e su Windows 11 24H2;
    • altro da valutare in base al ruolo del server Windows;
  • si può inoltre valutare di monitorare anche l’attuale utilizzo di NTLMv2 che è deprecato e ad oggi ancora molto usato da vari applicativi;
  • verifica di applicazioni e servizi che utilizzano LDAP, il passaggio a LDAPS (o “LDAP signing”) come default è obbligatorio su Windows Server 2025, alcuni applicazioni e programmi di terzi potrebbero non poter più interrogare Active Directory / il dominio aziendale (per recuperare elenco degli utenti, elenco dei computer, elenco di utenti in un gruppo di sicurezza, per autenticare gli utenti, ecc.);
  • lo stato generale del corretto funzionamento del dominio aziendale: ad esempio il corretto funzionamento delle repliche dei domain controller, il livello funzionale del dominio e della foresta, ecc.