Si applica a
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Data di pubblicazione originale: 29 agosto 2025

ID KB: 5066470

Introduzione

Questo articolo descrive in dettaglio le modifiche recenti e imminenti apportate a Windows 11, versione 24H2 e Windows Server 2025, concentrandosi sul controllo e sull'eventuale applicazione del blocco della crittografia derivata da NTLMv1. Queste modifiche fanno parte dell'iniziativa più ampia di Microsoft di eliminare gradualmente NTLM.

Contesto

Microsoft ha rimosso il protocollo NTLMv1 (vedere Caratteristiche e funzionalità rimosse) da Windows 11, versione 24H2 e Windows Server 2025 e versioni successive. Tuttavia, mentre il protocollo NTLMv1 viene rimosso, i resti della crittografia NTLMv1 sono ancora presenti in alcuni scenari, ad esempio quando si usa MS-CHAPv2 in un ambiente aggiunto a un dominio.

Credential Guard fornisce una protezione completa della crittografia legacy NTLMv1 e di molte altre superfici di attacco, quindi Microsoft consiglia vivamente la distribuzione e l'abilitazione se vengono soddisfatti i requisiti di Credential Guard. Le modifiche imminenti interessano solo i dispositivi in cui Credential guard è disabilitato; se Windows Credential Guard è abilitato nel dispositivo, le modifiche descritte in questo articolo non hanno effetto.

Obiettivo

Con la deprecazione di NTLM (vedere Funzionalità deprecate) e la rimozione del protocollo NTLMv1, Microsoft sta lavorando per finalizzare la disabilitazione di NTLMv1 disabilitando l'uso delle credenziali derivate da NTLMv1.

Modifiche imminenti

In questo aggiornamento sono incluse due nuove modifiche, l'introduzione di una nuova chiave del Registro di sistema e i nuovi registri eventi. Per una sequenza temporale di queste modifiche, vedere la sezione Implementazione delle modifiche .

Nuova chiave del Registro di sistema

Viene introdotta una nuova chiave del Registro di sistema, che indica se le modifiche sono in modalità di controllo o imponi.

Posizione del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

Value

BlockNtlmv1SSO

Type

REG_DWORD

Dati

  • 0 (impostazione predefinita) - La richiesta di generare le credenziali NTLMv1 per un utente connesso viene controllata ma consentita per l'esito positivo. Vengono generati eventi di avviso. Questa impostazione è detta anche modalità di controllo.

  • 1 – La richiesta di generare le credenziali NTLMv1 per un utente connesso viene bloccata. Vengono generati eventi di errore. Questa impostazione è detta anche modalità imponi.

Nuove funzionalità di controllo

  • Quando si usano le impostazioni di controllo (impostazione predefinita)

    Registro eventi

    Microsoft-Windows-NTLM/Operational

    Tipo di evento

    Avviso

    Origine evento

    NTLM

    ID evento

    4024

    Testo evento

    Controllo di un tentativo di utilizzo delle credenziali derivate da NTLMv1 per Single Sign-On Server di destinazione: <domain_name> Utente fornito: <user_name> Dominio fornito: <domain_name> PID del processo client: <process_identifier> Nome del processo del cliente: <process_name> LUID del processo cliente: <locally_unique_identifier> Identità utente del processo client: <user_name> Nome di dominio dell'identità utente del processo client: <domain_name> Mechanism OID: <object_identifier> Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2321802.

  • Quando si usano le impostazioni Applica

    Registro eventi

    Microsoft-Windows-NTLM/Operational

    Tipo di evento

    Errore

    Origine evento

    NTLM

    ID evento

    4025

    Testo evento

    Un tentativo di usare le credenziali derivate da NTLMv1 per Single Sign-On è stato bloccato a causa dei criteri.Server di destinazione: <domain_name> Utente fornito: <user_name> Dominio fornito: <domain_name> PID del processo client: <process_identifier> Nome del processo del cliente: <process_name> LUID del processo cliente: <locally_unique_identifier> Identità utente del processo client: <user_name> Nome di dominio dell'identità utente del processo client: <domain_name> Mechanism OID: <object_identifier> Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2321802.

Per altre informazioni su altri miglioramenti del controllo, vedere Panoramica dei miglioramenti del controllo NTLM in Windows 11, versione 24H2 e Windows Server 2025.

Implementazione delle modifiche

Nel mese di settembre 2025 e negli aggiornamenti successivi, le modifiche verranno distribuite a Windows 11, versione 24H2 e versioni successive del sistema operativo client in modalità di controllo. In questa modalità, ID evento: 4024 verrà registrato ogni volta che vengono usate le credenziali derivate da NTLMv1, ma l'autenticazione continuerà a funzionare. L'implementazione raggiungerà Windows Server 2025 nei prossimi mesi.

A ottobre 2026, Microsoft imposterà il valore predefinito della chiave del Registro di sistema BlockNTLMv1SSO su 1 (Enforce) anziché su 0 (Audit) se la chiave del Registro di sistema BlockNTLMv1SSO non è stata distribuita nel dispositivo.

Sequenza temporale

Data

Modifica

Fine agosto 2025

Log di controllo per l'utilizzo di NTLMv1 abilitati su Windows 11, versione 24H2 e client più recenti.

Novembre 2025

Iniziare l'implementazione delle modifiche apportate a Windows Server 2025.

Ottobre 2026

Il valore predefinito della chiave del Registro di sistema BlockNtlmv1SSO viene modificato dalla modalità di controllo (0) alla modalità Imponi (1) tramite un aggiornamento futuro di Windows, in modo da rafforzare le restrizioni NTLMv1. Questa modifica nelle impostazioni predefinite viene applicata solo se la chiave del Registro di sistema BlockNtlmv1SSO non è stata distribuita.

Nota Queste date sono provvisorie e soggette a modifica.

Domande frequenti

Microsoft usa un metodo di implementazione graduale per distribuire un aggiornamento di rilascio in un determinato periodo di tempo, invece che contemporaneamente. Questo significa che gli utenti ricevono gli aggiornamenti in momenti diversi e potrebbero non essere immediatamente disponibili per tutti gli utenti.

Le credenziali derivate da NTLMv1 vengono utilizzate da alcuni protocolli di livello superiore per scopi di single Sign-On; Tra gli esempi vi sono distribuzioni Wi-Fi, Ethernet e VPN che usano l'autenticazione MS-CHAPv2. Analogamente a quando Credential Guard è abilitato, i flussi single Sign-On per questi protocolli non funzionerebbero, ma l'immissione manuale delle credenziali continuerà a funzionare anche in modalità Di applicazione . Per altre informazioni e procedure consigliate, vedere Considerazioni e problemi noti relativi all'uso di Credential Guard.

L'unica somiglianza tra questo aggiornamento e Credential Guard sono le protezioni relative alle credenziali utente dalla crittografia derivata da NTLMv1. Questo aggiornamento non fornisce la protezione ampia e affidabile di Credential Guard; Microsoft consiglia l'abilitazione di Credential Guard su tutte le piattaforme supportate.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità