Un errore inspiegabile blocca Windows 11 ai computer connessi tra loro: Microsoft fa chiarezza
Nelle ultime settimane diversi amministratori di sistema hanno vissuto momenti di vero caos. Dopo gli aggiornamenti di fine agosto e inizio settembre per Windows 11 (versioni 24H2 e 25H2) e Windows Server 2025, molti utenti si sono ritrovati improvvisamente esclusi dalle reti aziendali, impossibilitati a collegarsi ai desktop da remoto o ad accedere alle cartelle condivise mentre il sistema continuava a inviare criptici messaggi d'errore. Un disservizio tutt'altro che marginale, aggravato dal fatto che il problema persiste anche reinserendo tutte le credenziali di autenticazione richieste. A scatenare il problema non è però un attacco informatico, ma un cambiamento introdotto direttamente da Microsoft con l'obiettivo di rafforzare la sicurezza dei propri sistemi.
L'azienda di Redmond ha infatti deciso di bloccare i cosiddetti SID duplicati. I SID (Security Identifier) sono codici alfanumerici che fungono da identificativi univoci per distinguere una macchina dalle altre in rete. In teoria, come accade con le targhe delle automobili, due computer non dovrebbero mai condividere lo stesso SID, ma nella pratica di tutti i giorni molte aziende clonano un'installazione di Windows su più PC per migrare dati e mantenere gli accessi senza perdere troppo tempo. Dopo gli ultimi aggiornamenti, però, questa pratica non è più possibile.
Perché Microsoft ha bloccato i SID clonati
Dal punto di vista tecnico, la scelta di Microsoft appare comprensibile e giustificata. Duplicare i SID dei computer è infatti uno stratagemma "comodo" per garantire la continuità dei servizi, ma introduce un serio rischio per la sicurezza: avere più macchine con lo stesso identificativo è come possedere diverse porte che si aprono con la stessa chiave. Se un hacker riesce a violarne una, può accedere con facilità anche a tutte le altre connesse con il medesimo SID. Per questo gli aggiornamenti KB5064081 (29 agosto) e KB5065426 (9 settembre) hanno introdotto controlli più severi sull'autenticazione, causando però l’effetto collaterale di bloccare qualsiasi connessione da o verso dispositivi che condividono lo stesso identificativo.
"Le nuove protezioni impongono controlli sui Security ID causando il fallimento dell’autenticazione quando i dispositivi presentano SID duplicato", ha spiegato Microsoft in una nota diramata in tutta fretta per placare che il caos che si era venuto a creare. Se infatti l'intento era quello di chiudere una falla di sicurezza, la decisione di introdurre una modifica così impattante senza un preavviso adeguato ha spiazzato gli amministratori IT che si sono trovati a dover gestire blocchi improvvisi e utenti impossibilitati ad accedere ai propri ambienti di lavoro.
Come risolvere il problema
Uscire dall'impasse non è un compito semplice e il dipendente che dovesse trovarsi a fare i conti con un messaggio di accesso negato dovrà probabilmente rivolgersi al supporto tecnico della propria azienda. La stessa Microsoft ha precisato che non esiste una correzione automatica. L'unica soluzione definitiva rimane quella di ricostruire i dispositivi interessati utilizzando metodi di clonazione supportati, in modo che ciascuno generi un proprio identificativo. "Per una risoluzione definitiva, i dispositivi contenenti SID duplicati dovranno essere ricostruiti utilizzando metodi supportati per la clonazione o la duplicazione di un'installazione di Windows, in modo che abbiano SID univoci" si legge nella nota della compagnia.
Per questa operazione Microsoft suggerisce di utilizzare l'utility Sysprep, che "ripulisce" un’installazione di Windows e crea un nuovo identificativo. Ma si tratta di uno strumento pensato per amministratori esperti, non certo alla portata dell’utente medio o delle piccole aziende senza un reparto IT dedicato. In alternativa, per guadagnare tempo, è possibile richiedere all’assistenza Microsoft un criterio di gruppo temporaneo che consenta di aggirare momentaneamente la restrizione.
