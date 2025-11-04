Dopo gli ultimi aggiornamenti di Microsoft, molti utenti si sono trovati improvvisamente esclusi dalle reti aziendali, impossibilitati ad accedere anche inserendo le corrette credenziali. Per ore il problema di connessione è apparso irrisolvibile, finché la stessa Microsoft non è intervenuta per chiarire la causa: un irrigidimento dei controlli sugli identificativi SID, introdotto per rafforzare la sicurezza delle reti. Una misura efficace per aumentare la sicurezza delle rete ma che non essendo stata annunciata ha colto di sorpresa gli amministratori IT, generando caos e disservizi diffusi.

Nelle ultime settimane diversi amministratori di sistema hanno vissuto momenti di vero caos. Dopo gli aggiornamenti di fine agosto e inizio settembre per Windows 11 (versioni 24H2 e 25H2) e Windows Server 2025, molti utenti si sono ritrovati improvvisamente esclusi dalle reti aziendali, impossibilitati a collegarsi ai desktop da remoto o ad accedere alle cartelle condivise mentre il sistema continuava a inviare criptici messaggi d'errore. Un disservizio tutt'altro che marginale, aggravato dal fatto che il problema persiste anche reinserendo tutte le credenziali di autenticazione richieste. A scatenare il problema non è però un attacco informatico, ma un cambiamento introdotto direttamente da Microsoft con l'obiettivo di rafforzare la sicurezza dei propri sistemi.

L'azienda di Redmond ha infatti deciso di bloccare i cosiddetti SID duplicati. I SID (Security Identifier) sono codici alfanumerici che fungono da identificativi univoci per distinguere una macchina dalle altre in rete. In teoria, come accade con le targhe delle automobili, due computer non dovrebbero mai condividere lo stesso SID, ma nella pratica di tutti i giorni molte aziende clonano un'installazione di Windows su più PC per migrare dati e mantenere gli accessi senza perdere troppo tempo. Dopo gli ultimi aggiornamenti, però, questa pratica non è più possibile.

Perché Microsoft ha bloccato i SID clonati

Dal punto di vista tecnico, la scelta di Microsoft appare comprensibile e giustificata. Duplicare i SID dei computer è infatti uno stratagemma "comodo" per garantire la continuità dei servizi, ma introduce un serio rischio per la sicurezza: avere più macchine con lo stesso identificativo è come possedere diverse porte che si aprono con la stessa chiave. Se un hacker riesce a violarne una, può accedere con facilità anche a tutte le altre connesse con il medesimo SID. Per questo gli aggiornamenti KB5064081 (29 agosto) e KB5065426 (9 settembre) hanno introdotto controlli più severi sull'autenticazione, causando però l’effetto collaterale di bloccare qualsiasi connessione da o verso dispositivi che condividono lo stesso identificativo.

Leggi anche Abbiamo clonato la mail di Giorgia Meloni: scoperta una falla nella sicurezza dello Stato

"Le nuove protezioni impongono controlli sui Security ID causando il fallimento dell’autenticazione quando i dispositivi presentano SID duplicato", ha spiegato Microsoft in una nota diramata in tutta fretta per placare che il caos che si era venuto a creare. Se infatti l'intento era quello di chiudere una falla di sicurezza, la decisione di introdurre una modifica così impattante senza un preavviso adeguato ha spiazzato gli amministratori IT che si sono trovati a dover gestire blocchi improvvisi e utenti impossibilitati ad accedere ai propri ambienti di lavoro.

Come risolvere il problema

Uscire dall'impasse non è un compito semplice e il dipendente che dovesse trovarsi a fare i conti con un messaggio di accesso negato dovrà probabilmente rivolgersi al supporto tecnico della propria azienda. La stessa Microsoft ha precisato che non esiste una correzione automatica. L'unica soluzione definitiva rimane quella di ricostruire i dispositivi interessati utilizzando metodi di clonazione supportati, in modo che ciascuno generi un proprio identificativo. "Per una risoluzione definitiva, i dispositivi contenenti SID duplicati dovranno essere ricostruiti utilizzando metodi supportati per la clonazione o la duplicazione di un'installazione di Windows, in modo che abbiano SID univoci" si legge nella nota della compagnia.

Per questa operazione Microsoft suggerisce di utilizzare l'utility Sysprep, che "ripulisce" un’installazione di Windows e crea un nuovo identificativo. Ma si tratta di uno strumento pensato per amministratori esperti, non certo alla portata dell’utente medio o delle piccole aziende senza un reparto IT dedicato. In alternativa, per guadagnare tempo, è possibile richiedere all’assistenza Microsoft un criterio di gruppo temporaneo che consenta di aggirare momentaneamente la restrizione.