Security Baseline & Hardening — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Definire una baseline di hardening minima e uniforme per server, endpoint e identità, partendo da quick-win ad alto impatto e basso rischio operativo/politico. Oggi non esiste una baseline documentata: patch non tracciate, configurazioni ad-hoc. L'obiettivo non è giudicare il lavoro fatto, ma dare un riferimento condiviso e misurabile.
Legenda priorità e rischio-politico
- Priorità: P0 (subito) · P1 (30gg) · P2 (90gg)
- Rischio-politico: Basso (nessuno tocca configurazioni "di qualcuno") · Medio (cambia un'abitudine) · Alto (impatta operatività/utenti, va concordato)
1. Quick-win prioritari
| # | Azione | Priorità | Rischio-politico | Stato | Note |
|---|---|---|---|---|---|
| 1 | MFA obbligatoria per tutti gli account admin (dominio, hypervisor, firewall, M365) | P0 | Basso | Presente/Parziale/Assente | Pochi account, impatto zero sugli utenti normali |
| 2 | Disabilitare SMBv1 su server e client | P0 | Basso | Presente/Parziale/Assente | Vettore ransomware storico; verificare dipendenze legacy prima |
| 3 | Disabilitare protocolli/auth legacy (NTLMv1, LLMNR/NBT-NS, basic auth M365) | P0 | Basso | Presente/Parziale/Assente | [da compilare: verificare app legacy dipendenti] |
| 4 | Password policy (lunghezza, no scadenza forzata + blocco password compromesse, lockout) | P1 | Medio | Presente/Parziale/Assente | Allineare a NIS 2 / linee guida |
| 5 | Rimozione admin locale agli utenti | P1 | Medio | Presente/Parziale/Assente | Concordare eccezioni tecniche |
| 6 | EDR/antivirus gestito e uniforme su tutti gli endpoint | P1 | Basso | Presente/Parziale/Assente | [da compilare: soluzione in uso] |
| 7 | Disabilitare macro Office da Internet | P1 | Basso | Presente/Parziale/Assente | Vettore phishing comune |
| 8 | Baseline GPO / Intune applicata e versionata | P2 | Medio | Presente/Parziale/Assente | Vedi sez. 3 |
2. Hardening server / endpoint
| Controllo | Server | Endpoint | Stato |
|---|---|---|---|
| Solo servizi/porte necessari attivi | Presente/Parziale/Assente | ||
| RDP non esposto direttamente, dietro VPN/bastion + MFA | Presente/Parziale/Assente | ||
| Account di servizio con privilegi minimi e password gestite | Presente/Parziale/Assente | ||
| Log di sistema/sicurezza centralizzati | Presente/Parziale/Assente | ||
| Disco cifrato (BitLocker/LUKS) | Presente/Parziale/Assente | ||
| Aggiornamenti SO gestiti (vedi patch-vulnerability-mgmt.md) | Presente/Parziale/Assente | ||
| SO/appliance fuori supporto identificati | Presente/Parziale/Assente |
3. GPO / Intune — governance configurazioni
- Domini/tenant in scope (split societario):
[da compilare: quali società, quali AD/tenant] - Baseline di riferimento adottata:
[da compilare: es. CIS Level 1, Microsoft Security Baseline] - GPO documentate e versionate?
Presente / Parziale / Assente - Enrollment endpoint centralizzato (Intune/altro)?
Presente / Parziale / Assente - Deriva configurazioni monitorata?
Presente / Parziale / Assente
4. Checklist sintesi baseline
- ☐ MFA admin attiva ovunque
- ☐ SMBv1 disabilitato
- ☐ Auth legacy disabilitata
- ☐ Password policy allineata
- ☐ Admin locale rimosso agli utenti (con eccezioni documentate)
- ☐ EDR uniforme su tutti gli endpoint
- ☐ Baseline GPO/Intune definita e versionata
- ☐ Sistemi fuori supporto censiti
Prossimi passi
[da compilare: sequenza rollout quick-win P0 concordata con il responsabile IT attuale, collegamento a nis2-technical-gap-checklist.md]