← Indice pacchetto onboarding

Security Baseline & Hardening — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Definire una baseline di hardening minima e uniforme per server, endpoint e identità, partendo da quick-win ad alto impatto e basso rischio operativo/politico. Oggi non esiste una baseline documentata: patch non tracciate, configurazioni ad-hoc. L'obiettivo non è giudicare il lavoro fatto, ma dare un riferimento condiviso e misurabile.

Legenda priorità e rischio-politico

1. Quick-win prioritari

#AzionePrioritàRischio-politicoStatoNote
1MFA obbligatoria per tutti gli account admin (dominio, hypervisor, firewall, M365)P0BassoPresente/Parziale/AssentePochi account, impatto zero sugli utenti normali
2Disabilitare SMBv1 su server e clientP0BassoPresente/Parziale/AssenteVettore ransomware storico; verificare dipendenze legacy prima
3Disabilitare protocolli/auth legacy (NTLMv1, LLMNR/NBT-NS, basic auth M365)P0BassoPresente/Parziale/Assente[da compilare: verificare app legacy dipendenti]
4Password policy (lunghezza, no scadenza forzata + blocco password compromesse, lockout)P1MedioPresente/Parziale/AssenteAllineare a NIS 2 / linee guida
5Rimozione admin locale agli utentiP1MedioPresente/Parziale/AssenteConcordare eccezioni tecniche
6EDR/antivirus gestito e uniforme su tutti gli endpointP1BassoPresente/Parziale/Assente[da compilare: soluzione in uso]
7Disabilitare macro Office da InternetP1BassoPresente/Parziale/AssenteVettore phishing comune
8Baseline GPO / Intune applicata e versionataP2MedioPresente/Parziale/AssenteVedi sez. 3

2. Hardening server / endpoint

ControlloServerEndpointStato
Solo servizi/porte necessari attiviPresente/Parziale/Assente
RDP non esposto direttamente, dietro VPN/bastion + MFAPresente/Parziale/Assente
Account di servizio con privilegi minimi e password gestitePresente/Parziale/Assente
Log di sistema/sicurezza centralizzatiPresente/Parziale/Assente
Disco cifrato (BitLocker/LUKS)Presente/Parziale/Assente
Aggiornamenti SO gestiti (vedi patch-vulnerability-mgmt.md)Presente/Parziale/Assente
SO/appliance fuori supporto identificatiPresente/Parziale/Assente

3. GPO / Intune — governance configurazioni

4. Checklist sintesi baseline

Prossimi passi

[da compilare: sequenza rollout quick-win P0 concordata con il responsabile IT attuale, collegamento a nis2-technical-gap-checklist.md]