Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseLista di controllo
Checklist per il rafforzamento di Windows Server

Checklist per il rafforzamento di Windows Server

Anche se distribuire server nel loro stato predefinito può essere il modo più rapido per renderli operativi, ciò è notevolmente carente in termini di sicurezza. Di base, i server sono ottimizzati per la facilità d'uso, il che spesso avviene a scapito della sicurezza.

Questa avvertenza è particolarmente importante per i sistemi Windows Server a causa del ruolo vitale che svolgono nell'ecosistema Microsoft, includendo sia l'autenticazione che l'autorizzazione. Investendo un po' più di tempo nella configurazione sicura dei vostri sistemi Windows Server, potete ridurre drasticamente la vostra superficie di attacco.

Per aiutare, questa guida offre un'estesa checklist delle migliori pratiche di rafforzamento di Windows Server. Prima, copriremo Windows Server stesso: utenti, funzionalità, ruoli, servizi e così via. Ma poi forniremo una guida al rafforzamento di Windows per una varietà di altri aspetti dell'ambiente IT che influenzano anche la sicurezza e la disponibilità di Windows Server, come la configurazione di rete e firewall, configurazione di applicazioni e servizi, gestione degli accessi e politiche di auditing. Infine, offriremo una soluzione che semplifica notevolmente il processo di rafforzamento del server.

Preparazione del server

Il rafforzamento del server inizia ancor prima di installare il sistema operativo. Per fornire una solida base per la sicurezza del server, seguire i seguenti passaggi:

  • Stabilire e mantenere un inventario dettagliato di tutti i vostri server.
  • Isolare i nuovi server dal traffico di rete e Internet fino a quando non sono completamente rafforzati.
  • Proteggi il BIOS/firmware con una password robusta.
  • Disabilita l'accesso automatico dell'amministratore alla console di ripristino.
  • Configurare l'ordine di avvio del dispositivo per impedire l'avvio da supporti alternativi.

Aggiornare l'installazione di Windows Server e mantenerla aggiornata

Dopo aver installato il sistema operativo Windows Server, aggiornalo immediatamente con le ultime patch per mitigare le vulnerabilità note. Gli aggiornamenti possono essere scaricati direttamente da Microsoft o tramite Window Server Update Services (WSUS) o System Center Configuration Manager (SCCM).

Per mantenere i tuoi server sicuri, attiva la notifica automatica della disponibilità delle patch e installa gli aggiornamenti tempestivamente. Tuttavia, prima di distribuire qualsiasi patch, hotfix o service pack, assicurati di testarla approfonditamente per garantire che funzioni correttamente nel tuo ambiente specifico.

Rafforzamento della Sicurezza degli Account Utente

Non appena un server viene distribuito e aggiornato con le patch di sicurezza, procedere alla configurazione della sicurezza degli utenti per mitigare il rischio di accesso non autorizzato. Le migliori pratiche di configurazione degli utenti includono quanto segue:

  • Disabilita l'account ospite su ogni server.
  • Rinominate l'account Amministratore locale oppure disabilitatelo e create un nuovo account con un nome unico.
  • Riduci sia l'appartenenza che i permessi dei gruppi predefiniti come Local System (NT AUTHORITY\System), Network Service (NT AUTHORITY\NetworkService), Administrators, Backup Operators, Users ed Everyone. Ad esempio, per prevenire l'accesso remoto illimitato ai tuoi server, assicurati di cambiare l'impostazione predefinita che concede il diritto 'Access this computer from the network' al gruppo Everyone.
  • Assicurati che le password degli account di sistema e amministratore siano conformi alle migliori pratiche per le password. In particolare, richiedi che queste password siano lunghe almeno 15 caratteri e utilizzino una combinazione di lettere, numeri e caratteri speciali, e che vengano cambiate ogni 90–180 giorni.
  • Configura una policy di blocco account secondo le migliori pratiche per il blocco degli account.
  • Disabilita la traduzione anonima SID/Nome.
  • Disabilita o elimina prontamente gli account utente inutilizzati.
  • Richiedere agli amministratori del server di accedere utilizzando un account amministratore locale piuttosto che un account di dominio privilegiato per limitare il rischio di problemi o compromissioni a livello di dominio.

Configurazione di funzionalità e ruoli

Un'altra pratica migliore importante per rafforzare i server Windows è rimuovere tutte le funzionalità e i ruoli non necessari per lo scopo previsto del server. Questa strategia riduce la superficie di attacco e rende anche il server più facile da gestire.

Configurazione di applicazioni e servizi

Analogamente, riduci il numero di applicazioni, servizi e protocolli installati su ogni server. In particolare, non installare ulteriori browser web sul server e limita l'accesso a Internet per tutti gli utenti.

Limitare le applicazioni e i servizi in esecuzione su un server riduce la sua superficie di attacco e semplifica anche la gestione degli aggiornamenti e delle patch.

Configurazione della rete

La configurazione della rete influisce notevolmente sulla sicurezza dei server Windows. Ecco alcune pratiche fondamentali di configurazione della rete che dovresti seguire.

  • Isolare il server da reti o segmenti non affidabili utilizzando VLAN, subnetting o altre tecniche di segregazione della rete. Questa strategia limita l'esposizione del server a potenziali minacce.
  • Assicurati che le configurazioni di DNS e hostname siano accurate per prevenire manipolazioni legate al DNS.
  • Implementare restrizioni IP e regole di filtraggio per controllare quali indirizzi IP o intervalli possono comunicare con il server. Questo aiuta a limitare l'accesso non autorizzato e l'esposizione ad attacchi.
  • Se è necessaria l'amministrazione remota, limitare l'accesso RDP a specifici indirizzi IP o reti per aiutare a prevenire l'accesso non autorizzato.
  • Disabilita sia NetBIOS su TCP/IP che la ricerca LMHosts a meno che non siano necessari per software o hardware legacy.

Configurazione del firewall

Per proteggere i tuoi server Windows da accessi non autorizzati e traffico malevolo, segui queste migliori pratiche di configurazione del firewall:

  • Abilita il firewall di Windows.
  • Configura ogni profilo del firewall di Windows (Dominio, Privato e Pubblico) per bloccare il traffico in entrata per impostazione predefinita. Quando l'accesso in entrata è necessario per un server, limitarlo ai protocolli essenziali, porte e indirizzi IP specifici.
  • Aprire solo le porte di rete necessarie; limitare o negare l'accesso per tutte le altre porte.

Configurazione del Network Time Protocol (NTP)

NTP è fondamentale per garantire timestamp accurati sugli eventi, il che aiuta le organizzazioni a proteggersi da attacchi di time-spoofing e replay.

Designare un server specifico come principale custode del tempo e configurarlo per sincronizzarsi con una fonte di orologio atomico affidabile. Quindi stabilire una politica che obblighi tutti i server e le postazioni di lavoro a sincronizzare il loro tempo esclusivamente con quel server.

Configurazione del Registro

Configurare correttamente le impostazioni del registro e controllare le modifiche apportate è fondamentale anche per la sicurezza del server. Le migliori pratiche includono quanto segue:

  • Se il servizio Remote Registry non è necessario, disabilitalo. Se è necessario, controlla rigorosamente l'accesso ad esso.
  • Disabilita le impostazioni "NullSessionPipes" e "NullSessionShares" per limitare l'accesso anonimo alle risorse di rete.
  • Consenti solo agli utenti autorizzati e agli amministratori di modificare chiavi e sottocchiavi del registro critici.

Crittografia

Per migliorare la sicurezza del server, è consigliabile abilitare e configurare la crittografia del disco BitLocker per l'intero disco di sistema, così come per qualsiasi altro disco che contenga dati. Per una protezione dei dati più dettagliata, prendere in considerazione l'utilizzo del Encrypting File System (EFS) per crittografare i singoli file.

Per garantire la riservatezza e l'integrità dei dati in tutta la rete, è possibile implementare IPsec per criptare il traffico di rete tra i server.

Gestione degli Accessi

La gestione degli accessi è un componente critico della checklist per il rafforzamento di Windows perché controlla chi può accedere a quali risorse IT e quale livello di accesso possiedono. Le migliori pratiche per la gestione degli accessi includono quanto segue:

  • Applica il principio del minimo privilegio concedendo agli utenti e ai processi i diritti minimi necessari per eseguire i loro compiti. In particolare, sii molto prudente nel concedere permessi al gruppo Everyone.
  • Consenti solo agli utenti autenticati di accedere a qualsiasi computer dalla rete.
  • Configurare i tipi di crittografia consentiti per l'autenticazione Kerberos.
  • Non memorizzare i valori hash di LAN Manager.
  • Disabilita la condivisione file e stampante se non è necessaria.
  • Disabilita il protocollo NTLMv1 a meno che non sia necessario per supportare tecnologie più vecchie.

Configurazione dell'Accesso Remoto

Il Remote Desktop Protocol (RDP) è un obiettivo comune per gli hacker, quindi dovrebbe essere abilitato solo se necessario. Se RDP è abilitato, impostare il livello di crittografia della connessione RDP su alto.

Inoltre, concedere i diritti di accesso remoto solo agli utenti specifici che ne hanno bisogno e, se possibile, utilizzare l'autenticazione a più fattori (MFA) per aggiungere un ulteriore livello di protezione.

Pratiche generali di rafforzamento della sicurezza

Prendere in considerazione l'implementazione di queste migliori pratiche generali di sicurezza:

  • Disabilita l'uso di supporti rimovibili, come le chiavette USB, per mitigare il rischio di esfiltrazione dei dati e iniezione di malware.
  • Visualizzare un avviso legale come il seguente prima che l'utente effettui l'accesso: “L'uso non autorizzato di questo computer e delle risorse di rete è proibito.”
  • Richiedere Ctrl+Alt+Canc per accessi interattivi e configurare un limite di tempo per terminare automaticamente le sessioni interattive inattive.
  • Se il server dispone di RAM sufficiente, prendi in considerazione la disabilitazione del file di swap di Windows per migliorare le prestazioni e rafforzare la sicurezza impedendo che i dati sensibili vengano scritti sull'hard disk.

Guida al rafforzamento di Windows Server: Raccomandazioni aggiuntive

Altre raccomandazioni di rafforzamento includono le seguenti:

  • Eseguire regolarmente valutazioni dei rischi e utilizzarle per aggiornare il piano di gestione dei rischi..
  • Utilizza una soluzione di sicurezza per endpoint per proteggere i tuoi server e altre macchine. Windows Defender è incluso di default, ma sono disponibili anche soluzioni di terze parti. Prendi in considerazione anche la protezione anti-spyware.
  • Installate una soluzione di prevenzione della perdita di dati (DLP) per aiutare a proteggere le informazioni sensibili da accessi impropri e perdite.
  • Monitorare le attività che potrebbero compromettere la sicurezza del server. I log nativi forniscono una certa comprensione; questi log possono essere esaminati utilizzando Windows Event Viewer. Ma per capacità di registrazione e monitoraggio più complete, implementare una soluzione di auditing aziendale che offre non solo il monitoraggio ma anche funzionalità avanzate come l'analisi comportamentale degli utenti (UBA), allarmi in tempo reale e risposta automatica agli incidenti.

Come Netwrix può aiutare

Netwrix Change Tracker semplifica notevolmente il rafforzamento e la gestione della configurazione di Windows Server. In particolare, esso:

  • Rende facile stabilire configurazioni di base sicure che sono conformi a standard come quelli del Center for Internet Security (CIS) e della US Department of Defense Security Technical Implementation Guide (STIG)
  • Rileva automaticamente le deviazioni o gli scostamenti dalle configurazioni di base utilizzando la tecnologia di monitoraggio dell'integrità di sistema e file (FIM)
  • Si coordina con la soluzione di IT service management (ITSM) per identificare cambiamenti di configurazione inaspettati e avvisare gli amministratori
  • Velocizza la risposta agli incidenti fornendo informazioni dettagliate sui cambiamenti
  • Semplifica gli audit di conformità con report preconfigurati che coprono NIST, PCI DSS, CMMC, STIG e NERC CIP.

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management