Nel 2026, il 78% degli attacchi informatici a PMI italiane sfrutta configurazioni server non hardened (fonte: Clusit 2025) — servizi inutili attivi, password deboli, audit spento, firewall aperto. BullTech Informatica ha securizzato oltre 500 server aziendali dal 2009 applicando CIS Benchmarks su Windows e Linux. Il costo medio di un data breach per una PMI italiana? 148.000 euro (ENISA 2025). L'hardening server è la configurazione sistematica di un sistema per ridurre al minimo la superficie di attacco. In questa guida trovi 12 step pratici per Windows Server 2022, 10 step per Linux, tabella comparativa Windows vs Linux vs Docker, checklist CIS e prezzi reali. Zero teoria, solo roba che puoi applicare domani mattina.
Cos'è l'Hardening Informatico
L'hardening informatico è il processo di rafforzamento della configurazione di sicurezza di un sistema IT (server, PC, rete) per ridurre la superficie di attacco. Si basa sulla disabilitazione dei servizi non necessari, sull'applicazione di policy di sicurezza restrittive e sulla conformità a standard come i CIS Benchmarks o il NIST Cybersecurity Framework.
78%
Attacchi via config deboli (2026)
148K€
Costo medio incidente PMI
500+
Server hardenizzati BullTech
3h
Tempo medio hardening CIS L1
-85%
Riduzione rischio con CIS L1
Fonti: Clusit 2025; ENISA Threat Landscape 2025; CIS Controls v8.
CIS Benchmarks: lo standard di riferimento
I CIS Benchmarks sono guide di configurazione prodotte dal Center for Internet Security, un'organizzazione non profit riconosciuta a livello mondiale. Esistono benchmark per Windows Server 2022/2025, Ubuntu, RHEL, VMware ESXi, Microsoft 365, e decine di altri sistemi. Ogni benchmark contiene centinaia di raccomandazioni di configurazione con livello di severità e istruzioni passo-passo.
Esistono due livelli: Level 1 (configurazioni essenziali che non impattano le funzionalità, raccomandate per tutti i server) e Level 2 (configurazioni più restrittive per ambienti ad alta sicurezza, possono limitare alcune funzionalità). Per una PMI, Level 1 è il punto di partenza obbligatorio. Se hai già fatto un cybersecurity assessment, l'hardening è il passo successivo naturale. Affidarsi a un partner IT Milano con esperienza su CIS Benchmarks fa la differenza tra un hardening fatto bene e uno che rompe qualcosa.
CIS Benchmark: Level 1 vs Level 2 — Quando Usare Quale
Level 1 — Per tutte le PMI
- Configurazioni essenziali senza impatto funzionale
- Password policy, audit, firewall, patch
- Riduzione rischio: -85% superficie attacco
- Tempo: 3-4 ore/server | Costo: da 290€
Level 2 — Dati sensibili e compliance
- Restrizioni stringenti, può limitare alcune funzionalità
- + WDAC, AppLocker, Credential Guard, VBS
- Per sanità, finance, NIS2, ISO 27001
- Tempo: 8-16 ore/server | Costo: da 3.000€
BullTech applica Level 1 come standard su tutti i contratti MSP. Level 2 è un servizio aggiuntivo per ambienti ad alta sicurezza.
Checklist Hardening Windows Server 2022: 12 Step Pratici
Questa non è una lista generica: sono i 12 step che applichiamo su ogni server Windows che prendiamo in gestione. Li abbiamo testati su oltre 300 server Windows in Lombardia.
12 Step Hardening Windows Server 2022 — CIS Benchmark
Disabilita SMBv1
PowerShell: Set-SmbServerConfiguration -EnableSMB1Protocol $false. SMBv1 e il vettore di WannaCry e NotPetya. Zero eccezioni.
Password policy 14+ caratteri via GPO
GPO: Min 14 char, complessita obbligatoria, lockout dopo 5 tentativi, scadenza 90gg. Abilita LAPS per le password locali.
Abilita BitLocker su tutti i volumi
AES-256, TPM 2.0 obbligatorio, recovery key in Active Directory. Protegge da furto fisico del server/disco.
Configura AppLocker
Whitelist delle applicazioni autorizzate. Blocca exe, dll, script non firmati. Impedisce l'esecuzione di ransomware e tool malevoli.
Windows Firewall: deny all ingresso
Blocca tutto in ingresso, allow solo porte documentate. RDP solo da IP interni o VPN. Mai RDP su IP pubblico.
Audit policy avanzate
Abilita tutte le categorie: Logon, Object Access, Policy Change, Account Management. Log centralizzati su SIEM.
RDP con NLA (Network Level Authentication)
Forza NLA su tutte le sessioni RDP. Timeout 15 min inattivita. Limita utenti RDP al minimo necessario.
Configura LAPS
Local Administrator Password Solution: rotazione automatica password admin locale ogni 30 giorni, salvata in AD.
Blocca USB via GPO
GPO: Computer Config > Admin Templates > System > Removable Storage Access. Blocca lettura/scrittura su tutte le classi USB.
Aggiornamenti automatici (WSUS/WU)
Patch di sicurezza entro 72h dal rilascio. Zero patch arretrate. Firmware server (iDRAC/iLO) aggiornato.
Windows Event Forwarding (WEF)
Centralizza i log di sicurezza da tutti i server su un collector. Prerequisito per SIEM e correlazione eventi.
Backup immutabile
Veeam con immutability attiva o backup su storage WORM. Ransomware non puo cifrare i backup. Test restore mensile.
Fonte: CIS Benchmark v3.0 per Windows Server 2022. BullTech applica tutti i 12 step su ogni server gestito.
Approfondisci la virtualizzazione nella nostra guida alla virtualizzazione server.
Checklist Hardening Linux (Ubuntu/Debian): 10 Step
Per i server Linux in produzione, ecco i 10 step che applichiamo su ogni macchina Debian/Ubuntu che gestiamo. Se usi RHEL/CentOS, i concetti sono identici — cambiano solo i comandi.
10 Step Hardening Linux Ubuntu/Debian — CIS Benchmark
SSH key-only authentication
PasswordAuthentication no, PubkeyAuthentication yes. Le password si bucano con brute force; le chiavi SSH no.
Configura fail2ban
bantime=3600, findtime=600, maxretry=5. Blocca automaticamente gli IP che tentano brute force. Attivo su SSH e servizi web.
UFW (Uncomplicated Firewall)
ufw default deny incoming, poi ufw allow solo porte necessarie (22/SSH, 443/HTTPS). Mai porte aperte per comodita.
Unattended-upgrades attivo
apt install unattended-upgrades, abilita per security updates. Le patch di sicurezza si installano da sole entro 24h.
Configura auditd
Traccia modifiche a /etc/passwd, /etc/shadow, /etc/sudoers. Log centralizzati. Prerequisito per compliance NIS2.
AppArmor in modalita enforcing
aa-enforce per tutti i profili. Limita cosa ogni processo puo fare. Su RHEL: SELinux enforcing.
Password GRUB
grub-mkpasswd-pbkdf2 per proteggere il bootloader. Impedisce boot da USB o modifica dei parametri di avvio.
Disabilita login root
PermitRootLogin no in sshd_config. Usa sudo con utenti nominali. Tracciabilita completa di chi fa cosa.
Applica CIS Benchmark Level 1
Usa il tool CIS-CAT Pro per verificare conformita. Punta a 95%+ compliance. Documenta le eccezioni giustificate.
Disabilita servizi non necessari
systemctl disable e mask per servizi come avahi-daemon, cups, bluetooth. Ogni servizio attivo e superficie di attacco.
Fonte: CIS Benchmark per Ubuntu 22.04 LTS e Debian 12. Per il patch management, leggi la voce dedicata nel nostro glossario.
Automazione con Ansible e GPO
L'hardening manuale non scala: se hai 10 server, non puoi passare 2 ore su ognuno ogni trimestre. La soluzione: automazione. Per Windows Server, le GPO (Group Policy Objects) permettono di applicare centinaia di configurazioni di sicurezza centralmente via Active Directory (nella nostra guida completa trovi come configurarla al meglio). Microsoft fornisce Security Baselines scaricabili che mappano direttamente sui CIS Benchmarks.
| Strumento | OS | Costo | Complessità |
|---|---|---|---|
| GPO + Security Baselines | Windows | Gratuito (incluso in AD) | Media |
| Ansible + CIS Roles | Linux + Windows | Gratuito (open source) | Media-Alta |
| CIS-CAT Pro | Multi-OS | Membership CIS (~2.000 €/anno) | Bassa |
| Microsoft Intune | Windows | Incluso in M365 Business Premium | Bassa |
Per Ansible, esistono role CIS già pronti su Ansible Galaxy che applicano automaticamente tutti i controlli CIS Benchmark Level 1 e 2. Un playbook ben scritto hardening 10 server Linux in 15 minuti. BullTech usa Ansible per l'hardening automatizzato dei server Linux dei clienti e GPO per Windows Server. L'hardening è parte integrante dei nostri servizi di cybersecurity a Milano.
Hardening a Confronto: Windows vs Linux vs Container Docker
Non tutti i server si hardenizzano allo stesso modo. Ecco un confronto pratico tra i tre ambienti che gestiamo più spesso nelle PMI lombarde.
| Aspetto | Windows Server | Linux (Ubuntu/Debian) | Container (Docker) |
|---|---|---|---|
| Livello hardening | OS + Active Directory + GPO | OS + SSH + servizi | Immagine + runtime + orchestratore |
| Strumenti principali | GPO, Security Baselines, CIS-CAT | Ansible, CIS-CAT, auditd, AppArmor | Docker Bench, Trivy, Falco, seccomp |
| Costo indicativo | da 290€/server | da 290€/server | da 490€/cluster |
| Complessita | Media (GUI + PowerShell) | Media-alta (CLI only) | Alta (multi-layer security) |
| Tempo medio CIS L1 | 3-4 ore | 2-3 ore | 4-6 ore (immagine + host) |
| Automazione | GPO centralizzate via AD | Ansible playbook riproducibile | Dockerfile + CI/CD pipeline |
| Rischio principale | RDP esposto, SMBv1, NTLM | SSH password, root login, porte aperte | Immagini non verificate, root container |
| CIS Benchmark disponibile | Si (Win Server 2022/2025) | Si (Ubuntu, Debian, RHEL) | Si (Docker CE, Kubernetes) |
Prezzi BullTech IVA esclusa. I container richiedono hardening sia dell'immagine sia dell'host sottostante. Per un preventivo: contattaci o chiama 039 5787 212.
Hardening Windows Server 2022/2025: Credential Guard e GPO Avanzate
Windows Server 2022 e 2025 introducono funzionalità di sicurezza che vanno abilitate esplicitamente. Credential Guard isola le credenziali NTLM e Kerberos in un ambiente virtualizzato (VBS — Virtualization Based Security), rendendo impossibile il furto di hash anche con accesso amministrativo. Per abilitarlo: Group Policy → Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security. Requisiti: CPU con SLAT, TPM 2.0, UEFI Secure Boot.
Altre configurazioni critiche per Windows Server 2025: abilitare HVCI (Hypervisor-Enforced Code Integrity) per bloccare driver non firmati, configurare Windows Defender Application Control (WDAC) per whitelist delle applicazioni autorizzate, e impostare Account Lockout Duration a 30 minuti con soglia di 5 tentativi. La cybersecurity aziendale parte dalla configurazione corretta dei server.
Hardening Linux Avanzato: SSH, fail2ban, UFW e Disabilitazione Root
Per i server Linux in produzione, l'hardening SSH è il primo passo critico. Configurazione raccomandata in /etc/ssh/sshd_config: PermitRootLogin no (impedisce il login diretto come root), PasswordAuthentication no (solo chiavi SSH), MaxAuthTries 3, ClientAliveInterval 300 (timeout 5 minuti), AllowUsers con lista esplicita degli utenti autorizzati.
fail2ban blocca automaticamente gli IP che tentano brute force: dopo 5 tentativi falliti in 10 minuti, l'IP viene bannato per 1 ora. Configurazione: bantime = 3600, findtime = 600, maxretry = 5. UFW (Uncomplicated Firewall): ufw default deny incoming, poi ufw allow solo per le porte necessarie (22/SSH, 443/HTTPS, porte applicative). Mai lasciare porte aperte “per comodità”.
Network Hardening: Segmentazione, VLAN e Regole Firewall
L'hardening non si ferma al server: la rete è il vettore di propagazione di ogni attacco. La segmentazione di rete divide l'infrastruttura in zone isolate: VLAN uffici (utenti standard), VLAN server (accesso limitato), VLAN OT/produzione (isolata, zero accesso da internet), VLAN management (switch, firewall, hypervisor — accessibile solo da IP autorizzati), VLAN guest (solo internet, zero accesso alla rete interna).
Le regole firewall tra VLAN seguono il principio deny all, allow specifico: il traffico tra VLAN è bloccato di default e viene aperto solo per i flussi necessari documentati. BullTech implementa la segmentazione con firewall WatchGuard e switch gestiti per oltre 200 aziende in Lombardia. Per le aziende manifatturiere bergamasche e lombarde, la separazione IT/OT è critica: un ransomware che entra dalla mail non deve raggiungere i PLC in reparto.
Hardening Checklist per PMI: 10 Azioni Immediate
Checklist Hardening Server PMI — CIS Benchmark Level 1
Disabilita servizi non necessari
Print Spooler, Fax, Browser, Remote Registry su server che non li usano
Applica tutte le patch di sicurezza
Windows Update + firmware server + driver. Zero patch arretrate.
Password policy via GPO
Minimo 14 caratteri, complessita obbligatoria, lockout dopo 5 tentativi, scadenza 90 giorni
Disabilita SMBv1 e TLS 1.0/1.1
PowerShell: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Abilita audit policy avanzate
Logon/logoff, accesso oggetti, modifiche policy, gestione account, eventi di sistema
Configura Windows Firewall
Blocca tutto in ingresso, consenti solo porte necessarie (RDP solo da IP interni)
Abilita Credential Guard
VBS + HVCI per proteggere credenziali NTLM e Kerberos (Windows Server 2022+)
Configura LAPS
Rotazione automatica password amministratore locale ogni 30 giorni
Crittografia disco con BitLocker
AES-256, recovery key in Active Directory, TPM obbligatorio
Documenta e testa
Ogni modifica documentata, snapshot prima, test applicazioni dopo, piano di rollback
Fonte: CIS Benchmarks v3.0 per Windows Server 2022 e Ubuntu 22.04 LTS. BullTech applica questa checklist su ogni server gestito.
Confronto Livelli di Hardening: Base, Intermedio, Avanzato
| Livello | Cosa include | Tempo (per server) | Costo indicativo | Per chi |
|---|---|---|---|---|
| Base (CIS L1) | Patch, password policy, disabilitazione servizi inutili, firewall | 2-4 ore | 500-1.000 € | Tutte le PMI |
| Intermedio (CIS L1+) | + Credential Guard, LAPS, BitLocker, audit avanzato, SSH hardening | 4-8 ore | 1.500-3.000 € | PMI con dati sensibili |
| Avanzato (CIS L2) | + WDAC, AppLocker, segmentazione rete, IDS/IPS, SIEM integration | 8-16 ore | 3.000-5.000 € | Finance, sanità, NIS2 |
BullTech ha eseguito hardening su oltre 500 server per PMI in Lombardia dal 2009. Il livello Base è incluso nei contratti MSP Professional; i livelli Intermedio e Avanzato sono servizi aggiuntivi con pricing dedicato.
L'hardening è una delle basi della strategia Zero Trust: ogni server viene trattato come potenzialmente compromesso e la configurazione limita al minimo i privilegi e le superfici di attacco. Se la tua azienda deve adeguarsi alla NIS2, l'hardening CIS è uno dei primi controlli che verranno verificati in audit — scopri come prepararti nella nostra guida all'audit di sicurezza informatica. Approfondisci anche la nostra guida al firewall aziendale per la protezione perimetrale e il servizio completo di sicurezza informatica aziendale BullTech. Per la gestione server completa (monitoraggio, patch, hardening incluso), consulta i nostri piani MSP. Per una visione completa della sicurezza, leggi la nostra guida al vulnerability assessment aziendale e all'hub cybersecurity BullTech.
Servizio Hardening Server BullTech: Prezzi e Pacchetti
BullTech offre il servizio di hardening server per PMI lombarde da 290€ per server singolo. Ecco i pacchetti disponibili:
| Pacchetto | Cosa include | Prezzo indicativo | Per chi |
|---|---|---|---|
| Hardening Base | CIS L1: patch, password policy, servizi, firewall Windows | da 290€/server | Tutte le PMI |
| Pacchetto 5+ Server | CIS L1 su 5+ server: assessment, hardening, documentazione completa | da 990€ totali | PMI con infrastruttura multi-server |
| Hardening Pro | CIS L1+: + Credential Guard, LAPS, BitLocker, audit avanzato, SSH | da 1.500€/server | PMI con dati sensibili |
| Audit Completo | Assessment + report gap vs CIS Benchmark + roadmap remediation | da 1.500€ | Pre-compliance NIS2/ISO |
| Hardening Enterprise | CIS L2: + WDAC, AppLocker, segmentazione, SIEM integration | da 3.000€/server | Finance, sanità, NIS2 |
| Manutenzione Trimestrale | Verifica policy, patch critique, ri-audit CIS, report | da 100€/server/mese | Clienti MSP BullTech |
| Hardening Ricorrente | Re-assessment semestrale + aggiornamento policy + report compliance | da 150€/server/semestre | NIS2 / ISO 27001 |
Prezzi IVA esclusa. L'hardening CIS L1 è incluso nei contratti MSP Professional ed Enterprise. Per un preventivo su misura, contattaci.
I tuoi server sono hardenizzati?
BullTech offre un assessment gratuito della configurazione di sicurezza dei tuoi server. Verifichiamo le policy, i servizi attivi, le patch mancanti e la conformità CIS. Chiamaci al 039 6099 023 o scrivici.
Hardening Server in 10 Step: Checklist Pratica 2026
Questa checklist è il punto di partenza operativo per qualsiasi server aziendale. Non è teoria: è quello che facciamo noi ogni volta che prendiamo in gestione un nuovo server. Puoi stamparla e usarla direttamente.
Checklist Hardening Server — 10 Step CIS Benchmark (Aprile 2026)
Inventario e rimozione servizi non necessari
Disabilita Print Spooler (se non è print server), Remote Registry, Fax, Browser. Ogni servizio attivo è una superficie di attacco.
Patch aggiornate (OS + firmware)
Windows Update + WSUS, aggiornamento firmware server (Dell iDRAC, HP iLO), driver critici. Zero vulnerabilità note irrisolte.
Password policy robusta via GPO
Min 14 caratteri, complessità, lockout dopo 5 tentativi, durata max 90 giorni. Abilita Microsoft LAPS per le password locali.
Disabilita protocolli legacy
SMBv1 (PowerShell: Set-SmbServerConfiguration -EnableSMB1Protocol $false), TLS 1.0/1.1, NTLMv1, LM authentication.
Audit policy avanzate
Abilita tutte le categorie: Logon, Object Access, Policy Change, Account Management, System Events. Log centralizzati su SIEM o syslog.
Firewall configurato correttamente
Default deny in ingresso, allow solo porte documentate. RDP solo da IP interni o via VPN. Mai RDP aperto su internet.
Credential Guard e VBS (Windows Server 2022+)
GPO → Computer Configuration → Administrative Templates → System → Device Guard. Protegge hash NTLM e Kerberos.
Crittografia disco (BitLocker/LUKS)
BitLocker con TPM 2.0 su Windows Server, LUKS su Linux. Recovery key salvata in Active Directory. AES-256.
Hardening SSH (solo per server Linux)
PermitRootLogin no, PasswordAuthentication no, MaxAuthTries 3, AllowUsers con lista esplicita, fail2ban attivo.
Snapshot, test e documentazione
Snapshot prima di ogni modifica. Test delle applicazioni dopo ogni gruppo di policy. Piano di rollback documentato. Audit trimestrale.
Fonte: CIS Benchmarks v3.0 Windows Server 2022, Ubuntu 22.04 LTS, RHEL 9. BullTech applica questa checklist su ogni server gestito in Lombardia.
CIS Benchmark vs NIST Cybersecurity Framework: Quale Usare?
Spesso ci chiedono: "devo seguire CIS o NIST?" La risposta è: dipende dall'obiettivo. CIS Benchmarks sono checklist operative specifiche per sistema operativo (Windows Server, Linux, VMware). NIST CSF è un framework strategico di governance della sicurezza. Per l'hardening tecnico dei server, CIS è lo standard di riferimento. Per la strategia complessiva di sicurezza aziendale (governance, risk, compliance), NIST CSF è il punto di partenza.
| Aspetto | CIS Benchmarks | NIST CSF 2.0 |
|---|---|---|
| Tipo | Checklist tecnica operativa | Framework strategico di governance |
| Granularità | Specifica (es. policy Windows Registry) | Alta (controlli organizzativi + tecnici) |
| Pubblico | Tecnici IT, sysadmin | CISO, management, auditor |
| Output | Configurazione sicura del sistema | Maturità complessiva della sicurezza |
| Aggiornamento | Frequente (ogni release OS) | Meno frequente (framework stabile) |
| Compliance NIS2 | Evidenza tecnica diretta | Framework di riferimento mappabile |
| Quando usarlo | Per hardening di server specifici | Per audit, gap analysis, strategia |
| Strumenti audit | CIS-CAT Pro (scanner automatico) | Autovalutazione, audit esterno |
BullTech usa CIS Benchmarks per l'hardening tecnico e mappa i controlli sul NIST CSF 2.0 per i clienti che devono dimostrare compliance NIS2 o ISO 27001.
Se stai valutando l'hardening come parte di un percorso di compliance, leggi anche la nostra guida su adeguamento NIS2 e il servizio di cybersecurity a Milano. Per la protezione perimetrale che complementa l'hardening dei server, vedi la guida al firewall aziendale. L'hardening dei server va sempre abbinato a un buon sistema EDR per il rilevamento delle minacce e a una VPN aziendale per proteggere gli accessi remoti — solo insieme formano una difesa completa.
Caso Studio: Hardening per una PMI Manifatturiera a Monza
Caso Reale — PMI Manifatturiera, 45 postazioni, 4 server
Un'azienda meccanica di Monza Brianza con 4 server Windows Server 2019 e 1 server Linux (database gestionale) ci ha contattato dopo un tentativo di ransomware bloccato dal firewall ma non dal server di posta interno. Situazione iniziale: SMBv1 attivo, password policy assente, audit disabilitato, RDP aperto su IP pubblico, nessun backup testato.
Intervento BullTech (2 settimane): hardening CIS Level 1 su tutti i server, Credential Guard abilitato, LAPS configurato, SSH hardened con fail2ban, segmentazione rete IT/OT con firewall WatchGuard, backup Veeam con replica off-site. Costo totale: 8.500€ una tantum + 400€/mese per manutenzione trimestrale.
Risultato dopo 6 mesi: zero incidenti di sicurezza, superamento audit NIS2 al primo tentativo, riduzione del 90% degli alert critici nel SIEM. Il cliente ha poi esteso l'hardening CIS Level 2 ai server con dati finanziari.
Approfondimenti Correlati
L'hardening è solo un tassello della sicurezza IT aziendale. Per una protezione completa, esplora anche:
- Servizi cybersecurity a Milano e Lombardia — protezione perimetrale e gestita per PMI
- Assistenza server aziendale — monitoraggio 24/7, patching e hardening incluso
- Firewall aziendale: guida completa — WatchGuard, regole, VLAN e segmentazione
- NIS2 scadenze 2026: calendario e obblighi — adeguamento compliance e tempistiche
- Contratti assistenza IT — SLA, pricing e hardening incluso nei piani MSP