{"id":536496,"date":"2025-10-03T07:28:16","date_gmt":"2025-10-03T07:28:16","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=536496"},"modified":"2025-10-03T07:28:16","modified_gmt":"2025-10-03T07:28:16","slug":"consigli-per-mps-sullo-scripting-per-lhardening-degli-endpoint-benchmark-cis-tramite-powershell","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/consigli-per-mps-sullo-scripting-per-lhardening-degli-endpoint-benchmark-cis-tramite-powershell\/","title":{"rendered":"Consigli per MSP sullo scripting per l&#8217;hardening degli endpoint: Benchmark CIS tramite PowerShell"},"content":{"rendered":"<p>Le <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/minacce-alla-sicurezza-informatica\/\">minacce alla sicurezza informatica<\/a> sono in continua evoluzione, pertanto i <a href=\"https:\/\/www.ninjaone.com\/it\/cos-e-un-msp\/\">provider di servizi gestiti (MSP)<\/a> e gli amministratori IT devono mantenere sicuri i loro endpoint per proteggere i clienti e le operazioni. In risposta, il Center for Internet Security (CIS) ha sviluppato i CIS Benchmarks, che definiscono gli standard per una maggiore <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-la-cybersecurity\/\">sicurezza informatica<\/a>. Tuttavia, l&#8217;applicazione delle loro raccomandazioni di configurazione pu\u00f2 richiedere molto tempo ed essere soggetta a errori.<\/p>\n<p>Per rendere molto pi\u00f9 semplice le attivit\u00e0 relative all&#8217;<strong>hardening degli endpoint<\/strong>\u00a0, prendi in considerazione la possibilit\u00e0 di utilizzare un approccio automatizzato. Continuate a leggere per scoprire come utilizzare gli script PowerShell con modifiche supplementari del registro, script CMD ed implementazioni dei Criteri di gruppo per proteggere i dispositivi nei tuoi sistemi.<\/p>\n<h2>Come automatizzare i CIS Benchmarks per proteggere gli endpoint degli MSP<\/h2>\n<p>Per gli ambienti Windows, gli MSP e i professionisti IT dovranno applicare centinaia di impostazioni di configurazione per soddisfare gli standard di settore stabiliti dai CIS Benchmarks, quindi non \u00e8 consigliabile applicare manualmente ciascuna di esse. Ecco alcuni esempi di come puoi utilizzare PowerShell per automatizzare queste configurazioni allineate al CIS, compresi altri workaround per esigenze e ambienti diversi.<\/p>\n<p>\ud83d\udccc\u00a0<strong>Prerequisiti<\/strong>:<\/p>\n<ul>\n<li>Windows 10 o 11 con edizione Pro o Enterprise<\/li>\n<li>Privilegi di amministratore<\/li>\n<li>Conoscenza dei benchmark CIS (livello 1 o 2)<\/li>\n<li>Opzionale: Accesso ad <a href=\"https:\/\/www.ninjaone.com\/it-hub\/gestione-degli-endpoint\/what-is-active-directory\/\">Active Directory<\/a>, Intune o NinjaOne<\/li>\n<\/ul>\n<p>\ud83d\udca1<strong>Suggerimento<\/strong>: Fai riferimento alla sezione\u00a0<a href=\"#things-to-look-out-for\"><em>Cose da tenere d&#8217;occhio<\/em><\/a>\u00a0prima di procedere.<\/p>\n<p>\ud83d\udccc <strong>Strategie di implementazione consigliate:<\/strong><\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center; vertical-align: middle;\">\n<p style=\"text-align: center;\"><strong>Clicca per scegliere un metodo<\/strong><\/p>\n<\/td>\n<td style=\"text-align: center;\"><strong>\ud83d\udcbb<\/strong><\/p>\n<p><strong>Pi\u00f9 adatto per utenti individuali<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>\ud83d\udcbb\ud83d\udcbb\ud83d\udcbb<\/strong><\/p>\n<p><strong>Pi\u00f9 adatto per ambienti enterprise<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-1\"><strong>Metodo 1: Uso di PowerShell per applicare le impostazioni dei CIS Benchmarks<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-2\"><strong>Metodo 2: Utilizzo dell&#8217;Editor del Registro di sistema per l&#8217;applicazione della configurazione<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<td style=\"text-align: center;\"><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-3\"><strong>Metodo 3: Utilizzo di CMD per le modifiche di sistema e la convalida<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<td style=\"text-align: center;\"><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-4\"><strong>Metodo 4: Uso dei Criteri di gruppo (GPO) per centralizzare l&#8217;applicazione<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3 id=\"method-1\">Metodo 1: Uso di PowerShell per applicare le impostazioni dei CIS Benchmarks<\/h3>\n<p><a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/gestione-degli-endpoint\/cos-e-powershell\/\">PowerShell<\/a>\u00a0pu\u00f2 automatizzare direttamente i criteri di sicurezza locali, i servizi, le impostazioni di audit e le configurazioni di sistema tramite script. Pertanto, pu\u00f2 facilmente applicare centinaia di controlli CIS e creare moduli ripetibili per la distribuzione in massa. Di seguito sono riportati alcuni script PowerShell legati ai CIS Benchmarks che puoi combinare in moduli o utilizzare in ambito\u00a0<a href=\"https:\/\/learn.microsoft.com\/en-us\/powershell\/dsc\/getting-started\/wingettingstarted?view=dsc-1.1\" target=\"_blank\" rel=\"noopener\">DSC (Desired State Configuration)<\/a>\u00a0per una distribuzione ripetibile.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso<\/strong>:<\/p>\n<ul>\n<li>Automatizzazione dell&#8217;hardening per l&#8217;onboarding di nuovi dispositivi<\/li>\n<li>Distribuzione rapida dei controlli di sicurezza agli endpoint in ambienti non di dominio<\/li>\n<\/ul>\n<p><strong>\ud83d\udccc Prerequisiti<\/strong>:<\/p>\n<ul>\n<li>PowerShell 5.1 o versioni successive (<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/verificare-la-versione-di-powershell\/\">verifica la tua versione di PowerShell<\/a>)<\/li>\n<li>Privilegi di amministratore<\/li>\n<\/ul>\n<p>Esempi di script:<\/p>\n<ol>\n<li>Per disabilitare il protocollo legacy SMBv1 (e quindi impedire lo sfruttamento delle vulnerabilit\u00e0 legacy SMB)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart<\/strong><\/p>\n<ol start=\"2\">\n<li>Per disabilitare gli account guest (e quindi ridurre il rischio di accesso non autorizzato)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Set-LocalUser -Name &#8220;Guest&#8221; -Enabled $false<\/strong><\/p>\n<ol start=\"3\">\n<li>Per applicare criteri di complessit\u00e0 delle password (modificando e riapplicando i criteri di sicurezza locali)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>secedit \/export \/cfg c:\\secpol.cfg <\/strong><strong>(gc c:\\secpol.cfg).replace<br \/>\n(&#8220;PasswordComplexity = 0&#8243;,&#8221;PasswordComplexity = 1&#8221;) | Set-Content c:\\secpol.cfg<br \/>\n<\/strong><strong>secedit \/configure \/db c:\\windows\\security\\local.sdb \/cfg c:\\secpol.cfg \/areas SECURITYPOLICY<\/strong><\/p>\n<ol start=\"4\">\n<li>Per abilitare il logging di audit (e garantire che vengano tracciati i tentativi di accesso riusciti e quelli falliti)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>auditpol \/set \/subcategory:&#8221;Logon&#8221; \/success:enable \/failure:enable<\/strong><\/p>\n<h3 id=\"method-2\">Metodo 2: Utilizzo dell&#8217;Editor del Registro di sistema per l&#8217;applicazione della configurazione<\/h3>\n<p>Per un hardening pi\u00f9 preciso, puoi modificare direttamente il\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cos-e-il-registro-di-sistema-di-windows\/\">registro di Windows<\/a>. Molti controlli CIS corrispondono direttamente a chiavi di registro specifiche, per cui \u00e8 possibile anche automatizzare le modifiche al registro. Di seguito sono riportate le modifiche del registro che possono essere applicate tramite file .reg o PowerShell (Set-ItemProperty), oppure distribuite tramite NinjaOne o GPO.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso<\/strong>:<\/p>\n<ul>\n<li>Applicazione di impostazioni non disponibili nei Criteri di gruppo<\/li>\n<li>Backstopping dell&#8217;hardening basato su GPO con applicazioni locali<\/li>\n<\/ul>\n<p><strong>\ud83d\udccc Prerequisiti<\/strong>: Accesso da amministratore agli endpoint di destinazione<\/p>\n<p>Esempio di modifiche al registro:<\/p>\n<ol>\n<li>Per disabilitare l&#8217;esecuzione automatica di Windows (per ridurre i rischi di esecuzione di malware via USB)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\<br \/>\nCurrentVersion\\Policies\\Explorer] <\/strong><strong>&#8220;NoDriveTypeAutoRun&#8221;=dword:000000ff<\/strong><\/p>\n<ol start=\"2\">\n<li>Per limitare l&#8217;enumerazione anonima del SID (e impedire le attivit\u00e0 di indagine sugli account utente per scoprirne le vulnerabilit\u00e0)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\<br \/>\nControl\\Lsa] <\/strong><strong>&#8220;RestrictAnonymousSAM&#8221;=dword:00000001<\/strong><\/p>\n<h3 id=\"method-3\">Metodo 3: Utilizzo di CMD per le modifiche di sistema e la convalida<\/h3>\n<p>Lo scripting CMD \u00e8 ideale per i sistemi legacy e per le modifiche rapide al sistema. \u00c8 anche utile per convalidare le configurazioni in ambienti vecchi che potrebbero non avere PowerShell o strumenti moderni. Ecco alcuni script CMD che possono essere concatenati con i comandi taskkill, net stop o sc config per rendere un migliore hardening.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso<\/strong>:<\/p>\n<ul>\n<li>Protezione dei sistemi offline<\/li>\n<li>Esecuzione di attivit\u00e0 di ripristino rapido durante le chiamate di assistenza o le sessioni remote<\/li>\n<\/ul>\n<p><strong>\ud83d\udccc Prerequisiti<\/strong>:<\/p>\n<ul>\n<li>Accesso CMD<\/li>\n<li>Privilegi di amministratore<\/li>\n<\/ul>\n<p>Esempi di comandi:<\/p>\n<ol>\n<li>Per disabilitare l&#8217;assistenza remota (e ridurre la superficie di attacco)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>reg add &#8220;HKLM\\SYSTEM\\CurrentControlSet\\Control\\Remote Assistance&#8221; \/v fAllowToGetHelp \/t REG_DWORD \/d 0 \/f<\/strong><\/p>\n<ol start=\"2\">\n<li>Per disabilitare NetBIOS su <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/accesso-remoto\/cos-e-il-trasmission-control-protocol-tcp\/\">TCP\/IP<\/a> (e ridurre i rischi di movimento laterale)<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>wmic nicconfig where &#8220;IPEnabled=true&#8221; call SetTcpipNetbios 2<\/strong><\/p>\n<ol start=\"3\">\n<li>Per esportare la configurazione di sicurezza corrente per verifiche o backup<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>secedit \/export \/cfg C:\\cfg.txt<\/strong><\/p>\n<h3 id=\"method-4\">Metodo 4: Uso dei Criteri di gruppo (GPO) per centralizzare l&#8217;applicazione<\/h3>\n<p>Gli MSP possono anche utilizzare GPO per centralizzare la configurazione di centinaia di impostazioni CIS su sistemi collegati al dominio. \u00c8 l&#8217;approccio pi\u00f9 scalabile negli ambienti\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/gestione-degli-endpoint\/what-is-active-directory\/\">Active Directory<\/a>\u00a0.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso<\/strong>:<\/p>\n<ul>\n<li>Mantenere una linea di base sicura sulle reti dei clienti<\/li>\n<li>Applicazione dei controlli CIS di livello 2 ad alta sicurezza<\/li>\n<li>Gestione di ambienti ibridi insieme a Intune\/NinjaOne<\/li>\n<\/ul>\n<p><strong>\ud83d\udccc Prerequisiti<\/strong>:<\/p>\n<ul>\n<li>Accesso alla <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/console-di-gestione-dei-criteri-di-gruppo\/\">Console di gestione dei criteri di gruppo (GPMC)<\/a><\/li>\n<li>Un ambiente Active Directory<\/li>\n<li>Privilegi amministrativi<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol>\n<li>Apri la Group Policy Management Console (GPMC) su un domain controller o su un sistema di gestione. Premi la combinazione di tasti\u00a0<strong>Windows + R<\/strong>, digita <strong>gpmc.msc<\/strong> e premi\u00a0<strong>Invio<\/strong>.<\/li>\n<li>Crea o modificare un GPO che abbia come destinazione la tua linea di base di sicurezza.<\/li>\n<li>Configura i criteri in base seguendo questo percorso: <strong>Configurazione del computer &gt; Impostazioni di Windows &gt; Impostazioni di sicurezza<\/strong><\/li>\n<li>Alcuni criteri rilevanti per il CIS da configurare:\n<ul style=\"list-style-type: disc;\">\n<li>Criterio della password (in Criteri account): Applica la complessit\u00e0, la scadenza e la cronologia<\/li>\n<li>Assegnazione dei diritti utente (in Criteri locali): Impedisci il &#8220;Log on locale&#8221; e nega l&#8217;accesso<\/li>\n<li>Opzioni di sicurezza: Disabilita le risposte LM e l&#8217;accesso anonimo<\/li>\n<li>Criteri di audit: Abilita il logging avanzato<\/li>\n<li>Impostazioni di Windows Defender e firewall: Standardizza la protezione<\/li>\n<\/ul>\n<\/li>\n<li>Esegui\u00a0<strong>gpupdate \/force<\/strong>\u00a0in un prompt dei comandi elevato sui computer client per applicare il criterio.<\/li>\n<li>Opzionale: Utilizza i file di importazione di Microsoft Security Compliance Toolkit o CIS GPO per avviare la configurazione.<\/li>\n<\/ol>\n<h2 id=\"things-to-look-out-for\">\u26a0\ufe0f Cose da tenere d&#8217;occhio<\/h2>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Rischi<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Potenziali conseguenze<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Possibilit\u00e0 di tornare alla configurazione precedente<\/strong><\/td>\n<\/tr>\n<tr>\n<td>Effetti involontari dello script dovuti a errori di battitura o di logica<\/td>\n<td>\n<ul>\n<li>Corruzione del registro<\/li>\n<li>Servizi eliminati<\/li>\n<li>Autorizzazioni errate applicate su larga scala<\/li>\n<\/ul>\n<\/td>\n<td>\n<ul>\n<li>Conserva i backup delle configurazioni originali e dei file .reg esportati.<\/li>\n<li>Crea sempre un punto di ripristino utilizzando l&#8217;\u00a0<a href=\"https:\/\/support.microsoft.com\/en-us\/windows\/system-restore-a5ae3ed9-07c4-fd56-45ee-096777ecd14e\" target=\"_blank\" rel=\"noopener\">utilit\u00e0 di ripristino del sistema<\/a>.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>Hardening eccessivo tramite GPO o PowerShell (per esempio, con la disabilitazione di servizi necessari)<\/td>\n<td>Interruzione di applicazioni critiche per l&#8217;azienda o di strumenti remoti<\/td>\n<td>\n<ul>\n<li>Effettua sempre test in una OU di staging prima della distribuzione ampia.<\/li>\n<li>Riabilita i servizi tramite lo script di ripristino o l&#8217;accesso da amministratore locale.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>Utenti legittimi bloccati tramite criteri di accesso troppo restrittivi<\/td>\n<td>Gli account utente e gli amministratori possono essere bloccati a causa di tentativi di accesso falliti o di regole di password troppo rigide<\/td>\n<td>\n<ul>\n<li>Avvia la <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/gestione-degli-endpoint\/cos-e-la-modalita-provvisoria\/\">modalit\u00e0 provvisoria<\/a> per ripristinare i criteri.<\/li>\n<li>Utilizza account di recupero con esclusioni di criteri separate.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Che cos&#8217;\u00e8 un benchmark CIS?<\/h2>\n<p>I CIS Benchmarks sono una serie di best practice prescrittive per la sicurezza dei sistemi e dei dati IT. Offrono indicazioni sulla riduzione delle vulnerabilit\u00e0 e sull&#8217;hardening delle configurazioni di sistema. Inoltre, questi standard sono:<\/p>\n<ul>\n<li>Sviluppati da esperti, da professionisti della cybersecurity a fornitori ed esperti in materia<\/li>\n<li>Applicabili a un&#8217;ampia gamma di sistemi, tra cui Windows, Linux, macOS, dispositivi di rete, browser e piattaforme cloud<\/li>\n<li>Sono accompagnati da impostazioni di configurazione dettagliate con i valori consigliati, le motivazioni e le fasi di correzione<\/li>\n<li>In generale servono per gestire:\n<ol style=\"list-style-type: lower-alpha;\">\n<li>Autorizzazioni degli utenti e criteri di audit<\/li>\n<li>Criteri di blocco degli account e delle password<\/li>\n<li>Controlli <a href=\"https:\/\/www.ninjaone.com\/it-hub\/sicurezza-degli-endpoint\/what-is-smb-server-message-block\/\">SMB<\/a>, <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-remote-desktop-protocol-rdp\/\">RDP<\/a> e accesso remoto<\/li>\n<li>Disabilitazione di servizi e funzioni<\/li>\n<li>Hardening di Windows Defender e firewall<\/li>\n<\/ol>\n<\/li>\n<li>E sono divisi in due livelli:\n<ol style=\"list-style-type: lower-alpha;\">\n<li>Livello 1: Sicurezza di base adatta a sistemi di uso generale e incentrata sul minimo impatto per l&#8217;utente.<\/li>\n<li>Livello 2: Hardening avanzato per ambienti ad alta sicurezza, che pu\u00f2 avere un impatto sull&#8217;usabilit\u00e0 o sulla funzionalit\u00e0<\/li>\n<\/ol>\n<\/li>\n<li>Sono inoltre allineati a standard come <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/conformita-hipaa\/\">HIPAA<\/a>, NIST, PCI-DSS e ISO 27001<\/li>\n<li>Verificati regolarmente per riflettere le minacce, le vulnerabilit\u00e0 e gli aggiornamenti della piattaforma<\/li>\n<li>Sono accessibili al pubblico all&#8217;indirizzo\u00a0<a href=\"http:\/\/www.cisecurity.org\/cis-benchmarks\" target=\"_blank\" rel=\"noopener\">www.cisecurity.org\/cis-benchmarks<\/a><\/li>\n<\/ul>\n<p>L&#8217;adozione di queste raccomandazioni pu\u00f2 aiutare a definire le linee guida di sicurezza, a minimizzare i rischi e a dimostrare che tutte le parti coinvolte conducano la due diligence necessaria.<\/p>\n<h2>Ulteriori considerazioni per gli MSP che decidono di implementare i benchmark CIS<\/h2>\n<p>L&#8217;automazione dei CIS Benchmark va oltre la semplice esecuzione di script o l&#8217;applicazione di GPO. Se gli MSP e i team IT vogliono rafforzare la sicurezza degli endpoint, devono considerare alcuni fattori ambientali, di conformit\u00e0 e operativi per evitare problemi.<\/p>\n<ul>\n<li>Test prima della distribuzione: I benchmark CIS possono alterare in modo significativo il comportamento del sistema. Gli script non testati possono disabilitare servizi necessari o limitare l&#8217;attivit\u00e0 di utenti legittimi, quindi testali sempre in ambienti non di produzione.<\/li>\n<li>Selezione del livello di benchmark: Il livello 1 si concentra sull&#8217;hardening essenziale senza compromettere l&#8217;usabilit\u00e0, quindi \u00e8 adatto alla maggior parte degli ambienti aziendali. Il livello 2, invece, \u00e8 destinato ai sistemi ad alta sicurezza. Pertanto, un&#8217;applicazione pi\u00f9 rigorosa potrebbe compromettere l&#8217;esperienza dell&#8217;utente o la funzionalit\u00e0 dell&#8217;app.<\/li>\n<li>Modelli di riferimento: Microsoft fornisce GPO di riferimento per la sicurezza che possono sovrapporsi ai benchmark CIS. Anche se possono essere utili, questi modelli non sono sostitutivi a tutti gli effetti. Opta sempre per il CIS come standard principale quando \u00e8 richiesta una conformit\u00e0 rigorosa.<\/li>\n<li>Tracce di audit: La registrazione di tutte le modifiche garantisce la tracciabilit\u00e0 e la conformit\u00e0 quando i responsabili degli audit o i team di sicurezza richiedono prove degli script applicati e delle voci di registro modificate.<\/li>\n<\/ul>\n<h2>Risoluzione dei problemi<\/h2>\n<h3>Errori negli script PowerShell<\/h3>\n<p>Il criterio di esecuzione potrebbe essere troppo restrittivo, oppure gli script potrebbero essere bloccati dalle impostazioni del sistema o dell&#8217;antivirus. Controllare il criterio di esecuzione corrente con questo comando:<\/p>\n<p style=\"padding-left: 80px;\"><strong>Get-ExecutionPolicy -List<\/strong><\/p>\n<p>Se necessario, impostalo su RemoteSigned utilizzando questo comando:<\/p>\n<p style=\"padding-left: 40px;\"><strong>Set-ExecutionPolicy RemoteSigned -Scope LocalMachine<\/strong><\/p>\n<p>In questo modo consentirai l&#8217;esecuzione di script locali, mentre per quelli remoti saranno richieste firme. Dovresti anche verificare la presenza di soluzioni AV o di protezione degli endpoint in grado di bloccare l&#8217;esecuzione di script, come Defender o CrowdStrike.<\/p>\n<h3>Le impostazioni GPO non vengono applicate<\/h3>\n<p>Questo pu\u00f2 accadere se l&#8217;endpoint non fa parte dell&#8217;Unit\u00e0 Organizzativa (OU) corretta, oppure se i filtri WMI o di sicurezza impediscono l&#8217;applicazione dei criteri. Verifica che l&#8217;impostazione sia applicata al posizionamento corretto dell&#8217;OU del dispositivo in Active Directory Users and Computers. Dovresti anche convalidare i filtri WMI sulla GPO per assicurarti che il sistema sia idoneo.<\/p>\n<h3>Impostazioni in conflitto tra loro<\/h3>\n<p>I Criteri di gruppo possono sovrascrivere le impostazioni locali applicate tramite PowerShell o il registro di sistema al ciclo di aggiornamento successivo. Assicurati di definire la gerarchia di configurazione. Utilizza PowerShell o il registro per la prima distribuzione, quindi passa ai GPO per l&#8217;applicazione persistente.<\/p>\n<h3>Errori nei log di sicurezza<\/h3>\n<p>Le impostazioni dei log di audit possono appesantire i registri se i log sono troppi o troppo pesanti. Puoi regolare con precisione i log concentrandoti su categorie critiche, come gli eventi di accesso, l&#8217;uso dei privilegi, l&#8217;integrit\u00e0 del sistema e la gestione degli account. Pu\u00f2 anche essere utile stabilire limiti di conservazione e di dimensioni.<\/p>\n<h2>Servizi NinjaOne che possono contribuire a rafforzare l&#8217;applicazione dei CIS Benchmarks<\/h2>\n<p>NinjaOne pu\u00f2 migliorare la scalabilit\u00e0 e l&#8217;efficacia dell&#8217;implementazione dei CIS Benchmarks fornendo agli MSP potenti funzionalit\u00e0 di automazione, monitoraggio e reporting.<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Servizio NinjaOne<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Come pu\u00f2 aiutare<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Caso d&#8217;uso ideale<\/strong><\/td>\n<\/tr>\n<tr>\n<td>Distribuzione degli script<\/td>\n<td>Esecuzione remota di script PowerShell o CMD su pi\u00f9 dispositivi per l&#8217;hardening automatico<\/td>\n<td>Implementazione iniziale dei controlli CIS, come la disattivazione di SMBv1 o l&#8217;impostazione dei criteri di audit<\/td>\n<\/tr>\n<tr>\n<td>Modelli di criterio<\/td>\n<td>Distribuzione di modelli di configurazione riutilizzabili che includono modifiche al registro e impostazioni dei servizi<\/td>\n<td>Standardizzazione delle linee di base della sicurezza su pi\u00f9 client o tipi di dispositivi<\/td>\n<\/tr>\n<tr>\n<td>Report di audit<\/td>\n<td>Generazione di report di conformit\u00e0 e configurazione che mostrano quali dispositivi sono allineati<\/td>\n<td>Dimostrare l&#8217;aderenza al CIS durante gli audit o le verifiche dei clienti<\/td>\n<\/tr>\n<tr>\n<td>Motore di automazione<\/td>\n<td>Pianificare script e criteri da eseguire automaticamente durante l&#8217;onboarding o periodicamente<\/td>\n<td>Applicazione dei controlli CIS agli endpoint nuovi o reimpostati senza alcun intervento manuale<\/td>\n<\/tr>\n<tr>\n<td>Sistema di avvisi<\/td>\n<td>Ricevere una notifica quando le impostazioni relative al CIS sono mancanti, erroneamente configurate o modificate<\/td>\n<td>Monitoraggio delle deviazioni di configurazione o delle modifiche non autorizzate<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Semplificare l&#8217;hardening attraverso l&#8217;automazione intelligente<\/h2>\n<p>L&#8217;implementazione dei benchmark CIS pu\u00f2 essere un processo lungo per gli MSP e i professionisti IT se eseguito manualmente. Pertanto, l&#8217;automazione tramite scripting PowerShell, modifiche al registro di sistema, strumenti a riga di comando e Criteri di gruppo dovrebbe contribuire a garantire la coerenza dell&#8217;applicazione. Queste modalit\u00e0 dovrebbero migliorare la sicurezza degli endpoint e ridurre i rischi di configurazione errata.<\/p>\n<p>Argomenti correlati:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/guida-hardening-dei-sistemi\/\">Guida completa all&#8217;hardening dei sistemi [Elenco di controllo]<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/fasi-processo-protezione-avanzata-server\/\">9 fasi essenziali del processo di hardening dei server<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/perche-investire-in-endpoint-hardening-e-automazione\/\">Perch\u00e9 le organizzazioni dovrebbero investire nell&#8217;automazione e nell&#8217;hardening degli endpoint?<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-la-sicurezza-degli-endpoint-e-come-funziona\/\">Cos&#8217;\u00e8 la sicurezza degli endpoint e come funziona?<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/iniziare-con-fondamenti-della-sicurezza-e-costruire-da-li\/\">Iniziare con i fondamenti della sicurezza degli endpoint e costruire su di essi<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Le minacce alla sicurezza informatica sono in continua evoluzione, pertanto i provider di servizi gestiti (MSP) e gli amministratori IT devono mantenere sicuri i loro endpoint per proteggere i clienti e le operazioni. In risposta, il Center for Internet Security (CIS) ha sviluppato i CIS Benchmarks, che definiscono gli standard per una maggiore sicurezza informatica. [&hellip;]<\/p>\n","protected":false},"author":222,"featured_media":532608,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4354],"tags":[],"class_list":["post-536496","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operazioni-it"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/536496","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/222"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=536496"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/536496\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/532608"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=536496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=536496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=536496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}