Rafforzare il proprio OS: Windows, macOS, Linux

Un CISO mi trasmette la baseline di rafforzamento del suo parco: 220 voci, validata in comitato, firmata dalla Direzione IT, distribuita tramite GPO. Voce 1, disattivare SMBv1. Voce 47, disattivare PowerShell v2. Voce 89, fissare il tempo di sospensione dello schermo. Tutto è giusto. Salvo che il direttore generale usa il suo account amministratore locale quotidianamente, che la sua password è Angers2024!, e che la macchina non ha ricevuto un aggiornamento di sicurezza da cinque mesi perché i riavvii lo disturbavano in videochiamata. La checklist era perfetta. La postazione, aperta come una porta di un fienile.

La trappola abituale

Il rafforzamento di un sistema operativo, nella maggior parte delle organizzazioni, è diventato un esercizio di conformità documentale. Si scarica un benchmark, si spuntano caselle, si produce un rapporto, si archivia. Il rapporto dice che la postazione è rafforzata. La postazione, lei, non ha capito nulla della minaccia che la mira realmente. È esattamente la stessa trappola della conformitàAgenzia italiana per la cybersicurezza, autorità nazionale di riferimento.Vedi il glossario senza modello di minaccia: un teatro della sicurezza che consuma budget e produce falsa rassicurazione.

I CIS Benchmark, le baseline Microsoft, le guide di configurazione dell’ACN sono documenti utili. Censiscono un insieme di impostazioni note per essere migliori dei valori di default. Non sono modelli di minaccia, e non pretendono di esserlo. Un CIS Benchmark Windows conta diverse centinaia di raccomandazioni. Applicarle tutte senza riflettere equivale a rafforzare uniformemente punti la cui importanza varia di un fattore cento. Disattivare SMBv1 su un laptop che non fa mai condivisione di rete non cambia nulla alla Sua esposizione. Lavorare in account amministratore tutti i giorni cambia tutto. Le due misure hanno lo stesso peso nel rapporto di conformità. Non hanno lo stesso peso contro un attaccante.

La seconda trappola è quella della checklist gigante percepita come una garanzia di serietà. Più la lista è lunga, più sembra rigorosa, e più è in realtà ingestibile. Una baseline di 220 voci che nessuno mantiene si degrada in qualche mese: un’eccezione concessa qui, un’impostazione rotta da un aggiornamento là, una postazione reinstallata senza il profilo. Dopo un anno, il rapporto mostra sempre 220 voci «conformi» mentre metà delle postazioni sono derivate. Una manciata di misure realmente applicate e verificate batte un’enciclopedia di impostazioni teoriche. Il rafforzamento non è un progetto che si finisce, è uno stato che si mantiene.

Modello di minaccia reale: contro cosa si rafforza davvero

Prima di allineare impostazioni, bisogna sapere cosa colpisce realmente le postazioni. Il modello di minaccia dominante non è l’attacco sofisticato da cinema. È l’opportunismo industrializzato: un malware generico recapitato tramite allegato o download trappola, che si esegue nel contesto dell’utente corrente e tenta di stabilire una persistenza. La quasi totalità delle compromissioni di postazione che si fanno il debrief rientrano in questo schema, e tre fatti lo caratterizzano.

Il vettore d’ingresso passa quasi sempre dall’utente. Allegato aperto, macro attivata, eseguibile scaricato da un sito falso, link di phishingAttacco di ingegneria sociale che spinge il bersaglio a fornire le proprie credenziali o eseguire codice.Vedi il glossario che serve un installer infetto. Il codice malevolo parte con i diritti della sessione aperta. Se questa sessione è amministratore, il malware lo è anch’esso istantaneamente: installa un ransomwareMalware che cifra i dati e chiede un riscatto, spesso preceduto da un'esfiltrazione.Vedi il glossario, disattiva l’antivirus, posa un rootkitMalware che si installa in profondità nell'OS per restare invisibile e persistente.Vedi il glossario, e la postazione è persa. Se la sessione è standard, lo stesso file trappola è confinato ai file personali dell’utente — fastidioso, riparabile, senza escalation verso il sistema.

L’attaccante medio sfrutta vulnerabilità già corrette. Secondo le analisi ricorrenti dei vettori d’attacco reali, l’enorme maggioranza delle compromissioni sfrutta falle per le quali una correzione esisteva da più di un mese. L’avversario ordinario non brucia uno 0-day su una postazione qualunque: scansiona le macchine in ritardo di patch ed entra dalla porta che l’editore ha già documentato e chiuso per chi aggiorna. Il ritardo di aggiornamento è, statisticamente, il primo fattore di compromissione.

La persistenza si nasconde in posizioni prevedibili. Un malware che vuole sopravvivere al riavvio si iscrive in meccanismi noti: chiavi Run del registro Windows, attività pianificate, servizi, LaunchAgents e LaunchDaemons su macOS, unit systemd e cron su Linux. E si installa in directory accessibili senza diritti elevati: %TEMP%, %APPDATA%, la cartella utente. Rafforzare efficacemente significa rendere queste posizioni e questi meccanismi inospitali, non recitare un benchmark.

L’approccio giusto: rafforzare per impatto, non per esaustività

La bascula pragmatica consiste nel classificare le misure per il loro effetto reale sul modello di minaccia di cui sopra, poi nell’applicare prima quelle che bloccano il maggior numero di scenari per il minor sforzo. Una decina di misure, trasversali o per OS, fanno l’essenziale del lavoro. Il resto è regolazione fine riservata ai profili che ne hanno bisogno.

Il basamento trasversale, valido sui tre OS

Account standard per il quotidiano, amministratore riservato alle installazioni. È la misura di rafforzamento più efficace e la meno applicata. Spezza netta l’escalation automatica del malware: un file trappola aperto in sessione standard non può installarsi nel sistema, disattivare le protezioni, né rendersi persistente alla scala della macchina. Su Windows, crei un account standard per lavorare e un account amministratore distinto per installare. Su macOS, stessa logica — un account standard lavora, le azioni di sistema richiedono una password amministratore puntuale. Su Linux, è già il default di ogni distribuzione seria; la trappola è romperlo concedendo un sudo permanente e largo.

Aggiornamenti automatici, senza eccezione né rinvio. Poiché il ritardo di patch è il primo fattore di compromissione, l’automazione è il controllo dal miglior rapporto sforzo/effetto. Windows Update in modalità automatica con finestra di riavvio imposta. macOS con installazione automatica degli aggiornamenti di sistema e applicativi spuntata. Linux con unattended-upgrades su Debian/Ubuntu o dnf-automatic su Fedora/RHEL, testati con --dry-run prima dell’attivazione. La regola culturale che conta: un riavvio in attesa non è negoziabile, nemmeno per un dirigente in videochiamata.

Cifratura del disco con segreto utente, non solo hardware. BitLockerSoluzione Microsoft di cifratura del disco integrata in Windows Pro/Enterprise.Vedi il glossario, FileVaultCifratura del disco integrata in macOS dalla versione OS X Lion.Vedi il glossario o LUKSStandard di cifratura del disco su Linux, generalmente tramite cryptsetup e dm-crypt.Vedi il glossario attivo non basta: ci vuole un PIN o una passphrase, non il solo sblocco tramite TPMChip crittografico saldato sulla scheda madre che memorizza chiavi e attesta l'integrità del boot.Vedi il glossario. Il dettaglio delle modalità, degli stati di sospensione e della gestione delle chiavi di recupero è oggetto di un articolo dedicato — è il complemento naturale del rafforzamento, e l’errore di deployment più frequente su questo punto è il BitLocker in modalità TPM da solo.

Blocco schermo rapido e avvio verificato. Blocco automatico sotto due minuti di inattività, sblocco tramite password o biometria — non solo una sospensione. Secure BootMeccanismo UEFI che verifica crittograficamente la catena di avvio.Vedi il glossario attivato nell’UEFI per impedire il caricamento di un bootloader o di un kernel non firmato. Queste due impostazioni costano zero e chiudono vettori d’accesso fisico comuni.

Windows: le impostazioni aggiuntive che contano

Al di là del basamento trasversale, Windows offre quattro leve a forte effetto che la maggior parte delle baseline annega in mezzo a centinaia di voci minori.

La prima sono le regole ASR (Attack Surface Reduction) di Windows Defender, largamente sotto-utilizzate mentre sono gratuite e distribuibili tramite GPO o Intune. Tre regole valgono immediatamente la loro attivazione: bloccare i processi figli lanciati dalle applicazioni Office (un Word che avvia PowerShell è quasi sempre un attacco), bloccare l’esecuzione di script offuscati, e bloccare il lancio di binari dalle cartelle temporanee e di download. Queste tre regole coprono da sole la catena d’infezione più comune: allegato, macro, script, payload in %TEMP%.

La seconda è il blocco delle macro Office non firmate. Nel Trust Center di ogni applicazione Office, selezioni «Disattiva tutte le macro tranne le macro firmate digitalmente». I documenti Word ed Excel trappola ricevuti via mail restano un vettore attivo, e la macro resta lo strumento prediletto delle campagne di massa perché si esegue senza installare alcunché. Microsoft blocca ormai di default le macro dei file provenienti da Internet, ma questa protezione si aggira e si disattiva: non ci conti da sola.

La terza è l’UAC impostato su «Notifica sempre». Sì, è più intrusivo dell’impostazione di default «Notifica solo quando le applicazioni tentano di modificare il sistema». E sì, è precisamente questo surplus di notifica che Le dà la possibilità di notare un’elevazione di privilegi che Lei non ha innescato.

La quarta, riservata alle postazioni sensibili sotto Windows Enterprise o Education, è l’allow-listing applicativo tramite AppLocker o Windows Defender Application Control. Il principio: lasciar girare solo gli eseguibili, script e DLL esplicitamente autorizzati. Il deployment si fa in due tempi — prima in modalità audit per due o tre settimane, che registra senza bloccare e permette di cartografare i falsi positivi e gli strumenti di lavoro legittimi, poi in modalità enforce una volta stabilizzata la lista. Saltare la tappa audit significa garantirsi un’ondata di ticket e un ritorno indietro precipitoso.

macOS: Gatekeeper, SIP e la cassetta degli attrezzi Objective-See

macOS arriva con un basamento di protezione solido, e l’essenziale del rafforzamento consiste nel non saboltarlo. Mantenga Gatekeeper in modalità stretta (App Store e sviluppatori identificati), l’impostazione di default da diverse versioni: rifiuta le applicazioni non firmate e non notarizzate. Il solo momento in cui si è tentati di aggirarlo è per installare un software dubbio recuperato su un forum — è esattamente il momento di non farlo.

Non disattivi mai SIP (System Integrity Protection), quali che siano i tutorial che lo reclamano «temporaneamente» per far funzionare tale utility. SIP protegge le directory di sistema da ogni modifica, anche da parte di root. È uno dei meccanismi che impedisce a un malware che ha ottenuto diritti elevati di incrostarsi durevolmente nel sistema. Un SIP disattivato e dimenticato trasforma un incidente minore in compromissione profonda.

Aggiunga poi la suite gratuita di Objective-See, mantenuta da Patrick Wardle, ex della NSA, che produce i migliori strumenti difensivi specifici per macOS. LuLu è un firewall applicativo che Le chiede se una nuova connessione uscente è legittima: taglia il «telefono a casa» di un malware che tentasse di raggiungere il suo server di comando. BlockBlock sorveglia in tempo reale i meccanismi di persistenza comuni — LaunchAgents, LaunchDaemons, cron — e allerta quando qualcosa tenta di installarvisi. KnockKnock stila l’inventario di tutto ciò che è configurato per eseguirsi all’avvio; lo lanci dopo ogni installazione di applicazione per vedere cosa è stato aggiunto a Sua insaputa.

Infine, per i profili realmente esposti ad attacchi mirati — giornalisti, dirigenti, attivisti —, il Lockdown Mode disattiva o restringe un insieme di funzionalità storicamente sfruttate dagli spyware di tipo Pegasus: compilazione JIT WebKit, anteprime di link nei Messaggi, connessioni cablate verso dispositivi sconosciuti quando il Mac è bloccato, certe API. Il costo ergonomico è reale — navigazione più lenta su certi siti, funzionalità in meno — e si giustifica solo per chi ha un vero profilo di bersaglio. Attivarlo «per ogni evenienza» su una postazione qualunque è attrito senza beneficio.

Linux: non sabotare ciò che protegge già

La sicurezza di una postazione Linux dipende fortemente dalla distribuzione, dall’ambiente desktop e da chi amministra la macchina. Il rafforzamento consiste prima di tutto nel non disattivare le protezioni attive di default.

Non disattivi né AppArmor (Debian/Ubuntu) né SELinux (RHEL/Fedora). Questi sistemi di controllo d’accesso obbligatorio confinano ogni processo a ciò di cui ha bisogno, e costituiscono una ragione maggiore della miglior resistenza di Linux agli exploit locali rispetto a molte configurazioni Windows. Il riflesso «disattivo SELinux perché blocca la mia applicazione» è un errore: la buona risposta è scrivere la politica adatta, non aprire tutto.

Riduca la durata di cache di sudo. Di default, sudo conserva i diritti una quindicina di minuti dopo l’autenticazione; su una postazione condivisa o esposta, riporti questo valore a qualche minuto, persino a zero con Defaults timestamp_timeout=0 in /etc/sudoers. E conceda sudo solo agli account che ne hanno un bisogno documentato, senza regola permissiva «tutto autorizzato senza password» che annulla l’interesse dell’account standard.

Verifichi infine che lo swap sia cifrato. Uno swap in chiaro può raccogliere frammenti di memoria — chiavi, segreti, dati decifrati — e conservarli su disco. Su una configurazione LVM-on-LUKS, dove tutto il gruppo di volumi è in un container LUKS, lo swap è protetto automaticamente; altrimenti, controlli con lsblk -f che la partizione di swap appaia bene come cifrata.

Cosa è performativo e non cambia nulla

Una parte del «rafforzamento» che si vede applicato non serve ad altro che a riempire un rapporto. Saper riconoscere queste misure permette di non dedicarvi tempo e di non credersene protetti.

Rinominare l’account amministratore. È security by obscurity allo stato puro. Un attaccante che ha un piede sulla macchina enumera gli account in due secondi, identificativo unico compreso. Ribattezzare «Administrator» in «MarioRossi» non ritarda nessuno e complica l’amministrazione legittima.

Disattivare completamente PowerShell «per la sicurezza». PowerShell è uno strumento di amministrazione legittimo e potente. Eliminarlo crea problemi operativi senza fermare gli attaccanti, che ripiegano su cmd.exe, WScript, o un binario di sistema dirottato. Il buon approccio non è la disattivazione ma il Constrained Language Mode, la registrazione dei blocchi di script (ScriptBlock Logging) e la firma degli script interni.

Disattivare il Bluetooth o il Wi-Fi per principio. Tagliare una radio di cui non si ha l’uso riduce marginalmente la superficie, ed è un’abitudine ragionevole. Non è una misura di sicurezza decisiva: un attaccante determinato con accesso fisico o di rete non sarà fermato dall’assenza di Bluetooth. Riponga questa azione nella casella «igiene» piuttosto che «protezione forte».

Cambiare la porta SSH o moltiplicare le impostazioni cosmetiche. Spostare SSH dalla porta 22 verso un’altra riduce il rumore degli scanner automatizzati nei log, nient’altro. La protezione viene dall’autenticazione tramite chiave, dalla disattivazione del login root e della password, non dal numero di porta. Confondere il silenzio nei log con un miglioramento di sicurezza è un errore classico.

Accumulare strumenti di sicurezza senza ridurre la superficie. Impilare antivirus, EDR, firewall terzi e utility di «pulizia» su una postazione dove l’utente resta amministratore significa trattare il sintomo lasciando la causa. Un malware lanciato con diritti elevati neutralizza questi strumenti prima che allertino. La rilevazione completa la riduzione di superficie; non la sostituisce mai.

Qubes OS: la compartimentazione, e per chi

Quando il profilo di minaccia è molto elevato, il rafforzamento classico raggiunge il suo limite: tutto vive nello stesso sistema, e una compromissione del browser può, concatenando exploit, raggiungere i documenti sensibili. Qubes OS risponde a questo problema con l’architettura. Costruito sull’hypervisor Xen, esegue ogni dominio d’uso in una macchina virtuale isolata: una VM per il browser, una per le e-mail, una per i documenti sensibili, una usa e getta per aprire un allegato dubbio. La compromissione di una VM non dà accesso alle altre.

È, sulla carta, la progettazione più solida per una postazione di lavoro. È anche la più esigente: curva di apprendimento reale, compatibilità hardware limitata (non tutti i laptop vanno bene), certe applicazioni difficili da integrare, prestazioni in calo. Qubes si giustifica per i giornalisti d’inchiesta, i ricercatori di sicurezza, o i profili a minaccia statale che hanno il tempo di investire nell’adozione — e che applicano già rigorosamente il basamento degli altri OS. Installarlo «perché è più sicuro» senza capire il modello di compartimentazione produce una falsa impressione di sicurezza e una vera perdita di produttività.

Cosa comporta concretamente

Errori che si vedono di continuo

• Lavorare in account amministratore quotidianamente. L’errore più semplice da correggere e il più diffuso: lo si ritrova sulla maggior parte delle postazioni auditate. Un solo file trappola aperto in sessione admin, e il malware eredita tutti i Suoi diritti senza chiedere nulla.
• Applicare un CIS Benchmark senza modello di minaccia. Disattivare SMBv1 su una postazione che non condivide nulla rassicura il rapporto e non cambia nulla all’esposizione. Capire perché ogni voce esiste vale più di spuntare tutto.
• Rinviare gli aggiornamenti «quando avrò tempo». In pratica, mai entro i 30 giorni. Il ritardo di patch è il primo fattore di compromissione, ben prima dell’assenza di impostazione esotica.
• Confondere la lunghezza della checklist con il livello di sicurezza. Una baseline di 220 voci mai mantenuta deriva in qualche mese. Dieci misure applicate e verificate battono un’enciclopedia teorica.
• Disattivare le protezioni «perché disturbano». SIP tagliato su macOS, UAC abbassato su Windows, SELinux disattivato su Linux, allerte Gatekeeper/SmartScreen ignorate per riflesso: ogni disattivazione riapre esattamente il vettore che il controllo bloccava.
• Credere che l’EDR sostituisca il rafforzamento. Un malware lanciato in amministratore neutralizza l’EDR prima che allerti. La rilevazione non sostituisce la riduzione di superficie; la completa.
• Fare security by obscurity. Rinominare l’account «Administrator», cambiare la porta SSH: un attaccante che ha un piede sulla macchina legge la configurazione in due secondi. Non ferma nessuno.

Checklist azionabile

• N1 Lavorare in account utente standard, account amministratore separato riservato alle installazioni
• N1 Attivare gli aggiornamenti automatici OS e applicazioni, riavvii non negoziabili
• N1 Cifrare il disco con PIN/passphrase (FileVault, BitLocker+PIN, LUKS), chiave di recupero fuori dal dispositivo
• N1 Blocco schermo automatico sotto 2 minuti e Secure Boot attivato nell'UEFI
• N2 Attivare il firewall OS e, su macOS, installare LuLu per controllare le connessioni uscenti
• N2 Bloccare le macro Office non firmate e attivare le regole ASR di Windows Defender
• N2 Adottare CIS Benchmark Level 1 come baseline, Level 2 per le postazioni delle funzioni sensibili
• N2 Misurare automaticamente la conformità del parco al livello target e seguire la deriva mensilmente
• N2 Ridurre gli account a diritti amministratore locale e auditare sudo/AppArmor/SELinux su Linux
• N3 Distribuire AppLocker o WDAC in allow-list (audit poi enforce) sulle postazioni Windows sensibili
• N3 Attivare Lockdown Mode e installare BlockBlock + KnockKnock per i profili a rischio mirato (macOS)
• N3 Valutare Qubes OS per i profili molto esposti che dispongono delle competenze tecniche

Per approfondire

I riferimenti del frontmatter inquadrano il rafforzamento senza ridurlo a conformità: i CIS Benchmark e le security baseline Microsoft danno i riferimenti Level 1/Level 2, le raccomandazioni dell’ACN completano lato configurazione di postazioni, e la suite Objective-See strumenta concretamente macOS. La documentazione Qubes OS chiarisce la scelta di un’architettura per compartimentazione per i profili molto esposti.

Il rafforzamento dell’OS ha senso solo articolato con il resto della catena della postazione. Il complemento immediato è La cifratura del disco, davvero?, che dettaglia gli stati di protezione e la gestione delle chiavi di recupero. Per l’autenticazione resistente al phishing che protegge gli account dietro l’OS, veda YubiKey e FIDO2. E per trasporre queste misure a una postazione che esce dal perimetro padroneggiato, legga Il laptop da viaggio.