diff --git a/winserver/021-hardening.md b/winserver/021-hardening.md
new file mode 100644
index 0000000..8bccea1
--- /dev/null
+++ b/winserver/021-hardening.md
@@ -0,0 +1,23 @@
+# Hardening AD
+
+## Password Policy
+
+A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.
+
+![password-policy](asset/img/password-policy.png)
+
+La password policy definisce come devono essere gestite le password a livello di dominio. Di seguito sono riportate le impostazioni consigliate per garantire un adeguato livello di sicurezza:
+
+- Lunghezza minima di 12 caratteri
+- Requisiti di complessità: attivare l’opzione che impone l’utilizzo di lettere maiuscole e minuscole, numeri e caratteri speciali
+
+## Account Lockout Policy
+
+La policy di blocco degli account è disabilitata di default e serve a impedire attacchi di tipo brute-force. Questa policy prevede che, dopo un numero definito di tentativi errati, l'account venga bloccato per un periodo stabilito e possa essere sbloccato solo da un amministratore.
+
+Si possono configurare i seguenti parametri:
+
+- Numero di tentativi consentiti prima del blocco
+- Durata del blocco
+
+![account-lockout](asset/img/account-lockout.png)
diff --git a/winserver/asset/img/account-lockout.png b/winserver/asset/img/account-lockout.png
new file mode 100644
index 0000000..6fa040e
Binary files /dev/null and b/winserver/asset/img/account-lockout.png differ
diff --git a/winserver/asset/img/password-policy.png b/winserver/asset/img/password-policy.png
new file mode 100644
index 0000000..c85f89d
Binary files /dev/null and b/winserver/asset/img/password-policy.png differ