Enable Windows Firewall logging for drop connection and enable audit log for RDP failed

 PS C:\WINDOWS\system32> Set-NetFirewallProfile -All -LogBlocked True -LogMaxSizeKilobytes 20480

>> # Enable logging for blocked (dropped) packets across all profiles

PS C:\WINDOWS\system32> auditpol /set /subcategory:"Logon" /success:enable /failure:enable

>> # Enable auditing for both successful and failed logon attempts

The command was successfully executed.

Check firewall log:

PS C:\WINDOWS\system32> Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log -Tail 20

Check RDP/Logon attempts

PS C:\WINDOWS\system32> Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} -MaxEvents 10 | Select-Object TimeCreated, Message | Format-List

>> # Find the last 10 failed RDP/Logon attempts

Enable Windows Firewall logging for drop connection and enable audit log for RDP failed

Windows 10 hardening by Microsoft Security Baseline

1. Download the Microsoft Security Compliance Toolkit 1.0 

 https://www.microsoft.com/en-us/download/details.aspx?id=55319 

2. Copy the LGPO.exe to the folder under script

2. Run Powershell command:

Get-ChildItem -Path "C:\Source\Windows-10-v22H2-Security-Baseline" -Recurse | Unblock-File

PowerShell.exe -ExecutionPolicy RemoteSigned -File .\Baseline-LocalInstall.ps1 -Win10NonDom

3. Reboot the machine

Reference:

Applying Microsoft Security Baselines | STIG and Microsoft Security Baseline-Based Hardening of a VMware Horizon on VxRail-Based VDI Environment | Dell Technologies Info Hub

https://infohub.delltechnologies.com/en-us/l/stig-and-microsoft-security-baseline-based-hardening-of-a-vmware-horizon-on-vxrail-based-vdi-environment/applying-microsoft-security-baselines/

Windows 10 hardening by Microsoft Security Baseline

Windows 10 hardening by HardeningKitty - CIS Benchmarks

 

    

Reference:

BEST WINDOWS HARDENING TOOLS | ConfigureDefender, HotCakeX, HardeningKitty - Setup Guides

https://www.youtube.com/watch?v=SoceWcFh4z0

Windows 10 hardening by HardeningKitty - CIS Benchmarks

自動化工具與指令碼 - 加固與稽核

• 如果您要加固 Windows 伺服器：首選 PowerSTIG (免費/開源) 或 ConfigOS (商業)。
• 如果您要進行掃描與稽核：首選 DISA SCC 或 OpenSCAP。
• 如果您在 Azure 雲端：直接使用 Microsoft Defender for Cloud，它內建了 NIST 與 STIG 的自動化監控儀表板。

核心自動化方案

• 針對 STIG/NIST：強烈建議使用 PowerSTIG (GitHub)。這是 Microsoft 工程師開發的 PowerShell 模組，能將複雜的 STIG 文件直接轉換為可執行的 DSC 代碼，非常適合大規模部署。
• 針對 CIS：可利用 Ansible Lockdown。它提供現成的 Playbooks，能自動將 Windows 或 Linux 加固至符合 CIS Benchmark 的狀態。
• 針對 PCI DSS/HIPAA：這兩者多為「合規框架」。建議使用 Microsoft Purview 合規性管理員，它會自動掃描您的 M365 與 Azure 設定，並根據 PCI/HIPAA 要求提供一鍵式的改善建議。

如果您追求最高安全性（政府級），請選擇 DISA STIG + PowerSTIG；如果您追求業界通用性（商用級），請選擇 CIS + Ansible。

中國的標準更強調「合規性」與「管理+技術」的雙重考核。

等級保護 2.0 (MLPS 2.0)

• 阿里雲加固基準：各大雲平台提供符合 MLPS 2.0 的自動化加固指南，例如「ACK 等保加固」會自動執行密碼複雜度、限制 root 權限、審計開啟等操作。
• OpenSCAP (中國適配)：在國產作業系統（如 Kylin 麒麟、UnionTech UOS）中，常用 OpenSCAP 載入針對等級保護或行業標準的 XML 設定檔來進行自動化加固。

• GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》：這是中國版的「加固清單基礎」，將系統分為一至五級。
• 加固重點：包含身份鑑別（強密碼、MFA）、存取控制（最小權限原則）、安全審計（日誌完整性）、入侵防範、惡意代碼防護及數據完整性。
• GB/T 25070-2019《信息安全技術 網絡安全等級保護設計技術要求》：指導如何在設計階段加入「可信驗證」等加固技術。

中國標準 (GB/T)	對應國際/美國標準	加固範圍
GB/T 22239 (等保 2.0)	NIST SP 800-53	系統、網絡、雲、IoT 等全維度加固
GB/T 18336 (CC)	ISO 15408 / Common Criteria	產品安全性設計認證
GB/T 35273 (隱私規範)	GDPR / NIST Privacy Framework	個人敏感數據保護與加密

自動化工具與指令碼 - 加固與稽核

Security Hardening Standard - 安全性加固標準對比摘要

 

標準名稱	適用對象	優點	缺點
Microsoft Baseline	一般企業	最佳的應用程式相容性，與 Windows 更新同步，易於部署。	安全性相對較寬鬆，僅涵蓋微軟產品。
CIS Benchmarks	金融、醫療、合規企業	業界公認中立且細緻，提供 L1/L2 分層，平衡安全與營運。	規則較多，可能需要針對特定業務軟體進行排除設定。
DISA STIG	政府、軍方、國防承包商	極致的安全性，針對國家級攻擊設計，強制執行高強度稽核。	設定極其繁雜，極易造成系統功能失效或應用程式崩潰。
NIST SP 800-53	美國聯邦機構、FedRAMP	全球最權威的安全性控制框架，邏輯嚴密，適合大型合規架構。	主要是「準則」而非「設定值」，需轉譯為具體指令。
PCI DSS	支付卡產業、電商、零售	專為保護持卡人數據設計，對防火牆與數據加密有明確要求。	範疇較窄（僅限支付環境），每年需進行嚴格的合規審查。
HIPAA	醫療保健、健康保險業	核心在於保護受保護健康資訊 (PHI) 的隱私與完整性。	規範較為籠統（如「合理防護」），需要配合技術標準實施。
USGCB	美國政府低風險設備	曾是聯邦桌面設備的統一基準，由 NIST、DISA 及微軟協作。	已逐漸被 DISA STIG 取代，部分較新版本系統已停止更新。

Security Hardening Standard - 安全性加固標準對比摘要

Microsoft Defender Hardening for Windows 11

Microsoft Defender Hardening:

Home:

PS C:\Windows\system32> Set-MpPreference -SignatureUpdateInterval 1

PS C:\Windows\system32> Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

PS C:\Windows\system32> Set-MpPreference -MAPSReporting Advanced -SubmitSamplesConsent SendSafeSamples -CloudBlockLevel High -CloudExtendedTimeout 50

PS C:\Windows\system32> Set-MpPreference -PUAProtection Enabled

PS C:\Windows\system32> Set-MpPreference -EnableNetworkProtection Enabled

MAPS、Cloud Protection 和 PUA 在家用版上是完全有效

Pro/Enterprise:

Able to add ASR Rule:

系統限制：ASR 規則在 Windows 10/11 專業版 (Pro) 上可部分運行，但官方正式支援為 企業版 (Enterprise)。

前置要求：必須將 Microsoft Defender 設為主要防毒軟體，且開啟即時防護與雲端傳送防護。

Reference:

https://0ut3r.space/2022/03/06/windows-defender/

Microsoft Defender Hardening for Windows 11

7-zip redirect temp working folder per job by using command prompt

 7z.exe x "D:\source_zip_file.7z.001" -o"D:\Temp\" -w"D:\temp\TempWorkingfolder"

7-zip redirect temp working folder per job by using command prompt