Fortinet Fortigate Firewall - SSL Inspection - Certificate Inspection and Deep (Full) Inspection
Monday, February 23, 2026
Wednesday, February 18, 2026
oCam suddenly required administrator right to open under normal user right account
Solution:
1. Go to %AppData%\bxview under normal user right account, rename the folder "bxview".
2. Change normal user right account from "Users" group to "Administrators" group. Reboot the machine.
3. Logout the normal user right account, login again and open the oCam app.
4. It should able to open the app.
5. Change the normal user right account from "Administrators" group back to "Users". Reboot the machine.
6. Open the oCam app again. It should back to normal.
Unable to establish secure connection to Zoom
Reason:
Windows System Time incorrect
Solution:
Enable auto time sync or manual set the correct system time.
Saturday, February 14, 2026
Enable Windows Firewall logging for drop connection and enable audit log for RDP failed
PS C:\WINDOWS\system32> Set-NetFirewallProfile -All -LogBlocked True -LogMaxSizeKilobytes 20480
>> # Enable logging for blocked (dropped) packets across all profiles
PS C:\WINDOWS\system32> auditpol /set /subcategory:"Logon" /success:enable /failure:enable
>> # Enable auditing for both successful and failed logon attempts
The command was successfully executed.
Check firewall log:
PS C:\WINDOWS\system32> Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log -Tail 20
Check RDP/Logon attempts
PS
C:\WINDOWS\system32> Get-WinEvent -FilterHashtable
@{LogName='Security'; ID=4625} -MaxEvents 10 | Select-Object
TimeCreated, Message | Format-List
>> # Find the last 10 failed RDP/Logon attempts
Tuesday, February 10, 2026
Windows 10 hardening by Microsoft Security Baseline
1. Download the Microsoft Security Compliance Toolkit 1.0
https://www.microsoft.com/en-us/download/details.aspx?id=55319
2. Copy the LGPO.exe to the folder under script
2. Run Powershell command:
Get-ChildItem -Path "C:\Source\Windows-10-v22H2-Security-Baseline" -Recurse | Unblock-File PowerShell.exe -ExecutionPolicy RemoteSigned -File .\Baseline-LocalInstall.ps1 -Win10NonDom
3. Reboot the machine
Reference:
Applying
Microsoft Security Baselines | STIG and Microsoft Security
Baseline-Based Hardening of a VMware Horizon on VxRail-Based VDI
Environment | Dell Technologies Info Hub
https://infohub.delltechnologies.com/en-us/l/stig-and-microsoft-security-baseline-based-hardening-of-a-vmware-horizon-on-vxrail-based-vdi-environment/applying-microsoft-security-baselines/
Monday, February 9, 2026
Windows 10 hardening by HardeningKitty - CIS Benchmarks
Reference:
BEST WINDOWS HARDENING TOOLS | ConfigureDefender, HotCakeX, HardeningKitty - Setup Guides
自動化工具與指令碼 - 加固與稽核
- 如果您要加固 Windows 伺服器:首選 PowerSTIG (免費/開源) 或 ConfigOS (商業)。
- 如果您要進行掃描與稽核:首選 DISA SCC 或 OpenSCAP。
- 如果您在 Azure 雲端:直接使用 Microsoft Defender for Cloud,它內建了 NIST 與 STIG 的自動化監控儀表板。
核心自動化方案
- 針對 STIG/NIST:強烈建議使用 PowerSTIG (GitHub)。這是 Microsoft 工程師開發的 PowerShell 模組,能將複雜的 STIG 文件直接轉換為可執行的 DSC 代碼,非常適合大規模部署。
- 針對 CIS:可利用 Ansible Lockdown。它提供現成的 Playbooks,能自動將 Windows 或 Linux 加固至符合 CIS Benchmark 的狀態。
- 針對 PCI DSS/HIPAA:這兩者多為「合規框架」。建議使用 Microsoft Purview 合規性管理員,它會自動掃描您的 M365 與 Azure 設定,並根據 PCI/HIPAA 要求提供一鍵式的改善建議。
如果您追求最高安全性(政府級),請選擇 DISA STIG + PowerSTIG;如果您追求業界通用性(商用級),請選擇 CIS + Ansible。
中國的標準更強調「合規性」與「管理+技術」的雙重考核。
等級保護 2.0 (MLPS 2.0)
- 阿里雲加固基準:各大雲平台提供符合 MLPS 2.0 的自動化加固指南,例如「ACK 等保加固」會自動執行密碼複雜度、限制 root 權限、審計開啟等操作。
- OpenSCAP (中國適配):在國產作業系統(如 Kylin 麒麟、UnionTech UOS)中,常用 OpenSCAP 載入針對等級保護或行業標準的 XML 設定檔來進行自動化加固。
- GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》:這是中國版的「加固清單基礎」,將系統分為一至五級。
- 加固重點:包含身份鑑別(強密碼、MFA)、存取控制(最小權限原則)、安全審計(日誌完整性)、入侵防範、惡意代碼防護及數據完整性。
- GB/T 25070-2019《信息安全技術 網絡安全等級保護設計技術要求》:指導如何在設計階段加入「可信驗證」等加固技術。
| 中國標準 (GB/T) | 對應國際/美國標準 | 加固範圍 |
| GB/T 22239 (等保 2.0) | NIST SP 800-53 | 系統、網絡、雲、IoT 等全維度加固 |
| GB/T 18336 (CC) | ISO 15408 / Common Criteria | 產品安全性設計認證 |
| GB/T 35273 (隱私規範) | GDPR / NIST Privacy Framework | 個人敏感數據保護與加密 |
Subscribe to:
Comments (Atom)