Windows 10 hardening by Microsoft Security Baseline

1. Download the Microsoft Security Compliance Toolkit 1.0 

 https://www.microsoft.com/en-us/download/details.aspx?id=55319 

2. Copy the LGPO.exe to the folder under script

2. Run Powershell command:

Get-ChildItem -Path "C:\Source\Windows-10-v22H2-Security-Baseline" -Recurse | Unblock-File

PowerShell.exe -ExecutionPolicy RemoteSigned -File .\Baseline-LocalInstall.ps1 -Win10NonDom

3. Reboot the machine

Reference:

Applying Microsoft Security Baselines | STIG and Microsoft Security Baseline-Based Hardening of a VMware Horizon on VxRail-Based VDI Environment | Dell Technologies Info Hub

https://infohub.delltechnologies.com/en-us/l/stig-and-microsoft-security-baseline-based-hardening-of-a-vmware-horizon-on-vxrail-based-vdi-environment/applying-microsoft-security-baselines/

Windows 10 hardening by Microsoft Security Baseline

Windows 10 hardening by HardeningKitty - CIS Benchmarks

 

    

Reference:

BEST WINDOWS HARDENING TOOLS | ConfigureDefender, HotCakeX, HardeningKitty - Setup Guides

https://www.youtube.com/watch?v=SoceWcFh4z0

Windows 10 hardening by HardeningKitty - CIS Benchmarks

自動化工具與指令碼 - 加固與稽核

• 如果您要加固 Windows 伺服器：首選 PowerSTIG (免費/開源) 或 ConfigOS (商業)。
• 如果您要進行掃描與稽核：首選 DISA SCC 或 OpenSCAP。
• 如果您在 Azure 雲端：直接使用 Microsoft Defender for Cloud，它內建了 NIST 與 STIG 的自動化監控儀表板。

核心自動化方案

• 針對 STIG/NIST：強烈建議使用 PowerSTIG (GitHub)。這是 Microsoft 工程師開發的 PowerShell 模組，能將複雜的 STIG 文件直接轉換為可執行的 DSC 代碼，非常適合大規模部署。
• 針對 CIS：可利用 Ansible Lockdown。它提供現成的 Playbooks，能自動將 Windows 或 Linux 加固至符合 CIS Benchmark 的狀態。
• 針對 PCI DSS/HIPAA：這兩者多為「合規框架」。建議使用 Microsoft Purview 合規性管理員，它會自動掃描您的 M365 與 Azure 設定，並根據 PCI/HIPAA 要求提供一鍵式的改善建議。

如果您追求最高安全性（政府級），請選擇 DISA STIG + PowerSTIG；如果您追求業界通用性（商用級），請選擇 CIS + Ansible。

中國的標準更強調「合規性」與「管理+技術」的雙重考核。

等級保護 2.0 (MLPS 2.0)

• 阿里雲加固基準：各大雲平台提供符合 MLPS 2.0 的自動化加固指南，例如「ACK 等保加固」會自動執行密碼複雜度、限制 root 權限、審計開啟等操作。
• OpenSCAP (中國適配)：在國產作業系統（如 Kylin 麒麟、UnionTech UOS）中，常用 OpenSCAP 載入針對等級保護或行業標準的 XML 設定檔來進行自動化加固。

• GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》：這是中國版的「加固清單基礎」，將系統分為一至五級。
• 加固重點：包含身份鑑別（強密碼、MFA）、存取控制（最小權限原則）、安全審計（日誌完整性）、入侵防範、惡意代碼防護及數據完整性。
• GB/T 25070-2019《信息安全技術 網絡安全等級保護設計技術要求》：指導如何在設計階段加入「可信驗證」等加固技術。

中國標準 (GB/T)	對應國際/美國標準	加固範圍
GB/T 22239 (等保 2.0)	NIST SP 800-53	系統、網絡、雲、IoT 等全維度加固
GB/T 18336 (CC)	ISO 15408 / Common Criteria	產品安全性設計認證
GB/T 35273 (隱私規範)	GDPR / NIST Privacy Framework	個人敏感數據保護與加密

自動化工具與指令碼 - 加固與稽核

Security Hardening Standard - 安全性加固標準對比摘要

 

標準名稱	適用對象	優點	缺點
Microsoft Baseline	一般企業	最佳的應用程式相容性，與 Windows 更新同步，易於部署。	安全性相對較寬鬆，僅涵蓋微軟產品。
CIS Benchmarks	金融、醫療、合規企業	業界公認中立且細緻，提供 L1/L2 分層，平衡安全與營運。	規則較多，可能需要針對特定業務軟體進行排除設定。
DISA STIG	政府、軍方、國防承包商	極致的安全性，針對國家級攻擊設計，強制執行高強度稽核。	設定極其繁雜，極易造成系統功能失效或應用程式崩潰。
NIST SP 800-53	美國聯邦機構、FedRAMP	全球最權威的安全性控制框架，邏輯嚴密，適合大型合規架構。	主要是「準則」而非「設定值」，需轉譯為具體指令。
PCI DSS	支付卡產業、電商、零售	專為保護持卡人數據設計，對防火牆與數據加密有明確要求。	範疇較窄（僅限支付環境），每年需進行嚴格的合規審查。
HIPAA	醫療保健、健康保險業	核心在於保護受保護健康資訊 (PHI) 的隱私與完整性。	規範較為籠統（如「合理防護」），需要配合技術標準實施。
USGCB	美國政府低風險設備	曾是聯邦桌面設備的統一基準，由 NIST、DISA 及微軟協作。	已逐漸被 DISA STIG 取代，部分較新版本系統已停止更新。

Security Hardening Standard - 安全性加固標準對比摘要

Microsoft Defender Hardening for Windows 11

Microsoft Defender Hardening:

Home:

PS C:\Windows\system32> Set-MpPreference -SignatureUpdateInterval 1

PS C:\Windows\system32> Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

PS C:\Windows\system32> Set-MpPreference -MAPSReporting Advanced -SubmitSamplesConsent SendSafeSamples -CloudBlockLevel High -CloudExtendedTimeout 50

PS C:\Windows\system32> Set-MpPreference -PUAProtection Enabled

PS C:\Windows\system32> Set-MpPreference -EnableNetworkProtection Enabled

MAPS、Cloud Protection 和 PUA 在家用版上是完全有效

Pro/Enterprise:

Able to add ASR Rule:

系統限制：ASR 規則在 Windows 10/11 專業版 (Pro) 上可部分運行，但官方正式支援為 企業版 (Enterprise)。

前置要求：必須將 Microsoft Defender 設為主要防毒軟體，且開啟即時防護與雲端傳送防護。

Reference:

https://0ut3r.space/2022/03/06/windows-defender/

Microsoft Defender Hardening for Windows 11

7-zip redirect temp working folder per job by using command prompt

 7z.exe x "D:\source_zip_file.7z.001" -o"D:\Temp\" -w"D:\temp\TempWorkingfolder"

7-zip redirect temp working folder per job by using command prompt

Install Fortinet Forticlient VPN on Deepin 23.1 (For SSL cert is self-signed cert)

1. echo -n | openssl s_client -showcerts -connect registry.example.com:port 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > xxca.crt

Replace the "registry.example.com:port"  to your SSL VPN gateway URL and port.

2. Go to the file "xxca.crt", use a editor like "notepadqq" to open the file

3. Copy all the text in the xxca.crt

4. sudo vi /usr/local/share/ca-certificates/xxca.crt

5. Paste all text into this file and :wq (To save those text)

6. sudo update-ca-certificates

7. Reboot your machine

8. Then you can use the Forticlient to connect your VPN gateway. 

Reference:

https://blog.keepchen.com/a/configure-forticlient-vpn-on-deepin-25.html

Install Fortinet Forticlient VPN on Deepin 23.1 (For SSL cert is self-signed cert)