Fortinet Fortigate Firewall - SSL Inspection - Certificate Inspection and Deep (Full) Inspection
Monday, February 23, 2026
Wednesday, February 18, 2026
oCam suddenly required administrator right to open under normal user right account
Solution:
1. Go to %AppData%\bxview under normal user right account, rename the folder "bxview".
2. Change normal user right account from "Users" group to "Administrators" group. Reboot the machine.
3. Logout the normal user right account, login again and open the oCam app.
4. It should able to open the app.
5. Change the normal user right account from "Administrators" group back to "Users". Reboot the machine.
6. Open the oCam app again. It should back to normal.
Unable to establish secure connection to Zoom
Reason:
Windows System Time incorrect
Solution:
Enable auto time sync or manual set the correct system time.
Saturday, February 14, 2026
Enable Windows Firewall logging for drop connection and enable audit log for RDP failed
PS C:\WINDOWS\system32> Set-NetFirewallProfile -All -LogBlocked True -LogMaxSizeKilobytes 20480
>> # Enable logging for blocked (dropped) packets across all profiles
PS C:\WINDOWS\system32> auditpol /set /subcategory:"Logon" /success:enable /failure:enable
>> # Enable auditing for both successful and failed logon attempts
The command was successfully executed.
Check firewall log:
PS C:\WINDOWS\system32> Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log -Tail 20
Check RDP/Logon attempts
PS
C:\WINDOWS\system32> Get-WinEvent -FilterHashtable
@{LogName='Security'; ID=4625} -MaxEvents 10 | Select-Object
TimeCreated, Message | Format-List
>> # Find the last 10 failed RDP/Logon attempts
Tuesday, February 10, 2026
Windows 10 hardening by Microsoft Security Baseline
1. Download the Microsoft Security Compliance Toolkit 1.0
https://www.microsoft.com/en-us/download/details.aspx?id=55319
2. Copy the LGPO.exe to the folder under script
2. Run Powershell command:
Get-ChildItem -Path "C:\Source\Windows-10-v22H2-Security-Baseline" -Recurse | Unblock-File PowerShell.exe -ExecutionPolicy RemoteSigned -File .\Baseline-LocalInstall.ps1 -Win10NonDom
3. Reboot the machine
Reference:
Applying
Microsoft Security Baselines | STIG and Microsoft Security
Baseline-Based Hardening of a VMware Horizon on VxRail-Based VDI
Environment | Dell Technologies Info Hub
https://infohub.delltechnologies.com/en-us/l/stig-and-microsoft-security-baseline-based-hardening-of-a-vmware-horizon-on-vxrail-based-vdi-environment/applying-microsoft-security-baselines/
Monday, February 9, 2026
Windows 10 hardening by HardeningKitty - CIS Benchmarks
Reference:
BEST WINDOWS HARDENING TOOLS | ConfigureDefender, HotCakeX, HardeningKitty - Setup Guides
自動化工具與指令碼 - 加固與稽核
- 如果您要加固 Windows 伺服器:首選 PowerSTIG (免費/開源) 或 ConfigOS (商業)。
- 如果您要進行掃描與稽核:首選 DISA SCC 或 OpenSCAP。
- 如果您在 Azure 雲端:直接使用 Microsoft Defender for Cloud,它內建了 NIST 與 STIG 的自動化監控儀表板。
核心自動化方案
- 針對 STIG/NIST:強烈建議使用 PowerSTIG (GitHub)。這是 Microsoft 工程師開發的 PowerShell 模組,能將複雜的 STIG 文件直接轉換為可執行的 DSC 代碼,非常適合大規模部署。
- 針對 CIS:可利用 Ansible Lockdown。它提供現成的 Playbooks,能自動將 Windows 或 Linux 加固至符合 CIS Benchmark 的狀態。
- 針對 PCI DSS/HIPAA:這兩者多為「合規框架」。建議使用 Microsoft Purview 合規性管理員,它會自動掃描您的 M365 與 Azure 設定,並根據 PCI/HIPAA 要求提供一鍵式的改善建議。
如果您追求最高安全性(政府級),請選擇 DISA STIG + PowerSTIG;如果您追求業界通用性(商用級),請選擇 CIS + Ansible。
中國的標準更強調「合規性」與「管理+技術」的雙重考核。
等級保護 2.0 (MLPS 2.0)
- 阿里雲加固基準:各大雲平台提供符合 MLPS 2.0 的自動化加固指南,例如「ACK 等保加固」會自動執行密碼複雜度、限制 root 權限、審計開啟等操作。
- OpenSCAP (中國適配):在國產作業系統(如 Kylin 麒麟、UnionTech UOS)中,常用 OpenSCAP 載入針對等級保護或行業標準的 XML 設定檔來進行自動化加固。
- GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》:這是中國版的「加固清單基礎」,將系統分為一至五級。
- 加固重點:包含身份鑑別(強密碼、MFA)、存取控制(最小權限原則)、安全審計(日誌完整性)、入侵防範、惡意代碼防護及數據完整性。
- GB/T 25070-2019《信息安全技術 網絡安全等級保護設計技術要求》:指導如何在設計階段加入「可信驗證」等加固技術。
| 中國標準 (GB/T) | 對應國際/美國標準 | 加固範圍 |
| GB/T 22239 (等保 2.0) | NIST SP 800-53 | 系統、網絡、雲、IoT 等全維度加固 |
| GB/T 18336 (CC) | ISO 15408 / Common Criteria | 產品安全性設計認證 |
| GB/T 35273 (隱私規範) | GDPR / NIST Privacy Framework | 個人敏感數據保護與加密 |
Security Hardening Standard - 安全性加固標準對比摘要
| 標準名稱 | 適用對象 | 優點 | 缺點 |
| Microsoft Baseline | 一般企業 | 最佳的應用程式相容性,與 Windows 更新同步,易於部署。 | 安全性相對較寬鬆,僅涵蓋微軟產品。 |
| CIS Benchmarks | 金融、醫療、合規企業 | 業界公認中立且細緻,提供 L1/L2 分層,平衡安全與營運。 | 規則較多,可能需要針對特定業務軟體進行排除設定。 |
| DISA STIG | 政府、軍方、國防承包商 | 極致的安全性,針對國家級攻擊設計,強制執行高強度稽核。 | 設定極其繁雜,極易造成系統功能失效或應用程式崩潰。 |
| NIST SP 800-53 | 美國聯邦機構、FedRAMP | 全球最權威的安全性控制框架,邏輯嚴密,適合大型合規架構。 | 主要是「準則」而非「設定值」,需轉譯為具體指令。 |
| PCI DSS | 支付卡產業、電商、零售 | 專為保護持卡人數據設計,對防火牆與數據加密有明確要求。 | 範疇較窄(僅限支付環境),每年需進行嚴格的合規審查。 |
| HIPAA | 醫療保健、健康保險業 | 核心在於保護受保護健康資訊 (PHI) 的隱私與完整性。 | 規範較為籠統(如「合理防護」),需要配合技術標準實施。 |
| USGCB | 美國政府低風險設備 | 曾是聯邦桌面設備的統一基準,由 NIST、DISA 及微軟協作。 | 已逐漸被 DISA STIG 取代,部分較新版本系統已停止更新。 |
Microsoft Defender Hardening for Windows 11
Microsoft Defender Hardening:
Home:
PS C:\Windows\system32> Set-MpPreference -SignatureUpdateInterval 1
PS C:\Windows\system32> Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
PS C:\Windows\system32> Set-MpPreference -MAPSReporting Advanced -SubmitSamplesConsent SendSafeSamples -CloudBlockLevel High -CloudExtendedTimeout 50
PS C:\Windows\system32> Set-MpPreference -PUAProtection Enabled
PS C:\Windows\system32> Set-MpPreference -EnableNetworkProtection Enabled
MAPS、Cloud Protection 和 PUA 在家用版上是完全有效
Pro/Enterprise:
Able to add ASR Rule:
系統限制:ASR 規則在 Windows 10/11 專業版 (Pro) 上可部分運行,但官方正式支援為 企業版 (Enterprise)。
前置要求:必須將 Microsoft Defender 設為主要防毒軟體,且開啟即時防護與雲端傳送防護。
Reference:
Saturday, February 7, 2026
7-zip redirect temp working folder per job by using command prompt
7z.exe x "D:\source_zip_file.7z.001" -o"D:\Temp\" -w"D:\temp\TempWorkingfolder"
Thursday, February 5, 2026
Install Fortinet Forticlient VPN on Deepin 23.1 (For SSL cert is self-signed cert)
1. echo -n | openssl s_client -showcerts -connect registry.example.com:port 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > xxca.crt
Replace the "registry.example.com:port" to your SSL VPN gateway URL and port.
2. Go to the file "xxca.crt", use a editor like "notepadqq" to open the file
3. Copy all the text in the xxca.crt
4. sudo vi /usr/local/share/ca-certificates/xxca.crt
5. Paste all text into this file and :wq (To save those text)
6. sudo update-ca-certificates
7. Reboot your machine
8. Then you can use the Forticlient to connect your VPN gateway.
Reference:
https://blog.keepchen.com/a/configure-forticlient-vpn-on-deepin-25.html
Subscribe to:
Comments (Atom)