orrrr hört bitte bitte bitte bitte bitte endlich auf, Xampp auf Prod-Umgebungen bzw im Internet zu verwenden.
Das Dingen ist nicht nur offen wie ein Scheunentor sondern mehr so die nackte hilflose Bauerntocher in der Scheune nachdem man Dach, Wände, Fundament und Scheunentor abgefackelt und entfernt hat.
Ist ja auch nicht so, dass an zig Stellen davor gewarnt wird, das Ding produktiv zu nutzen, z.B. hier:
https://www.apachefriends.org/de/hosting.html
Die meisten "Hacks" passieren nicht über ein ungesichertes OS sondern durch Nutzung von ungeeigneten bzw schlecht und gar nicht konfigurierten Anwendungen.
So, nachdem wir also alle Xampp nur noch lokal zum testen und entwickeln verwenden, kommen wir zu deinen Fragen:
Baseline Security Hardening Guide direkt vom Hersteller
Windows Server Security Hardening Guideline einer US Uni
Liste beliebig erweiterbar, einfach nach "Windows Security Hardening" suchen
Wenn das OS soweit steht geht es an die extern erreichbaren Dienste. Also RDP und was du sonst ggf. noch so nutzen willst. Google und dann "$Dienst security hardening"
Desweiteren ist es sinnvoll alle alten Abhängigkeiten zu deaktivieren, also kein SMBv1, kein NTLMv1 oder im besten Fall auf kein NTLMv2 sondern nur Kerberos zur Authentifizierung, etc.
Ebenso solltest du die Firewall natürlich einschalten und korrekt konfigurieren. Also Netzwerkumgebung auf öffentlich stellen, damit hast schon mal ein halbwegs brauchbares Grundgerüst an Regeln. Im besten Fall ist aber bis auf RDP nichts erlaubt.
Solltest du jetzt weitere Anwendungen bereit stellen wollen, so sollten diese abgesichert werden. Der beste Server bringt dir nix wenn ich über eine schlampig konfigurierte und programmierte Webseite SQL-Injections ausführen oder Remote Code Execution möglich ist.
Sowas kann man idR mit (Web) Application Firewalls lösen, unter Linux würde mir da zuerst ModSecurity einfallen um Webseiten abzusichern.
Generell sollte jeder (extern erreichbare) Dienst unter einem eigenen Nutzer laufen der nur die so gerade minimalst notwendigen Berechtigungen besitzt.
Wenn das dann alles konfiguriert ist, dann kann das Gerät ans Internet gehangen werden. Zu guter Letzt: Mit der einmaligen Einrichtung ist es nicht getan. Updates sollten zeitnah eingespielt werden, sowohl vom OS als auch den installierten Anwendungen und Diensten.