Vírusirtó helyett:
- újabb, modern számítógépek vásárlása, TPM támogatással rendelkező alaplapokkal, SMEP, SMAP és TXT funkciókat tartalmazó processzorokkal (Broadwell, vagy Skylake, legrosszabb esetben is minimum Ivy Bridge)
- újabb Windows rendszerre váltás (minél újabb annál jobb, mert biztonságosabbak az egyre több proaktív védelmi megoldásaik miatt), XP-k kiváltása a hétköznapi munkaállomások közül
- lehetőleg 64 bites változat használata az alaprendszerből és a telepített szoftverekből egyaránt, törekvés a lehető legkevesebb 32 bites alkalmazás bevezetésére és használatára
- BitLocker bekapcsolása, TPM platform validáció finomhangolása, opcionálisan AES-256 preferálása AES-128 helyett
- AppLocker megfelelő, szigorú konfigurációja és enforced módra állítása, lehetőleg DLL korlátozások bevezetésével együtt, a filerendszer jogosultságok körültekintő figyelembevétele vagy módosítása mellett (ahova user írhat, onnan nem futtathat)... az alapértelmezett beállítások nem megfelelők!
- Windows beépített tűzfal beállítása, kifelé irányuló kapcsolatok alapértelmezett blokkolása, csak a megfelelő programok megfelelő címekre való kommunikációjának külön egyesével való engedélyezése
- Legújabb Enhanced Mitigation Experience Toolkit (EMET) telepítése és megfelelő behangolása, lehetőség szerint DEP, SEHOP és ASLR AlwaysOn bekapcsolása, valamint minden alkalmazás felvétele és legtöbb biztonsági beállítás engedélyezése, ASR lista hatékony, de körültekintő bővítése (pl. flash*.ocx, atmfd.dll és hasonlók tiltása a programok legtöbbjénél)
- lehetőség szerint a programok minél hatékonyabb egyedi szeparációja és külön környezetben való futtatásuk kialakítása, korlátozása
extra:
- etikus hackerek felkérése, hogy penteszteljék a rendszereket és mutassanak rá a hálózat gyenge pontjaira