Самые зараженные машины - борьба с угрозами?

Я распечатал список из 25 наиболее зараженных машин (только ассоциированные машины) с небольшими подробностями.

Вспомогательные машины предназначены только для торгового представителя. Вход в домен одинаков для всех компьютеров, сотрудникам предоставляется доступ в Интернет, электронная почта и внутренние программы для выполнения CRMS, веб-лидов, продаж в магазине и т. Д. Им разрешено посещать веб-сайты поставщиков и искать информацию об алмазах в Интернете.

В отчете, который у меня есть, есть несколько ассоциированных бывших в употреблении машин, которые имеют более 100 угроз в течение одного месяца (это высокие угрозы по сравнению с низким уровнем угроз).

Что касается использования компьютеров, мы определили, что 50 угроз (включая файлы cookie отслеживания) должны быть больше, чем то, что они получают за один месяц ... есть только 10-15 веб-сайтов поставщиков, к которым они должны получить доступ.

Каков хороший способ контролировать и уменьшать количество угроз на этих машинах? Я использую opendns для блокировки определенных категорий веб-сайтов (есть много категорий заблокированных).

• Я использую SunBelt VIPRE Enterprise, и на каждой машине в компании установлены антивирусные агенты, выполняющие быстрое сканирование в 12 часов утра, а затем глубокое сканирование в 21:00 ежедневно.
• Существуют групповые политики для предотвращения определенных изменений и т. Д. Некоторые машины допускают вход в домен как администратор, некоторые - нет. С этим были некоторые проблемы.
• у нас есть спам-фильтры McAfee mxlogic в качестве «облака», которое фильтрует всю входящую и исходящую почту с нашего сервера обмена, доставляя ее в почтовый ящик Outlook с внутренними политиками спама (контент и т. д.).
• WSUS запускает обновления каждый вторник с сервера.

Ищем отзывы о том, как контролировать количество этих угроз.