Доброго дня :)

Недавно устроился на работу в небольшую (около 50 компьютеров) фирму админом. Я в этой области пока новичек и знаю только основы, поэтому хотел бы уточнить несколько важных моментов по ИТ безопасности.

У меня домен под 2008м сервером, будет Exchange, Kerio по лицензиям пока вопрос решается руководством. Парк серверов достаточный, а вот рабочие компы восновном старенькие селероны.

1. Какой централизованный антивирус лучше ставить? Чтобы был максимально эффективный и достаточно послушный, с группами исключений и т.п.
Пока смотрю на Symantec, McAfee, Kasperskiy, интересно было бы попробовать Forefront.

2. Можно ли отключать брандмауэр на рабочих компьютерах? А то обычный брандмауэр ХР не сильно внушает доверие, и толком не добавить правила в него..

3. Какие групповые политики Вы используете в своей сети? Стоит ли что-то менять в стандартных политиках безопастности домена, если да, то что?
Политики, которые создаю я, лучше применять к OU с пользователями или с компьютерами?
Был бы особо благодарен за скриншеты Ваших политик, можно в личку или на почту.

Заранее большое спасибо всем :)

1. Любой, на сервера только антивирус не ставьте
2. Если ресурсы у вас даны в общий доступ централизованно, т. е. есть файл-сервер (только на нем расшариваются папки) print сервер, куда подключены все принтера конторы, то брандмауэр я бы оставил, настроив через политику исключение для раб. станции администратора
3. Для настройки политики безопасности уже придуманы шаблоны (они есть в системе), например High Security Workstation hisecws.inf, как его применить для раб станции через GPO - предлагаю почитать, перед применением, нужно выяснить что за ПО установлено на раб. станциях и протестировать на совместимость с этим шаблоном.

Чуть чуть добавлю:
1. Из антивирусов по части управления удобен Kaspersky, за 3 года полета - никаких нареканий.
2. Если будет стоять централизованный прокси сервер, через который пользователи будут ходить в интернет, то брандмауэр особо не нужен на клиентах. ДОстаточно будет настроить прокси и вовремя устанавливать заплатки на рабочие станции, в частности от Kido
3. Политику лучше применять и на пользователей и на компьютеры, все зависит, как уже сказал Ivan Bardeen, от специфики сети и ПО на станциях.