[Lanwolf]

Классная тема....
Добавить я могу только одно.
Необходимо физически ограничивать доступ к серверам и основным узлам сети.
Если  в сети есть серверы терминалов, то даже админы должны заходить через терминал, причем доступ должен быть с ограниченного подконтрольного числа машин, необходимо включить аудит на:
Вход-выход
доступ к обьектам и т.д.

Лично я перекрыл доступ в проводнике на D: (система) для всех подразделений AD в WIN2000 Server, и собрал систему так что все файловые операции возможны только на соседних дисках и только в пределах "шаг влево - шаг вправо"