Prenderesti in considerazione quanto segue come "elementi di base di protezione" per apparecchiature e server di rete?
Qual è la protezione minima necessaria per segmentare la mia rete interna dalla DMZ e dall'esterno? Sta avendo un WAF, supponendo che tu abbia a che fare con applicazioni web, e il default nega, con regole rigidamente confinate, sui firewall sufficienti?
I principi più basilari per rendere sicura una rete sono la "difesa in profondità" - cioè, vuoi mettere tante cose tra i tuoi "gioielli della corona" e potenziali attaccanti che puoi - e "superficie minima" - che è, esponi il meno possibile per attaccare.
Per arrivarci; il tuo elenco di elementi di base è abbastanza efficace per affrontare la "difesa approfondita", sebbene tu possa volere la possibilità di inserire nella lista nera / whitelist le applicazioni.
Dovresti dare un'occhiata alle aree di superficie minime - disattivare i privilegi di amministratore, i servizi inutilizzati, mettere in blacklist qualsiasi applicazione in esecuzione al di fuori di c: \ windows, c: \ programmi, ecc., bloccare gli eseguibili su USB, disattivare l'accesso web su macchine che non ne hanno bisogno, ecc.
Infine, la guida del DSD australiano al link è un'ottima "lista di controllo" per questo tipo di cosa - inizia in alto e lavora giù.
Leggi altre domande sui tag access-control network firewalls hardening