Хм...простого решения нет.
Такие задачи - это всегда комплекс бюрократических и технических мер, проактивных и реактивных, включая корпоративные стандарты безопасности, политики паролей, корректно настроенные фаирволы на входе в вашу сеть и между подсетями внутри, средства мониторинга сетевой активности, аудит действий администраторов и пользователей на разных сервисах (AD, почта, файловые и т.д.), регулярные задачи по проверке ключевых доменных групп, SIEM система для сбора и анализа активностей всей инфраструктуры и т.д.
Для примера:
Аудит доменных служб Active Directory в Windows Se...
Политики аудита изменений в Active Directory
Из простых действий:
- документы: корпоративная политика безопасности, правила работы в корпоративной сети и прочее; каждый пользователь знакомится с ними под роспись
- пользователь уровня Enterprise Admin и/или Domain Admin должен иметь несколько учетных записей, а УЗ с повышенными привилегиями использовать только для выполнения административных задач. В остальное время он работает с УЗ обычного пользователя
- административные УЗ со сложным паролем не менее 16 символов
- сервисные УЗ со сложным паролем не менее 20-25 символов, смена раз в год
- доменные политики паролей и блокировки УЗ
- доступ к критичным серверам (DC, почта, файловые и т.д.) разрешен только определенным пользователям, определенным подсетям/IP и т.д.
- аудит действий администраторов
- антиспам и антивирусы (файловые и почтовые)
- запрет использования внешних почтовых систем и облачных хранилищ (GMail, Yandex Disk и т.д.)
...
P.S. умный холодильник должен включаться только в одну сеть - электрическую 220В
Взлом и защита Active Directory