Б = Безопасность
Самый первый шаг - это закрепить на бумаге текущее состояние инфраструктуры и то, что вы хотите получить в результате ваших действий.
Далее должен родиться план мероприятий, по которому вы будете внедрять те или иные инструменты контроля/управления и вводить ограничения и т.д.
По идее - вам надо сначала заняться контролем и ограничением "причин" (точки проникновения подозрительного контента в вашу сеть - почта, флешки и т.д.), средств для этого существует достаточно (GPO, тулзы от Касперского, например).
Далее - внутренний контроль (собственно, то, что вы хотите сделать) с максимальным закручиваем гаек в отношении рядовых пользователей: UAC, GPO, AppLocker, Software Restrictions Policy, тулзы от Касперского и т.д.
Естественно, не забываем про разграничение доступов, полномочий, использование разных учеток для выполнения административных задач и обычной работы и т.д.
