уважаемый твой вопрос достаточно обширный
1. из простого поставь антивирус Касперкого с консолью управления, для ограничения ведения списка черного\белого списка сайтов. Использование флешек. На нем настрой сканирование ПК раз в несколько дней, обновление раз в 4 часа.
2. DLP систему поставь настрой, если кто то будет тырить информацию при правильной настройке ты это поймешь.
3. Сеть раздели на подсети, каждый отдел в отдельную подсеть. Сервеный сегмент в другой сегмент
4. Настроить доступ к файловому хранилищу, для всех пользователей именно туда куда они должны ходить.
5. На ПК обрезать доступ к установке программ пользователям, только установка с твоими правами тобой
6. Что бы не бегать по офису можно поставить программу удаленного доступа any desk или аналоги
7. Обязательная смена паролей не меньше 12 символов раз в 1-3 месяца.
8. Научить пользователей выходя из за ПК блокировать его, например ставить похабные картинки на рабочий стол (100% рабочий метод, ставить пока не начнут блокировать)
9. GPO настраивай политики по обновлению системы, резервным копиям и прочему.
10. Настрой Rsyslog сервер, куда будут собираться логи со всех ПК, сервером и сетевого оборудования.
11. Защита от ddos атак, выбирай отечественного вендора.
12. Если есть деньги можно взять подписку на siem систему которой будут управлять за тебя.
13. Имей 4 учетных записи, 1 пользовательская для ПК, 2 для установки на ПК пользователей софта, 3 для управления серверами, 4 права супер пользователя, например разворачивание новых ролей контролеров доментов и прочего. Для чего это канитель всегда есть вероятность подцепить клавиатурный шпион и его аналоги. Про хранение паролей и их сложность думаю можно не учить.
14. Делай бэкапы, снапшоты, скриншоты. Проверяй они могут быть кривые. Храни в нескольких местах.
если появятся вопросы пиши в личку. У меня советов еще 3 вагона, которые сможешь применить на практики.