シマンテックはすべてのユーザーと管理者が以下の基本的なセキュリティの「ベストプラクティス」を実行することを推奨します。

ファイアウォールを利用する

公的な利用を許可していないサービスへのインターネットからの着信接続は、ファイアウォールを使用してすべて遮断します。デフォルトですべての着信接続を拒否し、外部に許可するサービスの着信接続のみを明示的に許可します。

パスワードポリシーを強制する

複雑なパスワードは、デバイスへのアクセスを困難にします。
機密性の高いファイルは、強力なパスワードで保護する必要があります。

コンピュータのプログラムやユーザーはタスクを完了するために必要な最小レベルの特権を使用する

コンピュータが侵害された場合の被害を防止または限定することができます。ルートまたは UAC のパスワードを求められる場合は管理者レベルのアクセスを求めるプログラムが正当なアプリケーションであることを確認します。

自動再生を無効にする

実行可能ファイルがネットワーク上やリムーバブルディスクドライブ上で自動的に起動されないようにします。

ファイル共有を無効にする

ファイル共有が必要な場合は、ACL とパスワード保護を使用してアクセスを制限します。共有フォルダの匿名アクセスを無効にします。共有する必要のあるフォルダへのアクセスは、強力なパスワードを持つユーザーアカウントにのみ許可します。

不要なサービスを無効にして削除する

多くのオペレーティングシステムはデフォルトで重要ではない補助サービスをインストールします。このようなサービスは攻撃対象となります。削除すれば攻撃対象を減らせます。

パッチレベルを常に最新に保つ

最も重要なのは、HTTP、FTP、メール、DNS サービスなど外部に公開するサービスをホストし、ファイアウォールを介してアクセスできるコンピュータですが、理想的にはすべてのエンドポイントに適用します。

メールサーバーでメールの添付ファイルをフィルタリングするように設定する

.vbs, .bat, .exe, .pif, .scr ファイルなど、脅威の拡散によく使われるファイルの添付は、ブロックする候補として検討する必要があります。

従業員に用心するよう教育する

予期していなかったり、真正性を確認しない限り、いかなるソースからの添付ファイルも開いてはいけません。
インターネットからダウンロードしたソフトウェアは、ウイルススキャンが行われていない限り実行してはいけません。
疑わしいウェブサイトを閲覧しない。ブラウザの脆弱性が修正されていない場合、危険なウェブサイトを訪問するだけで感染する可能性があります。

モバイルデバイスで Bluetooth が必要ない場合は Bluetooth をオフにする

使用する必要がある場合は、他の Bluetooth デバイスでスキャンできないようにデバイスの可視性を「非表示」に設定します。デバイスのペアリングを使用する必要がある場合は、すべてのデバイスを「権限がない」と設定し、接続要求ごとに権限の確認を求めるようにします。署名がないアプリケーションや不明なソースから送信されたアプリケーションは受け入れないようにします。

万が一侵入された疑いがある場合は、脅威がさらに拡大しないよう、迅速にデバイスを隔離してください。フォレンジック分析を行い、信頼できるメディアを使用してコンピュータを復元してください。

技術情報:

How to correct "disable Autorun registry key" enforcement in Windows

[英語文書] Basic security best practices