Jak zabezpieczyć firmowe komputery przed wirusami w emailach?

Witam

Chciałbym zabezpieczyć firmowe komputery przed wirusami w emailach, mianowicie polityka jest taka że każdy używa Thunderbirda oraz Windows 10, czy przy tej konfiguracji mogę zabezpieczyć jakoś komputery żeby bezpiecznie otwierali załączniki?

I czy samo ściągnięcie załącznika może zainstalować wirusa?

Używać kontroli konta użytkownika.
Porządny antywirus.
Samo ściągnięcie nie.

Kontrola konta tzn? Żeby nie działać na adminie?

Ściągnięcie - (raczej) nie. Otwarcie (a nawet samo rozpakowanie archiwum) - tak.

Właśnie ściągniecie raczej nie i tu pytanie raczej czy na 100%, bo chodzi o to że po ściągnieciu zawsze można plik wrzucić w virustotal czy inny skaner i upewnić się że nie ma wirusa.

Koniecznie zwykłe konto użytkownika.

A czy Thunderbird może mieć antywirusa wbudowanego?

https://support.mozilla.org/pl/kb/panel-bezpieczenstwo-w-ustawieniach-thunderbirda

Tak, robić codziennie backupy najwazniejszych danych na dedykowanego pod to NASa, dysk zewnetrzny, DVD lub streamer.

Ogranicz konta użytkownika, jeśli nie masz domeny AD. Pliki najlepiej trzymać na serwerze plików, łatwiej to backupować, szczególnie przy dużej liczbie komputerów i użytkowników.

Antywirusy przepuszczaja syf, i to że ktoś kliknie w link i uruchomi wirusa szyfrujacego jest tak samo pewne jak śmierć. Tak więc nie licz w 100% na antywirusa tylko przygotuj sobie procedurę jak najszybszego odtworzenia srodowiska po incydencie - backupy, obrazy systemów itp.

Tu polemizowałeś -> E-Mail Ruin Your Life

Antywirusy to kupa g…na. Po pierwsze mail dochodzi w kilka sekund, a aby antywirus wykrył wirusa, to musi taki trafić do labu, zostać przeanalizowany, musi zostać wydana aktualizacja bazy wirusów, i klienci muszą ją pobrać. To ładnych kilka godzin, a jak masz otwartego Thunderbirda to czytasz maile natychmiast a nie jutro.
Ja stosuję Windows Pro, i “zasady ograniczeń oprogramowania” (Software Restriction Policies)
Mam to ustawione tak, że user nie ma uprawnień do uruchamiania kodu z folderów do których ma uprawnienia zapisu. Czyli jak pobierze plik, ma go w pobranych, to go stamtąd nie uruchomi, bo system tego nie puści. Nie ważne czy to zdrowy plik czy nie, po prostu nie uruchomi. Pliki z danymi typu .docx .pdf otwierają się normalnie, a plik exe i podobne trzeba uruchomić poprzez prawy klik/uruchom jako administrator i podać hasło administratora.
Dla Windows Home jest aplikacja Hard Configurator, którą można takie restrykcje nałożyć, jednak użyłem jej tylko raz, więc nie jestem pewien jak na dłuższą metę się sprawdza [https://github.com/AndyFul/Hard_Configurator]
Edit: zalecam poćwiczyć te rzeczy na jakimś systemie spisanym na straty, bo można tymi ustawieniami zepsuć sobie system, np zablokować .exe z c:\Windows i wtedy mamy problem.