基于上述的任何一般性建议？

与可能受到系统潜在攻击伤害的人交谈：直接或间接。了解他们的担忧并让他们知道您将尽最大努力保护他们的记录和隐私。作为安全代表，您的工作是保护资产（个人数据等）免受威胁。在您了解您要保护的内容后，您最好的以安全为中心的解决方案就会出现。

寻找漏洞，但不要太详细。总会有技术上非常复杂的漏洞，但在很多事件中，被利用的是相对简单的漏洞。错过需要高技能复杂攻击者的漏洞几乎不会受到批评，但错过简单漏洞会受到很多批评。

考虑操作安全性。在一个大部分封闭的系统中，内部威胁是一个重大问题。在可行的情况下，工作轮换是一种很好的方法。寻找分割或分解数据的方法，以便在出现违规或泄漏时限制损失。

我应该写安全审查或强化指南吗？

我认为你应该专注于安全审查。各种版本的windows都有安全资源，希望有竞争的管理员运行这些windows系统。

有没有类似评论类型的好例子？

我是从同事经验的背景下说的，因此它应该被视为第三方信息，通常聘请您进行渗透测试的组织期望某种形式的文档列出发现的问题和受影响系统的补救措施。你说的话引起了关注：

I'm thinking that this would be a technical review (similar a published journal article) un-requested by the vendor

如果我是这家供应商，我会立即起诉并确保贵公司丢失我可能使他们失去的任何和所有许可证。这是由客户和签订的合同自行决定的。我会查看 DISA 提供的强化指南（STIGS 提供了一种方便的方式来展示强化指南）。我唯一可以充满信心地说的是审查提供给贵公司的合同并从那里开始。