Ich möchte gerne mein Netzwerk etwas sicher gestalten.
Das größte Problem für mich ist der Rechner meiner Freundin. Es ist ein Windows 10 und sie surft für mein Geschmack ohne viel nachzudenken welche Webseiten sie benutzt ...
Ausserdem ist sie auch mir meiner Synology per Wlan verbunden.
Natürlich hat sie nur begrenzte Rechte, aber sie sichert Datei und Bilder auf die Synology.
Ich kann Ihr nicht den Zugriff verweigern und dachte vielleicht kann ich eine bessere Sicherheitstrategie vornehmen.
Mein Fritzbox, ein 7490 hat bereits eine Firewall aktiviert und in die Synology Diskstation habe ich die Firewall auch eingeschaltet.
Wie kann ich trotzdem vermeiden, dass sich aus ihrem Rechner irgendwelchen Daten in Netzwerk einschleichen?

Realistisch gesehen - gar nicht. Erste Massnahme ist, alle Geräte immer aktuell zu halten. Das schützt nicht immer, aber es ist doch erstaunlich wie oft uralte Lücken noch ausgenutzt werden können.
Wenn sie unbedacht im Web unterwegs ist würde ich zu einer Security Suite raten die einen eigenen Webfilter mitbringt. Der oft genutzte kostenlose Defender besitzt das nicht.
Zweite Aktion, eine saubere Trennung der Daten auf der Diskstation um zu verhindern, dass deine Daten verschlüsselt werden können.

Die einfachste Maßnahme ist den DNS-Server im Router zu wechseln, z.B. zu AdGuard (IPv4: 94.140.14.14). Hier sind weitere Empfehlungen . Damit werden schon manche Seiten gefiltert. Vielleicht ist Quad9 für dich gut geeignet.

Die Firewall der Synology habe ich übrigens anfänglich falsch eingestellt. Hier mal eine Anleitung .

Das was die Fritte und dein NAS unter Firewall verstehen kann mit einer echten noch lange nicht mithalten. Eine wirklich gute Firewall ist (unter anderem) in der Lage, den gesamten Netzwerkverkehr zu scannen und jeden Dreck raus zu filtern. Fragwürdige Webseiten, Downloads, email-Anhänge bleiben in der Quarantäne hängen, aber erreichen nicht den pc deiner Freundin.
Nur, eine wirklich gute Firewall kostet entweder richtig Geld, oder richtig Zeit. Es gibt welche als open-source, aber sich da vernünftig einzuarbeiten ist nichts, was du mal eben an einem Abend machst.

Da du das Risiko ohnehin einkalkulieren musst, wäre es da nicht besser, für den Ernstfall vorzusorgen. Backupstrategie mit Medien, die nicht dauerhaft im Netz hängen, zum Beispiel.

Von Security-Suiten würde ich eher abraten, die haben Admin-Rechte (um etwa alles scannen zu können) und können auch selbst als Einfallstor für Malware dienen. Wenn die nämlich aus der Security-Suite ausbrechen kann, hat sie auch Admin-Rechte und kann sich dann easy so verstecken, dass die Suiten nichts finden. Je komplexer und populärer die Suite, desto größer das Risiko. Die Hersteller sagen natürlich was anderes.

Zeitnahe Updates sind gerade bei Windows und bei Browsern essenziell.

Auf Netzwerkebene kann sowas wie AdGuard sicher einiges abfangen. AdGuard gibt's auch als lokale Software oder für den Raspberry Pi. Es kann mehr als etwa Pi-Hole, was auch eine Überlegung wert sein könnte, weil es auch auf einigen NAS läuft. Wichtig ist natürlich, dass jeglicher Traffic darüber geht.

Du könntest auch noch auf allen Clients die Firewalls aktivieren, aber ich denke, viel bringt das nicht, das meiste kommt eher von außen.

Immer eine gute Idee ist es, jegliche nicht benötigten Dienste auf den Clients abzudrehen, also Dateifreigaben, SSH und Co.

Ja die Geräte sind alle geupdated. Ausser mein MacPro 5.1 der seit lange nicht mehr richtig im Einsatz ist.
Wie kann ich die Dienste auf den Windows abdrehen?
Ich schaue mir auch das Thema firewall der Synology noch einmal richtig an. Sicherlich kann ich noch etwas anpassen.

Eine Option wäre eventuell noch der Einsatz von PiHole oder Adguard Home auf einem Rapsberry Pi oder im Docker auf deinem Synology NAS. Würde ersteres empfehlen.
Diesen setzt du als DNS Server in deinem Netzwerk ein, um einiges an Tracking und anderen Dreck zu vermeiden.

Eine Frage wäre, welchen Aufwand möchtest du betreiben bzw. wieviel Geld würdest du in die Hand nehmen.

Wie oben auch beschrieben, wäre eine richtige Firewall die nächste Stufe und, wie auch erwähnt, der Einsatz von offline Backups, falls es mal zu Problemen kommen sollte.

Sonst fährst du wohl auch gut, alle Geräte mit sicheren Passwörtern und einer 2FA abzusichern.

Je nachdem, was sie für einen Browser einsetzt kannst du auch einige Addons bei ihr installieren (Privacy Badger, uBlock Origin,...)

Bei Deinem Threat Model (die Hauptbedrohung kommt von innen - also unachtsamer User, der auf alles klickt und keine Vorsicht walten läßt, wenn man es mal ganz überspitzt formuliert) helfen die meisten technischen Maßnahmen im Netz nicht wirklich viel.

Filterung entsprechender Webseiten etc. hat Vorteile, aber setzt voraus, daß Deine Freundin mit ihrem Rechner nur im eigenen Netz arbeitet. Wenn sie auch mal unterwegs ist und sich da etwas "einfängt", bringt sie es dann auch bei der Heimkehr mit. Viele Ransomware-Viren und -Trojaner arbeiten zeitverzögert und schlagen dann ggf. nach Tagen oder Wochen über Nacht zu.

Zuallererst würde ich zum einen auf regelmäßig aktualisierte Softwarestände achten, lokale Adblocker verwenden, Zugriffsrechte minimieren (insbesondere auf Storage etc.), und regelmäßige Offline-Backups machen. Wenn Du noch einen alten Mac Pro 5,1 hast bietet sich z.B. an, den zeitgesteuert z.B. einmal pro Woche hochzufahren, dann ein Backup von den anderen Systemen machen zu lassen, und ihn dann wieder herunterzufahren. Das erhöht die Chancen, daß das Backup noch OK ist, wenn irgendetwas passiert. Online-Backup oder z.B. Time Machine hilft hier nichts. Wenn Du das Offline-Backup seltener machst, verlierst Du ggf. mehr Daten, hast aber im Fall eines zeitverzögerten Verschlüsselungstrojaners mehr Chancen auf ein intaktes Backup.

Von wichtigen Daten sollten ohnehin Offline-Backups außerhalb Deiner Räume vorhanden sein, z.B. bei Verwandten, Freunden oder im Bankschließfach.

Bei "Antiviren-Software" wäre ich extrem vorsichtig. Die Argumente hat Nebula schon aufgeführt, dem kann ich mich nur anschließen.

Das allerbeste Mittel ist aber, mit Deiner Freundin zu reden und ihr das Problem zu erklären. Solange alles gutgeht und nichts passiert wird das ein wenig Arbeit sein. Wenn es einmal schiefgegangen ist, ist es einfacher, tut aber mehr weh.

- PiHole (sperrt viele Seiten und Pop-Ups hinter denen Schaden entstehen "kann" ohne großen Aufwand)
- HW-Firewall (Bei Ubuiqitii z.B. nicht teuer und mit simplen Presets)
- Daten in Ordern auf der Synology sichern wo deine Freundin max. Lese- und keine Schreibrechte hat
- Gesunder Menschenverstand
- Offline Backups