1. ограничения чтобы пользователи не могли запускать ничего кроме 1с+ворд+эксель
4. ограничения чтобы пользователи не имели доступа к локальному диску сервера. только к своим дискам прокинутым и к папке своего профиля на сервере (документы, загрузки)
5. настроить NAT в RRAS чтобы у виртуалки был интернет
6. закрыть все лишние порты