Eu usaria um firewall de hardware para proteger a máquina do acesso à Internet e do acesso à intranet. Eu firewall de hardware lhe dará confiabilidade e velocidade.
Gostaria de começar com a máquina com todo o tráfego bloqueado e, em seguida, permitir apenas o endereço IP, as portas, os protocolos e as instruções necessárias para que funcione. Por exemplo, se não houver navegação na web, não adicionarei uma regra para abrir a porta 80. Se você tiver um administrador remoto, eu permitiria as portas para o VNC de seu endereço IP. O mesmo para o FTP. Desta forma, se você não está falando do endereço IP correto, você está bloqueado. Além disso, se alguém tentar sair na máquina e verificar seu e-mail, ele será bloqueado.
Eu também configuraria essas regras para o restante da intranet. Eu criaria apenas regras para permitir a comunicação com esses computadores / portas / protocolos necessários. Dessa forma, se uma máquina na intranet for comprometida, será mais difícil se espalhar para a máquina desprotegida.
Basicamente, esta máquina estaria em uma configuração DMZ.
Eu também executaria o Spybot Search & Destrua e SpywareBlaster e imunize a máquina. Não há custo em tempo real para isso, porque não é uma varredura, mas apenas uma configuração. Tudo isso é basicamente lista de controles ActiveX da lista negra e sites ruins no arquivo Hosts. Isso pode impedir que uma máquina seja infectada, impedindo que algumas coisas ruins sejam executadas. Claro, você teria que permitir, através do firewall de hardware, a capacidade de atualização da máquina. Você pode fazer isso manualmente ou listar esses sites em branco.
O firewall escolhido deve ser capaz de alertá-lo sobre problemas. Gostaria de sinalizar algumas regras para ver se alguém está tentando fazer algo que não deveria (ou seja, verificar e-mail, navegar na web, alguém tentando acessar a porta FTP (especialmente se deixado nas portas padrão)). Eu uso um Zywall que tem todos os recursos acima, mas existem muitas empresas. Uma coisa que você deve considerar é que o firewall de hardware tem especificações sobre taxa de transferência. Você deseja obter um firewall que possa processar as informações com rapidez suficiente.
Os usuários remotos também podem fazer VPN em alguns firewalls, assim você não precisa expor publicamente algumas coisas, como VNC ou FTP.
Além disso, alguns softwares VNC permitem que você use certificados para autenticar. Isso pode ajudar, porque permitirá uma melhor segurança, pois nenhum nome de usuário / senha pode ser adivinhada e o usuário final poderá executar o software e isso apenas funcionaria (menos para o usuário final lembrar). Se não, eu recomendo usar o Keepass e fazer com que ele gere uma senha de alta entropia que seria difícil para as máquinas quebrarem.
Espero que essas dicas ajudem.
(Além disso, como essa é uma máquina crítica para os negócios, eu imaginaria o sistema de forma que, se algo acontecesse, você pudesse voltar a um estado bom conhecido.)