Você provavelmente poderia usar um thin client em vez de um PC e usar Citrix ou Terminal Services, o que elimina muitos riscos de colocar um PC em um local público.
Mas, se você precisar usar um PC, considere o seguinte:
1) Parece que você não precisa executar muitos aplicativos, portanto, comece a bloquear a estação de trabalho com a diretiva de grupo para executar apenas aplicativos específicos permitidos.
2) Configure o Firewall do Windows para permitir somente que o aplicativo entre / saia além da conectividade de domínio básica, atualizações, AV, etc.
3) Remover CD / DVD / disquete? unidades da estação de trabalho e desative o driver de armazenamento em massa USB para ajudar a evitar a violação física. Você pode colocar um bloqueio de cabo na própria estação de trabalho ou colocar o PC em um gabinete bloqueado com o WOL configurado para que você possa recuperá-lo remotamente se perder energia.
4) Configure a estação de trabalho para não armazenar em cache as senhas localmente e não efetue login na estação de trabalho com uma conta de domínio privilegiada, caso a estação de trabalho seja roubada.
5) Outras políticas de grupo podem ser configuradas para proibir o acesso ao disco rígido, restringir os programas do menu Iniciar, etc. Muitas delas são encontradas em Configuração do usuário - > Modelos de administração - > Menu Iniciar e Barra de Tarefas
6) Considere colocar os quiosques em sua própria sub-rede e restringir o acesso ao resto da rede via firewall ou pelo menos ACL em um roteador para que eles possam acessar apenas os servidores que você escolher nas portas que escolher.
7) Considere configurar a autenticação dot1x no switch e no PC para impedir que alguém desconecte o PC e conecte o laptop em seu lugar para obter acesso irrestrito.