Алексей

1. Linux - если сможете настроить 1С, плагины ЕЦП итд;
2. Windows
- Антивирус
- AdBlock
- Яндекс.DNS в режиме "Семейный" на все устройства бух., до которых сможете дотянуться
- Права юзера + отдельно админа + объяснить бух., что пароль админа не давать никому, иначе вирусы
- Запуск .exe только из определённых папок групповыми политиками

Выше на картинке звёздочка запрещает запуск exe отовсюду.
Руками отдельно прописываете папки, где запуск exe возможен: Program Files, Windows, Downloads итд
- Настраиваете автоматические инкрементальные бэкапы каждый день. Veeam в помощь.

Предложенные пункты решения очень вероятно будут конфликтовать с задачей 2. Так что без личной ответственности и разумного поведения пользователя вряд ли что-то получится. Если бухгалтер не будет заниматься на этом компе ничем посторонним, совсем ничем - уже будет хорошо. Грубо говоря, в банк ходим с этого компа, в Одноклассники с другого. Это должно быть как закон.
Перекидывание информации - это слабое звено, лучше свести его к минимуму или исключить совсем. Обычно на таком компе ещё есть клиент 1С (или какой-то Вашей учётной системы), чтобы на месте что-то выгрузить в банк или эдо и в обратную сторону загрузить, а не таскать файлы. Всякие почту, офис - на другой комп.