CityCat4

Я не совсем понял - нужно имена элементов схемы? В оснастке "Пользователи и компьютеры" правый клик, "Вид -> Дополнительные компоненты" должен по идее включить "Редактор атрибутов" (не помню, как включил, давно уже), где видно все атрибуты схемы данного обьекта и можно их редактировать. Там их сотни.

Есть конечно. Но это гуглить надо - это решения штучные, обычно комплексные и как правило недешевые. Если же важно иметь просто текст, который ушел постфактом, а не согласовывать его - сделать просто алиас, который включает автокопирование на ящик СБ.

adobe reader отстрелить нафиг. Бразуеры сами уже читают PDF, да и всегда можно легковесную читалку вкорячить.
авиру я бы тоже отстрелил

стоит задача поставить софт контроля трафика

есть ли способ ограничения софта от удаления?

Так все-таки о чем вопрос - о контроле трафика или о защите софта от удаления админом?

Если о первом - контроль трафика делается в точке контроля трафика :) Обычно это роутер, через который подключен тырнет. Если там у Вас не линух, а например микротик - поставить линух, поставить на него прокси и на нем считать трафик. Правда, поскольку сейчас все на https - без бампинга никуда.

Если о втором - это довольно сложно сделать.

чтобы какой нибудь человек после увольнения не смог украсть логин пароль от сайта

Если что-то может идти не так - именно так оно и будет! Никогда не работайте пр схеме "несколько человек под одним логином" - это всегда ведет к проблемам. Сделайте каждому свой пароль и свой уровень доступа.

От хостера - никак. В зависимости от категории и ценности Вашей "конфиденциальной информации" хостер может Вам имитировать все что угодно - все зависит только от бюджета тех, кто ее хочет получить (именно поэтому считается, что у нарушителя неограниченный бюджет).

Бэкапер создает, я даже и не заморачиваюсь...

Начать надо с того, что в выражении "мой рабочий ноутбук" одно слово лишнее. Это слово - "мой". Он не ваш. Он принадлежит Вашему работодателю. И тот соответственно, имеет право сделать с ним, что считает нужным, в том числе и контролировать его использованием. Единственное, что Вас предупредить были должны о контроле - обычно это делают при приеме на работу и все забивают на это предупреждение - при приеме на работу обычно расписываешься за кучу всякой фигни :)

1. Как поставили программу?

Подключились с правами админа - и поставили. Никакие пароли и блокировки тут во внимание не принимаются, членство в домене дает админу все права.

2. Как её вычислить и удалить?

Внимательно просмотреть все имеющиеся на компьютере сервисы - может быть повезет. Правда, если мониторинг поставлен нормально, через час-другой программа будет поставлена заново :) А удалите еще раз - могут и на "поболтать" в СБ вызвать.

3. Может не программа а встроенный софт какой вин10?

Вряд ли. Встроенный софт сливает только в M$

4. Если вернуть комп в исходное состояние с удалением всех фалов с ЖД поможет такой путь? Радикально, но согласен на него.

В теории - поможет. На практике - потеря всего софта, потеря всех лицензий, переустановка всего... и получение агента мониторинга обратно :) (Это если мониторинг поставлен нормально, конечно - у ламеров проканает)

Зачем? На винде да и на линухе - если ты админ, юзеру ничего не скрыть.

Применение su [учетка] в таком контексте - это в основном работа псевдо-юзеров, от имени которых запускаются скрипты.

Мыслите бизнесс-процессом, а не админскими категориями. Что, по-Вашему нужно, чтобы сайт работал и работали бесперебойно? То и делайте.

Бэкапы и защиту от взлома конечно стоит настроить. Отказоустойчивость - ну, это очень емкий термин и он может оказаться весьма дорогим, хотя тут надо уточнить, что Вы под этим понимаете :)

Задача как задача, вполне себе. Видимо есть основания скрывать тот факт, что целевой сервер в РФ. Бывает. Есть такие -
"...Где с умилением глядят
На заграничные наклейки...
А сало... русское едят! " (С) Михалков С.В. Две подруги.

К баранам.

Задача сводится к обычному нату, который меняет в пакете пришедшем на порт 3389 IP назначения с локального на некий удаленный - после чего ведро ессно этот пакет отправляет в мир на дефолтный шлюз.

Во-первых - всем и каждому, кто впал в затуп и не знает, как проходит пакет по netfilter - рекомендую эту схему. Распечатать и повесить на рабочем месте.

Сначала зададим допущения.
IP сервера = 212.20.5.1 (много-много лет назад это был IP нашего сервера, он реально российский :) )
IP VPS = 170.70.1.1 (взят с потолка)
Политика по умолчанию для filter - ACCEPT (все, что не запрещено - разрешено. Очень опасная политика, вязта только для демонстрации, в жизни так делать нельзя. Мне просто неохота писать дополнительные правила по пропуску трафика)

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

NAT мы выполняем в цепочке prerouting таблицы nat (она идет до filter). Сюда пакет попадает сразу после mangle prerouting.

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp --dport 3389 -d 170.70.1.1 -j DNAT --to-destination 212.20.5.1

Читается "если поступил пакет по протоколу tcp на порт 3389 на IP 170.70.1.1, то применить действие DNAT, заменив IP назначения на 212.20.5.1. Правило поместить в цепочку prerouting".

Что теперь? А теперь, поскольку мы поменяли IP назначения и он теперь не локальный - ведро считает, что пакет нужно отправить (routing decision на схеме) - в цепочку forward. Сначала mangle forward, потом filter forward (это и есть основная таблица, которую обычно и зовут файрволлом, мы в ней пропускаем все).

Потом mangle postrouting и nat postrouting. В nat postrouting нам нужно сделать небольшой камуфляж. В пакете IP назначения 212.20.5.1 - но IP источника - тот IP, с которого пакет пришел на VPS. Это нам не нужно и потому что задача - его скрыть и потому что при попадании пакета на 212.20.5.1 - он ответит ессно на этот IP. Поэтому выполняем следующее:

-A POSTROUTING -o eth0 -j SNAT --to-source 170.70.1.1

Читаем "если пакет уходит через интерфейс eth0, то применить действие SNAT и заменить IP источника на 170.70.1.1"
Это стандартное правило NAT, оно присутствует всегда, если VPS является NAT хоть для чего-нибудь.

Все. Пакет на 212.20.5.1 уходит от IP 170.70.1.1, тот отвечает по IP источника, VPS видит, что был NAT и отправляет пакет туда, откуда он пришел.

Через стандартный сетевой сервис - FTP/SMB - запросто.

Зависит от того, насколько глубокий анализ нужен будет. В простейшем случае достаточно netflow писать (я когда-то trafd для этого использовал), но там никаких черных и белых списоков конечно же нет.
В более сложном случае - поставить squid, правда нужно помнить, что нынешний тырнет практически весь на https, так что бампинг будет просто насущной необходимостью.
Перетыкать ничего никуда не надо, все делается на логическом уровне.

Причем тут VPN? VPN - это

Virtual (Виртуальная, то есть воображаемая)
Private (Частная)
Network (Сеть)

Она Вам никак не поможет. RDP может быть поможет, но просмотр виедо по RDP - это мазо :)

Рут слетит точно.
twrp скорее всего нет.

За все ТЦ конечно не скажу, да и давненько подключать не приходилось., но кое-что сказать могу:

Обычно ТЦ делятся на два типа - те, в которых несколько провайдеров и те, которые еще при строительстве "продались" какому-то одному (я с этим столкнулся однажды, когда подключал магазин в одном очень крупном городском ТЦ - он продался РТК, а тот работал разумеется... как всегда :) )
Начинается все, как правило с обращения в администрацию ТЦ - вполне может быть, что она все сделает сама.
Если же нет, узнать у нее, какой пров есть в здании и обратиться к нему.
Если пров не устраивает - снова обратиться к администрации с вопросом - пустят ли другого прова - запросто могут отказать.
Если отказали - тут либо хавать, что дают, либо менять ТЦ (что редко бывает возможно)
Правда подключение через другого прова, если его в здании нет может быть существенно дороже

На Win7/8/10 - никак. Потому что это десктоп, а не сервер и в нем ровно одно удаленное соединение.