IgorGS

1) блокируете весь сетевой трафик (и входящий и исходящий)
2) адресно разрешаете доступ в сеть только необходимым вам приложениям

Под виндой это все можно сделать средствами штатного фаервола, но надстройки над ним типа WFC, simplewall, или tiniwall серьезно упрощают задачу

Теоретически это естественно не устраняет возможности наличия бэкдоров, но длительное (около месяца) наблюдение за подопытной песочницей левого трафика не выявило.

Собственно про плюсы и минусы засыпания уже расписали.
А вот про реализацию непросыпания при сканировании - давно уже есть такое понятие как port knocking
то есть в меру своей паранойки можно задать последовательность номеров портов и только при обращении в этой последовательности - будить.

Образчик для микротика

Нет, диски дольше не проживут если будут то останавливаться то раскручиваться. Для дисков идеальный вариант когда их запустили и они постоянно крутятся.
Насчет того что дольше сам NAS проживет - то же такое себе мифологическое)

Пробуждать надо по локалке... иначе любой заход на проброшенный порт разбудит устройство, что логично
Так что как вариант поднять ВПН на микротике и ходить через ВПН. тогда извне порт до NAS закрыт, а при подключении через ВПН будет пробуждаться)

100 машин без АД?) Уже что-то пошло не так..

Что означает " запустить 1.1.1.1" и "подключить 1.1.1.1", это публичные DNS и их можно прописать и применить в сетевых настройках.
А для получения ответа на вопрос запустите пинг на 1.1.1.1 и трассировку, если пинга нет.

Лучше всего задать вопрос напрямую техподдержке вашего провайдера, они точно определят наличие блокировки и на каком она уровне

Роскомнадзор собирался блокировать cloudflare dns и google dns, скорее всего дело в этом.

Возможно это связано с выборами, блокировали пути обхода

Тема с созданием домена 3 уровня целесообразна/необходима в случаях когда нужно каким-то боком выставлять контроллер домена "голым задом" в WWW, чтобы в нем могли авторизовываться удаленщики без всяких VPN и прочих бубнов.
Третий/четвертый уровень - для того чтобы на домене сидели только адреса именно контроллеров AD, а не всякой Web чухни и прочего, которое может находится в DMZ или вообще у стороннего хостера. А чем дальше находится / дольше ищется сервер AD, тем сильнее тупит клиент

Следите за логикой:
1) отдельный домен как правило отдельная ИТ-инфраструктура, отдельный web-сервер например
2) за домены второго уровня надо платить. В масштабах организации может быть они стоят и дёшево, но нужно следить за их статусом просрочки. Регистрацию домена третьего уровня не надо согласовывать с закупками.
3) подходящее имя домена второго уровня может быть уже занято, в то время как все пространство имён 3-го уровня у вас под рукой.
4) на все домены 3-но уровня можно выпустить один сертификат SSL типа wildcard.

local - это то, что не будет видно из интернета. Как вы там его назовёте и сколькиуровнево - вкусовщина, по большому счёту.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.

Я знаю что local это не правильно.

Не надо повторять за кем-то догмы. Почему .local это не правильно? У 0.1% компаний сетевая инфраструктура организована так, что с .local они наступят на грабли. У остальных 99.9% никаких проблем нет и не будет. И это не "рулетка", адекватный админ точно знает, что в его сети нет Zeroconf. Совет от Microsoft не использовать .local - это совет "специалистам", которые понятия не имеют, что творится у них в сети. На всякий случай, чтобы имеющийся бардак не стал ещё худшим бардаком.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.

Если организация настолько большая, то рядом с вами будут несколько опытных коллег, которые не абстрактно, а на реальной конфигурации объяснят, почему были приняты те или иные решения (домен 3-го уровня или 2-го уровня и многое другое). Microsoft даёт некоторые рекомендации, но они (рекомендации) не заменят мозги админа. Это даже не best practices, это точка, с которой можно начать, когда нет опыта. Но эти рекомендации не помешают наступить на грабли (другие), вот пример из недавних вопросов здесь же: https://qna.habr.com/q/1046186

Есть домен (AD), основной DNS суффикс домена - company.ru...
...
Недавно в зоне RU регистрируется доменное имя - company.ru. Зарегистрировано не нами...

Занавес.
В случае .local такой проблемы не было бы. Делаем вывод: бездумное следование рекомендациям не спасает от проблем. Даже если бы они сделали домен 3-го уровня corp.company.ru, это бы их не спасло.

Если кратко, то от имени этого пользователя выполняются практически все службы. Служба - это программа которая работает в фоне. Как правило, они обслуживают твой компьютер, чтобы он чувствовал себя хорошо, и мог то, что может. В последних версиях Windows список существующих служб можно посмотреть на закладке "Службы". Можешь посмотреть какие службы за что отвечают. System имеет почти безграничную власть над компьютером. И если начать эти права ограничивать, то винде поплохеет.

что это сделано для процессов, работающих от имени данного пользователя

Ну так-то все пользователи именно для этого создаются. Просто потому, что на компе работает не пользователь, а программы. Пользователь это абстракция облегчающая регулировку прав и работу нескольких людей за одним компом.

Многие службы и задания из планировщика запускаются от имени SYSTEM. В каталоге пользовательского профиля не стоит удалять SYSTEM там где он есть по умолчанию. В каталогах, которые вы создаете самостоятельно вне профиля вы можете регулировать права как вам угодно.

Используй ventoy, и грузись напрямую из iso/vhd и тд, хоть стрельца, хоть другие PE, хоть установщики виндов.
Ну или создай свое меню для загрузки на базе grub4dos но это чутка сложнее.
Новые стрельцы не всегда работают со старыми системами. У меня всегда 2 варианта их, старый допустим 5летней давности и современный.

Для ваших целей прекрасно подойдёт сборка MultiBoot, которую я люблю и много лет применяю.
Чем же она хороша? Во-первых, там имеется аж 4 разных Win-PE - на базе Windows Server 2003, WinXP, Win7 и Win8.1 (выбор в стартовом меню). Не подходит одна - запускаем другую, какая-нибудь стартует в любом случае. Во-вторых, на борту присутствует пакет утилит 2k10, а это несколько сотен утилит на все возможные случаи компьютерной жизни. В-третьих, эта сборка существует в нескольких наборах - от 4-гигового LiveDVD до 16-гигового LiveUSB (у последнего на борту присутствуют чистые дистрибутивы WinXP, Win7 и Win8.1 всех версий по классу пользователя и по разрядности). В-четвёртых, некоторые утилиты (например, акронисовские DD, TI, тесты памяти и дисков) доступны вне WinPE, прямо из стартового меню.
Если ограничиться только компами, диски которых размечены в MBR, то лучше этой сборки ничего не придумаешь. Но вот для новых компов, которые стараниями производителей перестали понимать MBR и требуют только UEFI/GPT, придётся искать что-то более современное. Я искал, но равного по удобству найти не удалось, все найденные сильно проще.

WinPE 10тка всего лишь запустит образ 10тки, а запихивать туда доп. образы можете сколько угодно.

Алгоритм -> у вас клиент у которого умерла 7рка, запускаете winpe 10тку стрельца, далее выбираете заранее скаченный образ 7рки который лежит у вас в корневой папке Winpe, запускаете программу восстановления > указываете раздел > указываете образ 7рки.