Алекс

Можно использовать аппаратный ключ типа FIDO U2F либо ПК с встроенным TPM + в структуру данных лога добавить ц.подпись и что-то типа блокчейна, так чтобы можно было проверить целосность и последовательность всех подписей. Чтобы это взломать нужно будет произвести реверсинг и написать непростой код.
Для создания первого блока в таком логе нужно будет чтобы оператор ПК создал ПИН код либо нажал пальцем на кнопку U2F ключа для генерации первой подписи (которую невозможно подделать чисто програмно).
Либо Можно все вышесказанное упростить - можно писать лог на внешний источник , но для каждого блока записей записывать предыдущий Хеш (котрый храниться на ПК) и также новый Хеш. В результате подменить данные не получитьчся. поскольку на самом ПК всегда будет храниться предыдщий хеш который должен совпадать с тем который на лог сторадже.

Для этого нужно немного поменять протокол обработки данных клиентов.
Чтобы в итоге прийти к сквозному шифрованию на клиентах. Это довольно сложно обьяснить на пальцах в кратце-
вот тут примерно описано как это работает на практике -
https://staffcounter.net/ru/introducing-p2p-encryp...

еще почитайте как это сделано в mega.nz

В Mac OS можно запретить делать скриншоты. Но под Windows это нельзя зделать програмно.
Если это ваш ПК - то надо Установить и Настроить Windows в Virtual Box (это должно быть 100 ГБ места примерно) и рабочие задачи выполнять там, а программа мониторинга будет делать скриншоты толлько системмы в Virtual Box , но не из вашей родной Виндовс.

Это нужно пробовать DLP ПО. Например в staffcounter есть Запрет на отправку файлов через Интернет. Но оно полностью запретит даже атачи вставлять в гмайл через браузер - https://staffcounter.net/ru/dlp/. браузеру ограничивают возможность читать файлы.

Это реальный вопрос. При краже ноута например из папки профиля браузера C:\Users\Alex\AppData\Roaming\Mozilla\Firefox
вынимаются много приватных данных

Решение: шифровать ноут полностью либо если надо защитить от Посторонных программ - шифровать только профиль браузера скайпа и др программы -
www.rohos.ru/2012/02/google-encryption (платно)

Можно зашифровать и прятать в Медиа файлах = avi, 3gp, mkv и т.д.
При этом это будет сделано в виде отдельно буквы диска, которая будет исчезать по вашему желанию.
- www.rohos.ru/support/rohos-disk-baza/steganography (программа платная)

Нет. лучше полный Virtual Windows.
+ поставить софт который запрещает процессу virtualbox.exe \ vmware.exe создавать EXE/DLL файлы, и все. На случай если малварь вырвется из VirtualWindows она ничего не сможет расплодиться. А сделать что-то опасное на 1кб кода который вырвался не думаю что можно.

VeraCrypt :)
FreeOTFE бесплатно, open source, нет поддержки.
Rohos Mini Drive, бесплатно, open source, Есть платная версия с поддержкой на русском даже. только для Windows

Расскажите про проблему\задачу подробнее плз.
Если хочеться просто мониторить действия Админа в командной строке - тогда можно просто кейлогер установить...

Если писать Низкоуровнениый FS Filter Driver и запрещать открывать EXE то вся система "ляжет".
Ибо Windows сама запускает EXE файлы постоянно.

Если хочеться именно для Пользвателя Это запретить -
Надо писать Explorer Shell Extension - https://www.codeproject.com/Articles/441/The-Compl...

Самый простой и надежный вариант:
- выбрать Android телефоны без SD карты. только внутреняя память, чтобы исключить вообще утечку данных через SD при потере телефона.
- Выбрать Android 6.0 и выше и убедиться что там включено полное шифрование памяти.
- При выдаче телефона сразу настроить Графический Ключ для разблокировки экрана. Это спасет от утечки инфы на случай банальной утери смартфона и несанционированного доступа.
- Привязать телефон к корпоративным gmail (они должны принадлежать вам) через данные gmail - можно легко блокировать и стирать телефон удаленно, читать историю браузера и даже перемещений сотрудника.
Это необходимый минимум.

Далее если хочеться MDM,
- Мы пробовали StaffCounter , у них есть софт для Android который полностью мониторит телефон, переписку общение, координаты. Все телефоны видны в web панельке. можно глянуть кто чем занимается, какой софт у кого, кто где был. 60 руб в месяц за телефон.

А подойдет ли такой вариант:
- Выслать заказчику USB flash drive который зашифрован и чтобы его посмотреть надо ввести пароль и в специальной программе можно будет посмотреть пару раз Картинки. Но их невозможно будет сохранить (только экран сфоткать, т.к. функция Скриншота в этот момент будет заблокирована в ПК).
- Опционально через XX дней эту флешку уже можно выкинуть ну либо отдать крипто-аналитикам чтобы они за 5000 usd поковырялись неделю с этой флешкой, чтобы открыть данные.
Если подходит даю ссылку , но софт платный:)

Я не использую ICQ
Но Есть платные DLP программы. Фильтрует отдельно взятое приложение на предмет отправки файлов в сеть. Например Я настроил так что невозможно прикрепить атач в Gmail в любом браузере а также невозможно отправить файл через Skype (Windows)

Поддерживаю вариант с Windows Remote Desktop.
Но есть решения и для отдельного Ноута :
- Зашифровать Ноут можно и даже нужно - VeraCrypt в помощ, а также можно настроить аппаратный USB ключ (типа ruToken с ПИН кодом) чтобы человек не знал и не использовал пароль - а вставлял ключ и вводил ПИН для того чтобы ноут Загрузился. Ибо сложный пароль он запишет на бумажку.
- контроль устройств: платный софт - StaffCounter: заблокирует подключение других устройств, Блутуз, DVD, запретит загрузку ПО из интернета (и его Деинсталяцию в том числе) , отправку файлов в сеть в том числе LAN/FTP , и в общем будет следить за действиями пользователя, скриншоты и всякое такое.
- Насчет Сети пока не приходит в голову решение.

Если вам нужна Система Слежения за Сотрудниками, но внедрять ее надо как DLP .
тогда посмотрите в сторону StaffCounter - куча функций слежения, учет рабочего времени и немного DLP.
Фиксированная цена 120K Руб, с годовым обслуживанием за серверную версию, число сотрудников\пк неограниченно.