res2001

Дык ЦБ уже все векторы расписал. От Финсерта письма не получаете что ли?
Подозреваю, что атака идет через подмену файла пакета, выгруженного из АБС в АРМ КБР или на первой стадии или где-то на промежуточной, благо АРМ КБР предоставляет такую возможность. Для защиты надо вводить схему оператор/контролер, чтоб пакеты выгруженные от оператора подписывались ЭЦП, а контроллер вручную проверял соответствие. Либо, если есть поддержка АБС, то проверку может делать АБС, а контроллера можно сделать на автомате.

Смотрите в сторону ipsec nat traversal. FreeBSD поддерживает, на счет микротика - не знаю, но думаю, что должен.

Эта TNS, на сколько я понимаю, собирает информацию с компов, потом стряпает из нее разные опросы и рейтинги. Сам не сталкивался именно с этой дрянью, но тут подход стандартный к любому ПО с подобным поведением. Оно к вам, скорее всего, попало при установке какого-либо бесплатного софта, не отжали где-то галку и т.п. Довольно распространенный способ распространения. Вроде бы и легальный, но за такое поведение хочется придушить :)

Можно предпринять следующее (перечислено по степени сложности):
1.Проверьте настройки прокси-сервера браузеров и если у вас типичная конфигурация (без прокси), то удалите настройки прокси, если они есть. Удалите все не нужные программы и программы, назначения которых вы не знаете, а так же недавно установленные программы (есть риск удалить драйвера устройств). После удаления программ в профиле пользователя и общем профиле (c:\ProgramData) удалить каталоги этих программ из AppData. Почистить каталог %TEMP% пользователя. Очистить кэши браузеров, а еще лучше удалить профили браузеров.
2.Создайте нового пользователя в системе, зайдите им, если такого же поведения не будет - значит ваш шпион прописался в профиль предыдущего пользователя. Можно перенести нужные данные от старого пользователя, а старую учетку удалить. Либо, если учетка дорога как память - удалить профиль старого пользователя, зайти им, профиль создаться с чистого листа. Либо переименовать каталог с профилем, создать новый и перенести информацию. В общем тут действуйте осторожней, чтоб не потерять свою информацию. Если же ничего ценного нет, то можно смело удалять профиль.
3.Если ничего из вышеперечисленного не помогает, то шпион проник в систему достаточно глубоко - установился в Program Files или в виндовый каталог. Найти загрузочный диск/флэшку с антивирусом: есть у каспера, у др.веба готовые сборки. Натравить полную проверку с удалением найденного.
4.Переустановить винду с форматированием системного раздела.

Лично я начал бы сразу со 2 пункта. Если не поможет то 1,3,4. Пункт 3 не особо действенный, но исключать его не стоит.

Реально перенести можно только папку с профилями пользователей:
1.Устанавливаете винду как обычно
2.После установки, на диске D: создаете папку d:\Users, назначаете на нее такие же права и владельца как у c:\Users.
3.В реестре: HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileLists меняете параметр ProfilesDirectory на D:\Users
4.В той же ветке реестра находите подраздел с описанием профиля уже созданных пользователей (они имеют имена в виде SIDа пользователя - длинный набор цифр). Удаляете эти разделы. Разделы с короткими именами удалять не нужно.
5.Перезагружаетесь.
6.Ваш профиль находится в D:\Users.
7.Предыдущий профиль на c:\Users можете либо скопировать (а потом удалить), либо, если там нет ничего ценного просто удалить.

Так же можно перенести некоторые объемные папки из c:\Windows, заменив их ссылками. Т.е. саму папку переносите и на ее месте создаете ссылку с помощью mklink или другого инструмена, который умеет делать ссылки. Но сильно с этим не усердствуйте, думаю system32 и SysWOW64 как минимум переносить не стоит :)

По IP адресу назначения и таблице маршрутизации определяется в какой интерфейс отправлять пакет.
Если адрес назначения непосредственно доступен в сети на интерфейсе, то отправляется ARP запрос в этот интерфейс.
Если адрес назначения непосредственно не доступен, то пакет отправляется на следующий маршрутизатор согласно таблице маршрутизации.
Это обычная схема работы IP маршрутизации, она одинакова, что на шлюзе Cisco, что в винде дома.

Вам нужно сделать эмулятор консоли. Принимаете команду, вводимую пользователем, запускаете команду в реальной/виртуальной консоли, перехватываете вывод в stdin и stderr, выводите вывод в браузер.

Разворачивал DLP от McAfee, никаких тормозов не замечено, все прошло гладко. Не знаю как в InfoWatch все устроено, но у McAfee есть понятие супер-агент - это агент, у которого есть локальный репозиторий пакетов. В каждом удаленном офисе у меня развернут 1 супер-агент, остальные компы в той сети обновляются с него. Поэтому особого трафика между офиса не генерируется, к тому же пакеты по супер-агентам можно раскидать заблаговременно.
Если в сети ранее действовали административные правила, запрещающие пользователям использовать внешние устройства хранения (флэшки, CD/DVD RW и т.п.), то пользователи не заметят, что у них появилась DLP. У меня до DLP как раз были подобные регламенты + в биосе отключали USB где было возможно, CD/DVD девайсов физически вообще нигде не было, кроме админов.
Сейчас DLP работает уже несколько лет, большой нагрузки на сеть не замечено. В политиках DLP заблокированы внешние устройства хранения, кроме особо привилегированных сотрудников.
Вообще разворачивать программные продукты в сети должны админы, т.к. это их прямая обязанность, а вот тонкую настройку уже могут проводить сотрудники ЗИ, если есть квалифицированные кадры. Да и то я бы им и это не доверил - DLP это еще что, вот если бы они персональный фаервол разворачивали, например, при неправильном предварительном конфигурировании можно вообще всю сеть колом поставить. У меня безопасники скидывают нам требования к защите, мы их реализовываем, а они потом тестируют на соответствие реализации требованиям. Админского доступа к DLP и тому подобным антивирусам они не имеют - могут только смотреть настройки и получать отчеты.

В параметрах mstsc нельзя задать имя пользователя и пароль. Либо он должен быть уже сохранен, либо он будет запрошен в графическом интерфейсе.
Если принципиально все делать из ком.строки, то сохранить пароль можно утилитой cmdkey, после чего mstsc автоматически подхватит этот логин/пароль. Этой же утилитой сохраненный логин можно и удалить. Просмотреть сохраненные учетные данные можно в "диспетчере учетных данных".
Если на клиентском компьютере работают несколько пользователей и всем нужен доступ к терминальному серверу, то сохранять учетные данные надо для каждого локального пользователя отдельно.

Что такое база данных master/msdb/model?
В свое время я прокололся на этом, но тогда я ни разу MS SQL в глаза не видел - работал с другими СУБД.
Вопросы по бэкапу/восстановлению, сжатию журнала транзакций/базы данных, репликации/зеркалирование.
Это что касается непосредственно администрирования. Так же скорее всего будут вопросы по T-SQL, но для администратора обычно достаточно базовых знаний.