Sicherheit Thin Clients

Hallo Zusammen,

nachdem ich lange erfolglos gegoogelt habe, versuche ich es hier mal.
Folgendes:

In einer Außendienststelle sollen Thinclients eingesetzt werden. Die werden vielen Leuten zugänglich sein. Wir wollen nach Möglichkeit einen sehr hohen Sicherheitsstand. Generell kann man Thin Clients abschirmen. Wir suchen nach Möglichkeiten die dort eingesetzten Thin Clients so abzuriegeln, dass man nicht das interne Netz angreifen kann. Es geht also darum, dass die Anwender mit den Thin Clients keine Gefahr darstellen und alle potentiellen Gefahren verhindert werden.

Ist es möglich mit einem TC eine andere, selbst definierte Sitzung aufzurufen? Wenn 'JA', wie kann man das verhindern?
Kann man an das Betriebssystem des ThinClients selbst dran zu kommen, indem entweder
a) die Konfiguration über die Oberfläche möglich ist?
b) direkt auf das Betriebssystem (Kommandozeile) zugegriffen werden kann
Kann man von einem externen Datenträger (USB-Stick, USB-CD-ROM etc.) booten und
a) mit einem anderen Betzriebssystem arbeiten?
b) auf den TC zugreifen und das eingebaute Betriebssystem manipulieren?
Kann man Kennwörter auf irgendeine Art zurücksetzen (z.B. durch Entfernen einer Batterie, stecken eines Jumpers, spezielle Tastenkombination o.ä.)?
Gibt es sonstige Möglichkeiten, den Thin Client für "Angriffe" von innen auf das Netz bzw. andere Netzkomponeten zu nutzen?

Wir wollen, dass die Anwender weder die Thin Clients mit soft- oder hardware kaputt machen (wenn die mit nem hammer drauf hauen, ist der TC kaputt), noch das interne netz mit den TC angreifen und zerstören können.

MfG
Fireron