Welkom bij de pro's
We geven graag info als er voldoende aanleiding is. Ik vis even wat zaken uit je antwoord waar ik weer iets over te zeggen heb.
We hebben geen enkele PC meer draaien op Windows XP, alles draait Windows 7 Pro of hoger.
Windows 7 & hoger is nog steeds: 7, 8, 8.1, 10. Dat zijn 4 verschillende OS'en op verschillende patch-levels met daaraan verwant verschillende (of niet werkende) RDP-clients. Uit mijn hoofd heeft Microsoft alleen al afgelopen jaar 3 criticals uitgebracht die te maken hadden met RDP, certificates & schannel.
Het is de bedoeling dat iedere klant zijn eigen Terminal Server VM krijgt. De DomainController wordt dus wél gedeeld door alle gebruikers, middels rechten en diverse policies e.d. kunnen ze niet bij elkaars data.
Vast praatvoer voor een ander/nieuw topic in het correcte subforum maar een shared AD levert heel veel beheer op indien er iets fout gaat (authoritative restores), audit-wijs (klanten die eens in het jaar een audit krijgen) maar ook RBAC voor je beheerders, bijvoorbeeld.
Exchange wordt geregeld door een Hosted Exchange welke we bij een andere partij afnemen. Dit kost de klant een paar euro per maand voor onbeperkte mail.
Ook voor een ander topic maar wie gaat het daadwerkelijke beheer van de domains, MX-records, SPF-records etc. voor zijn rekening nemen?
Wat ik nu merk is dat het niet hebben of beperkt controle hebben over de hypervisor het grootste nadeel is.
Qua security dacht ik werkelijk dat een AV pakket zoals Symantec / McAfee afdoende was, en nog niet nagedacht over de gevolgen m.b.t je voorbeeld over Cryptoware.
Voor je hypervisor & netwerk: bel je hoster en ga aan tafel. Voor je eigen zaken (alles wat jij beheert/inricht): identificeer je endpoints, protocollen & file-types en ga dan eens rustig een weekend diep de sites van elke grote AV-toko afstruinen & afvinken.
Uiteraard worden er dagelijks backups gemaakt (zowel losse bestanden, als bare-metal). Deze backups worden lokaal op onze eigen servers opgeslagen, er wordt tevens elke week een snapshot gemaakt.
Neem aan dat je met bare-metal de system state van je VM's bedoeld? Of image-level backup via bijvoorbeeld EMC Avamar op de ESX-laag? Zie mijn vorige opmerking over AD: restores moet je kunnen uitvoeren voor klant A zonder dat B t/m Z er last van ondervindt.
Ik zal dus nog moeten gaan uitzoeken hoe ik de users het beste kan isoleren, wellicht had ik uiteindelijk niet voor sessie-based moeten gaan, maar voor VDI.
Weet ik niet. Nog simpeler kan je voor Remote Desktop Application Pools kiezen. Zit je wel met een stukje onderlinge communicatie (zoals DDE voor Office) maar kan je nog meer afschermen. Ook een extra framework zoals RES Workspace Manager of VMware Horizon kan extra zaken dichten voor je "zonder omkijken".
Je gebruikt zeker ook nog RDP over clearnet... niet om je te plagen ofzo, maar hoe heb je andere services op orde? Gewoon een random Windows installatie, overal op next en default geklikt en hopen dat het werkt? 
:strip_icc():strip_exif()/u/180748/avatar%2520nieuw%252060x60.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/142351/IT_crowd60.jpg?f=community)
:strip_icc():strip_exif()/u/85308/mirko.jpg?f=community)