Единственный нормальный технический (не организационный) способ ограничить доступ к БД программы - это терминал (ограниченный список допущенных программ, никаких ремапов дисков, портов и т.д.). В случае с 1С это еще более ярко выражено, у системы нет нормальных ограничений прав доступа. Кстати интернет так же можно поместить в отдельный терминал-сервер и работать только удаленно. Так как очень мало средств (дыр?) получения доступа к серверу и клиенту через терминальное подключение.
P.S. Обязательно отказаться от паролей - биометрические системы уже давно не новинка, да и не такие уж и дорогие. Но тут потребуется доработка напильником используемое ПО. Пароль на бумажке у монитора - это негласная норма, с печальными последствиями.
В случае с нетерминальными решениями - скурпулезно выставлять заслоны на запуск 'неправильных' программ (есть средства с помощью политик). Они так же обходятся, но очень сложно (например диалоговые окна открытия файлов могут дать возможность открыть на запуск ЛЮБОЙ запускаемый файл, как я понимаю это решено не на 100%). Отключить все автозапуск, никаких административных прав по умолчанию. На сколько я знаю есть средства (сторонние?) запуска приложений из определенного аккаунта из командной строки с указанием логина и пароля - значит выставить дополнительный заслон и этим, запуская нужные программы под другим доступом. Но повторяю, если опытный пользователь/хакер сможет запустить СВОЮ программу на компьютере, защитить данные будет практически невозможно, так как пароли можно скейлогить, доступ между программами можно через хуки получить (или те же идеологические дырки в SendMessage, были примеры дырок незакрытых, когда код из не привелигированного пользователя запускался с помощью сервиса антивируса с полными правами).
В общем в windows организовать техническую защиту терминалов проблематично (возможно есть недешевые средства сторонние...) имхо терминалы нужно уже давно делать linux/unix, там больше готовых средств обеспечения безопасности (в т.ч. идеологических), но в случае с 1С наверняка опять приведет к терминальному решению.. имхо не готова еще 1С нормально работать на Linux.