1. Firewall - обязательно. Какой именно - на вкус, цвет и возможности (аппаратный или софтовый, и какой именно). Уточните - возможности, через что выходите (железка), ОС того, что прикрывать надо... Все Вами перечисленное можно вроде как через VPN организовать. Причем, в Вашем случае, имхо, нужен 1 хороший файрволл сразу за каналом+ "персональные" файрволлы на каждой машине.
2. ОС на машинах ? В W2K достаточно многое сделать можно с помощью политик. При этом главное - точно определить необходимый и достаточный минимум прав для работы пользователя(-ей) на каждой конкретной машине - и установить его. Хинт: любые административные действия извне - жестоко ограничить.
3. Читать: книги по TCP/IP

.