Можно ли ставить автоподключение к RDP на рабочий стол юзеру?

обрисуй начальству риски потери баз 1С из-за сохраненных паролей, предложи закупить смарт-карты в виде USB-токенов (etoken Java - 1400 рублей). Объясни на примере аналогии с банковской картой: нужно иметь физический объект и знать пинкод к нему, если чегото одного нет - денег (т.е. доступа) нет. Поясни отдельно и добейся, чтобы подтвердили что услышали, что ты не сможешь (и никто не сможет) расшифровать закриптованные базы и придется платить хацкерам много биткоинов, в случае описанных негативных последствий.
Ежели токены закупят - настраивай доменную политику безопасности, поднимай внутренний CA, запрещай вход по паролю.
пароли в корпоративной среде - очень плохо, почти так же как и использование Экселя для автоматизации. Эксель хуже.

У всех на мониторах приклеен пароль на все.
А на рабочем столе есть файл с паролем.
Это сильно плохо?

Плохо это или хорошо решать вам. Если это создает или может создать какие-то реальные проблемы, то очевидно это плохо. Если нет - то почему бы и нет, ничего плохого в этом нет.

И как с этим боротся?

Чтобы знать как , нужно сначала узнать для чего.

Просто подумайте сколько вам будет стоить по деньгам и трудозатратам потеря данных скажем за день работы, или за полдня.
Сколько будет стоить доступ к данным сторонних лиц, или утечка данных на сторону.
Т.е банально оцените риски.
И уже после этого зная реальные угрозы можно решать что безопасно, а что нет, и как и от чего строить защиту. И главное сколько денег и времени на это тратить.

Начнем с такого варианта.

Где бэкапы? Если в сети появляется криптор - он до них дотянется?

Далее.

Стоимость простоя конторы за сутки. Если руководство спокойно относится к такой фигне - ну тогда можно забить. Если же оно напряжется - думать о более частом бэкапе или даже о реалтайм-зеркале.

И самое главное.

Насколько ваши данные имеют ценность? Вы монополист в своей сфере? Много ли у вас конкурентов?

К чему последние вопросы? Завтра я нанимаю девочку Машу, которая устраивается к вам на работу, отрабатывает испытательный срок, который проваливает...а в процессе работы сливает на личную почту все, до чего сможет дотянуться. Если пароли на мониторах, значит никакого контроля нет в принципе - соцсети, мессенджеры, личная почта, любые свои устройства по USB.

Или сценарий жестче - девочка Маша заносит в систему криптор, который стартанет дня через два после ее увольнения.

Готовы к такому?

Если нет, то подумайте, как будете защищаться. И самое главное, сколько денег на это готовы потратить. Потому что кроилово ведет к попадалову.