1. По умолчанию USB-устройство в VMWare может быть одновременно доступно только 1 виртуальной машине, поэтому рекомендую рассмотреть возможность использования решений, имеющихся на рынке: программные решения (для проброса USB-портов по сети) или программно-аппаратные USB-концентраторы, например, Anywhere USB. Вторые устройства более гибкие и эффективные в использовании, а также поддерживают различное количество используемых USB-носителей.
2. Для этого нужно настроить реакцию (сценарий) на извлечение конкретного USB-устройства в операционных системах виртуальных машин. Сценарий может включать в себя и выключение машины, и блокировку тома, зашифрованного BitLocker (утилита manage-bde с ключом -lock). Если есть опыт написания сценариев под Windows, можно сделать это самостоятельно, также можно воспользоваться готовыми решениями, которые позволяют задавать команды при монтировании/извлечении USB-устройств.
На рынке средств защиты есть специализированные программно-аппаратные комплексы, позволяющие организовать защиту данных на серверах и настроить реакцию на сигналы тревоги. Причем, есть возможность использования радиобрелоков и тревожных кнопок, по нажатию на которые диски экстренно отключаются, и информация становится недоступной.