Суть этого "серверного ПК" - на хосте нет никакого стремного ПО. И
там ничего оперативно не имеет доступа в сеть, кроме самой хостовой
ОС и ее виртуалок. По инету лучше лазить из отдельной виртуалки.
Рабочий комп имеет доступ к основному информациоонному массиву RO, кроме специально расшаренных папок.
Когда нужно навести порядок в хранилище - удаленная сессия с рабочего ПК.
Если это будет целенаправленно ломать, от этого трудно защититься. Но этому кто-то должны заплатить денег, чтобы он тобой занялся. Описанная схема от многих типовых проблем защищает.