Isolamento dischi tra sistemi operativi Windows 11 su SSD diversi

[Metalfrio]

Salve a tutti,

sto per cimentarmi in un'impresa non banale e mi farebbe piacere un confronto con voi.

Ho un PC con tre SSD fisicamente separati (C:, D: ed E:), ognuno dei quali contiene un'installazione indipendente di Windows 11 Pro.

Il mio obiettivo è questo:

Quando avvio Windows dal disco E: voglio che né gli utenti (anche se amministratori) né i programmi (anche potenzialmente malevoli) abbiano accesso ai contenuti presenti sui dischi C: e D:.

Al momento, ho semplicemente nascosto i dischi C e D tramite Gestione disco, ma sappiamo bene che questo è solo un palliativo. Qualsiasi utente con un minimo di competenze o qualsiasi malware avanzato può facilmente aggirare questa misura.

Quindi la mia domanda è:

Qual è il metodo più efficace per isolare i dischi C e D quando lavoro su E, senza ricorrere a soluzioni come sandboxing o virtualizzazione completa?

Idealmente, mi piacerebbe:

• Bloccare l’accesso in lettura e scrittura ai dischi C e D da parte di tutto ciò che gira su E;
• Mantenere comunque la possibilità di avviarli normalmente da BIOS/UEFI all’occorrenza;
• Utilizzare strumenti nativi di Windows (come i permessi NTFS, AppLocker, criteri locali, ecc.) o eventualmente qualche utility ben conosciuta ma affidabile.

Chi ha già affrontato uno scenario simile?
Quali strategie consigliate per ottenere un isolamento reale e solido, mantenendo un certo livello di flessibilità?

Grazie in anticipo!

 

[r3dl4nce]

Se gli utenti sono amministratori, non puoi bloccare accessi. Devi mettere utenti non amministratori e allora puoi impedire accesso a altre cartelle

 

[Liupen]

La butto lì perchè sono d'accordo, occorre creare utenti non amministratori ma se ad esempio isolo fisicamente gli ssd?

Senza fare dei cassettini estraibili, ma utilizzando nvme su schede adattatori pcie?
In teoria da bios potrebbero essere attivati o disattivati alla bisogna.
Che ne pensi @r3dl4nce?

 

[r3dl4nce]

Senza fare dei cassettini estraibili, ma utilizzando nvme su schede adattatori pcie?
In teoria da bios potrebbero essere attivati o disattivati alla bisogna.

Fattibile, ma che sbatti...

Basta gestire i permessi utente, tanto se ci sono degli utenti che non devono vedere tutto, vuol dire che non devono essere amministratori

 

[Blume.]

si potrebbero configurare i permessi NTFS per limitare l'accesso ai dischi, potrebbe rimuovere i permessi di lettura e scrittura per tutti gli utenti tranne l'amministratore sul disco che non vuoi che sia accessibile.

 

[Metalfrio]

L’opzione di isolare fisicamente gli altri SSD credo sia davvero la più sicura in assoluto… ma, diciamolo, è anche una bella rottura di scatole. Isolarli direttamente da UEFI sarebbe fantastico, ma purtroppo — almeno nel mio caso — non sembra essere possibile.
Ho una scheda madre ROG STRIX Z690-A GAMING WIFI D4, e dopo aver creato manualmente una partizione EFI (ESP) anche per il secondo e il terzo disco, ho notato che dal BIOS posso solo rimuovere un disco dalla "Boot Priority". Peccato che questo non serva a impedire realmente l'accesso al disco, né lo disabilita.
Ho anche controllato nei menu Advanced > SATA Configuration e NVMe Configuration, ma se ho visto bene, non c’è un’opzione per disattivare completamente un disco di avvio. Ho pensato che si potrebbe ottenere qualcosa smanettando con le impostazioni di PCIe/NVMe Lane Sharing, ma sper me è un terreno un po’ minato perche non conosco le impostazioni.
Un’alternativa interessante, come è stato suggerito, sarebbe utilizzare un adattatore PCIe M.2 NVMe con switch fisico, che permetta di attivare o disattivare manualmente l’unità. Il problema è che ho solo uno slot PCIe libero, quindi ciccia.
A questo punto, come ultima risorsa per incasinarmi per bene la vita, potrei optare per una gestione rigorosa dei permessi NTFS. Non è il massimo della sicurezza assoluta, ma almeno offre un certo livello di controllo software — e richiede meno smontaggi fisici ogni volta.

 

[r3dl4nce]

A questo punto, come ultima risorsa per incasinarmi per bene la vita, potrei optare per una gestione rigorosa dei permessi NTFS. Non è il massimo della sicurezza assoluta, ma almeno offre un certo livello di controllo software — e richiede meno smontaggi fisici ogni volta.

Devi comunque lasciar egli altri utenti non amministratori. E sì, s impostati correttamente i permessi ntfs sono sicuri, purché appunto chi non deve avere accesso indiscriminato non abbia privilegi di amministratore