Hur tänker du kring säkerhet och användningen av en känslig PC?

Frågan är lite bred, men jag har funderat ett tag.

Om man ska ha en PC med Windows 10/11 som ska användas i affärssammanhang där det hanteras både känsliga och ibland hemliga dokument, interna och externa.
Då kan man inte sitta och surfa runt på div tveksamma sajter med samma dator så att säga.
Samtidigt är det ju onödigt med två datorer (dualboot inte ett alternativ).

Mycket av säkerhet idag handlar ju om hur man använder något såklart.
Och en bra grund är ju Linux i såna fall kan jag tycka, men detta rör en kollega som bara vill att det ska fungera utan att lära sig nya saker.

När man har en dator på kontoret blir det ju lätt "ska bara" kolla om bildelen man söker finns kvar, eller om det finns biljetter till kvällens bio, lunchmaten idag o.s.v. av ren vana på arbetsdatorn.

Grundscenario
- Datorn kommer stå på ett kontor. Skalskydd och åtkomst är ordnat så fysisk tillgång av annan part är minimal risk.
- Används för dagligt arbete, kolla dagens lunch eller söka upp information om saker och ting.
- VeraCrypt körs sedan innan och USB-keys för att ens kunna logga in.

Hur bör man tänka här?
Ska man skapa en väldigt limiterad användare som används för företagsgrejerna
Och en annan där man kan logga in för att kolla vad lokala lunchhaket har på buffen idag, eller annat icke relaterat som kan göras på arbetsdatorn ibland, kolla youtube t.ex.

Några saker jag kommit på
- Var inloggad på tjänster, t.ex. youtube, google, facebook etc. i en browser som inte används för annat (motverka coockie hijack delvis)
- En browser för icke arbetsrelaterad surf
- En browser för arbetsrelaterad surf
- Ev. logga ut och använda helt annan användare för mer icke affärsrelaterat. (risk för spridning av ev. virus ändå antar jag mellan users)
- Grundläggande antivirus etc.
- Lagring sker mot en arbetskatalog på en NAS, övriga saker är read only. Inget sparas på datorn i sig.
- Eventuellt slänga på en PiHole med blocklists över kända fulsajter för att motverka icke avsiktliga klick eller besök.

Fyll gärna på med era tankar om ni har förslag eller kölhala mig om ni tycker jag är vilse i något 😁

Nej inget som avser samhället, försvar eller liknande, de har ju ofta medföljande policy hur de ens får hanteras också.

Vet att kollegan kommer ha "ska bara" moments, där han kollar efter dagens lunch eller kollar öppettiderna på saker.
Egentligen är ju en extra burk det bästa som inte är ansluten till internet som du nämner och en KVM-switch för en till dator för mindre viktigt arbete. Kostnaden inte extrem heller.

Tack för länk, ska kika lite.

Ägaren själv som ska sitta där, men jag försöker få till lite policy och annat tänk hur man ska använda en dator som även hanterar känslig information 😁

Tack för alla svar.

Det blev denna lösning för kollegan.

- Ny dator som är uppsäkrad och utesluten från internetaccess - men har access till lokal NAS, vlan-isolerad från resten. USB-uttag i fronten urdragna, mest för att eliminera "oj, satte i fel" 😁.
- Enklare KVM-switch som ändå pallade rätt bra upplösning.
- Gamla datorn behålls på sidan om för allt annat som ska göras.

En liten chatklient - oklart vilken - ska installeras mellan de två datorerna, t.ex. om det förekommer en länk i någon dokumentation på arbetsdatorn ska den kunna kopieras till "surfdatorn" för att klickas på.
Oklart hur vi löser det ännu, eller om man bara har en notes-fil på NAS.