如何在不同的驱动器上安装两个 Windows，并确保一个 Windows 安装无法访问另一个驱动器上的文件？

我无法相信“不安全的软件”（除了 Windows 10）需要“最大硬件和驱动程序”？

这通常会在上述的沙箱/刻录机/虚拟机情况下进行处理。

也就是说，任何可以访问物理机器的东西都可以访问该机器。我相信 win10 有 uefi 挂钩，所以它仍然会让你的机器容易受到任何攻击。

加密是最好的选择，但它无法缓解勒索攻击（即加密数据被重新加密），也无法缓解低级键盘记录器，或者，或者，或者。

如果您想尝试操作系统和可疑软件，使用双启动或单独的磁盘将非常低效。

你需要重启才能进入实验环境，而且如果坏了，你还需要重建它。非常慢。

使用一台不错的现代机器（尤其是 SSD 驱动器），您可以构建性能非常好的虚拟机。我在这里一直使用虚拟机工作。

设置 Windows Pro 主机，然后使用 VMware Workstation Pro（非常灵活）或 Hyper-V（Windows Pro 附带，不错，但不如 VMware 灵活）。我在两台不同的主机上都安装了这两种软件。我主要使用 VMware Workstation，因为我喜欢它的灵活性。

在实验方面，您可以备份虚拟机，根据需要进行实验，并在完成后恢复备份。

关于这一点有两点：

（A）如果可疑软件支持网络，请使用仅限主持人将您的虚拟机与主主机隔离的连接。

（B）如果实验是短期的，也可以考虑使用 Windows Sandbox。这是一个临时的 Windows 机器，与主机隔离，然后在主机重启时消失。

尽管 Sandbox 也适用于最新版本的 VMware Workstation Pro 和 Windows 11 Pro，但它最适合与 Hyper-V 配合使用。

沙盒与主机使用相同的操作系统（如果主机是 Windows 10，则沙盒使用 Windows 10；如果主机是 Windows 11，则沙盒使用 Windows 11）。如果您使用的是 Windows 11 主机，则可能需要 Windows 10（或更低版本）虚拟机。这意味着虚拟机的灵活性。

不安全的软件可能意味着很多事情，而不一定一定是所描述的那样：冲突的驱动程序、同一程序的多个版本，都可能是不安全的，这意味着如果不在单独的环境中进行，它们可能会产生影响操作/生产力的不稳定性。

而且还有很好的理由（尽管在大多数情况下并不适用）不采用虚拟机。 一些理由是：如果需要通过 PCI 设备，内存分配将被锁定；使用加密文件系统时的性能/磁盘使用率（所有空间都已分配，快速备份系统映像等）

例如，我已经努力了一年多，试图拥有 2 个独立的 NVME，它们都带有独立的 Win 系统，并且都带有 bitlocker：一个托管公司发布的 Windows 映像，另一个托管我的个人操作系统。我希望两个驱动器完全独立，这样无论发生什么，我都可以：

• 删除我的个人驱动器/映像后，将系统连同其原始驱动器/映像一起返还给公司
• 如果我出于任何原因删除我的个人 nvme，我能够在另一台计算机上安装和访问它，同时在笔记本电脑丢失的情况下保持它加密。

以下是我物理安装两个驱动器的方法：

• 在驱动器 0 上部署公司映像。在 winPE 期间，我删除了分配给驱动器 1 的驱动器号：公司策略加密所有不可移动的内容。
• 转到 BIOS，禁用驱动器 0（系统根本看不到它），安装个人映像（不希望 Windows 检测其他安装/启动管理器，而是希望它独立）。

很长一段时间以来，我都遇到了 bitlocker 在启动时询问密钥的问题；我花了一段时间才明白这是因为我使用了带有 2 张卡的外部雷电 PCIe 外壳并且激活了 TB 预启动：已安装的 PCIe 设备（对接/未对接）的更改会触发 TPM->BitLocker。

但即使现在，我已经禁用了 TB 的 PCIe 预启动，但这仍然在我的个人图像上发生，我真的不明白为什么。

引用原帖/作者的话：除非（如果可以的话）你每次都想进入 BIOS 并启用/禁用非测试分区以使其对“不安全”分区不可见，否则你几乎无能为力。加密将阻止不安全磁盘的软件读取安全磁盘的数据，但不会覆盖它。