I kdybyste ochránil samotné stroje s WinXP, v takovémto scénáři stejně jen zmenšujete škody. (Ano, lepší než nic.) I koncové počítače budou mít přístup k zajímavým datům. Jen by se malware na CT dostal jen k datům z CT a ne k datům z RTG.
Pomohl by tu vhodně nakonfigurovaný QubesOS. Není problém nechat otevírat linky z mailu v DispVM, u příloh by to asi taky šlo vynutit, atd. Útočník by pak možná něco vyphishoval nebo ukradl credentials ke zmíněnému Facebooku, ale to je tak všechno.
Praktický problém ale je, jak spravovat hromadu strojů s QubesOS. To by si vyžádalo nějakou customizaci, která by ale stála nějaké peníze.