Sì, il problema non è tanto tenerli separati dal mondo, quanto il fatto che alla fine ci devono lavorare, sui file. E se un file è infetto c'è poco da fare.
Più che separarli (un minimo ci sta, almeno che non siano raggiungibili in modo diretto dalla rete aiuta a prevenire attacchi), agirei sui permessi di esecuzione (macchine che lavorano in account senza i diritti di admin), e firewall, antivirus e sistema operativo sempre aggiornatissimi.

Poi, se uno vuole bucarti, ti buca...