Como proteger uma imagem VMWare o máximo possível

A situação:

-Um ambiente corporativo, com um desktop XP gerenciado corporativo (bloqueado, corrigido regularmente, direitos de usuário restritos, sem instalação manual de SW, AV, etc.)

O requisito:

- Usando o VMWare Workstation, execute uma imagem em área restrita (também XP) para fins de teste específicos (com direitos de administrador na VM guest). Nenhuma conectividade de rede é necessária. Não pode ser uma estação de trabalho física autônoma separada desconectada da rede.

(FWIW, este é um requisito legítimo e sancionado - não alguém tentando contornar restrições corporativas.)

O desafio:

- Faça isso da maneira mais segura / segura possível.

A solução proposta:

-Crie uma imagem com uma rede somente de host.

-Talvez remova o adaptador ethernet virtual? (não tem certeza se é necessário para a funcionalidade básica do VMWare?)

A questão (finalmente):

-Quais riscos potenciais permanecem (e como eu poderia mitigá-los melhor)?

Um desafio é que a VM convidada não será uma estação de trabalho gerenciada, portanto, patching, AV, etc. não podem ser garantidos (e, ironicamente, seria de fato um pouco difícil, dada a solução proposta!)