我完全理解你的顾虑——一台不更新系统的Windows 10机器，既要用NAS共享的切割文件，又怕它把风险带到核心资源上。结合你已经做好VLAN/子网隔离的基础，下面是几个经过实践验证的最佳做法：

• 给共享资源设置最小权限的专用账号
  别用NAS的管理员账号给这台PC用，专门创建一个本地用户（或者域用户如果有的话），只给它只读权限到激光切割程序和相关文件的特定文件夹——连写入权限都别给，除非它真的需要上传生成的文件（如果需要的话，再单独开一个仅限上传的文件夹权限）。
  密码设置得复杂点，别和其他账号重复，而且定期更换（比如每3个月一次）。

• 在NAS上做IP白名单限制
  把这台Windows PC的固定IP地址加入NAS共享的访问白名单，只有这个IP能访问指定的共享文件夹。这样就算VLAN里不小心混进其他设备，也碰不到这个共享资源。
  如果你的NAS支持，还可以限制这个白名单IP的访问端口，只开SMB需要的端口（默认是445，还有139如果用老协议的话），其他端口一律拒绝。

• 加固SMB协议配置
  这台Windows 10因为没更系统，可能还在用旧的SMB版本，先在PC上禁用SMBv1（虽然你没联网，但旧协议漏洞多）：打开命令提示符（管理员权限），运行sc config lanmanworkstation depend= bowser/mrxsmb20/nsi和sc config mrxsmb10 start= disabled。
  在NAS端也强制启用SMBv2或SMBv3，禁用SMBv1，减少协议层面的风险。

• 把共享文件夹和NAS其他资源隔离
  别把激光文件放在NAS的根目录或者和其他重要数据（比如家庭照片、备份文件）同个分区。最好单独划一个分区或者创建一个独立的存储池，只放激光相关的文件，就算这台PC真的出问题，影响范围也最小。
  如果NAS支持，给这个共享文件夹开启快照功能，定期自动快照（比如每天一次），万一出现意外篡改（虽然你设了只读，但以防万一），可以快速恢复到之前的状态。

• 定期监控访问日志
  在NAS上开启共享访问日志，定期查看这台PC的访问记录——比如有没有异常的访问时间、有没有尝试访问其他文件夹的行为。如果发现可疑操作，立刻切断它的访问权限排查问题。
  也可以在VLAN的交换机上做流量监控，只允许这台PC和NAS之间的SMB流量，其他流量一律阻断。

• 物理隔离备选方案（如果条件允许）
  如果你觉得网络访问还是有风险，可以考虑用USB移动硬盘定期同步文件：把NAS上的激光文件复制到移动硬盘，插到Windows PC上用，用完拔掉。虽然麻烦点，但安全性最高，彻底切断了网络层面的连接。

备注：内容来源于stack exchange，提问作者PMetal