rPman

Много раз отвечал на подобные вопросы следующее:
1. использовать виртуализацию, внутри виртуальной машины любые правила
бесплатно, заметные затраты ресурсов (от 10% до 30% производительности), нет адекватной поддержки 3d видео в госте (для linux хоста есть исключение, можно внутрь пробросить целый gpu)
с легальной точки зрения в виртуалке разрешено запускать только ревизии enterprise windows (дорогие) но технически почти никаких ограничений не происходит даже с домашними

2. использовать windows server и каскадирование подключений rdp (при использовании одного, если отключиться, то кнопки нажимать внутри не получится, но если одна сессия будет исключительно ради открытия внутри себя подключения rdp, то внутри оно будет открытым а это первое может быть отключено.
с лицензионной точки зрения это дико дорогой способ, зато полностью независимые сеансы, нет использования виртуализации, но и не совсем полноценная 3d (спец софт, который затачивают на использование неактивной видеокарты будет работать, но те кто по умолчанию пытаются работать с активной видеокартой, те обломятся)
p.s. для старых версий до 22-го года win10 есть была rdpwrap которая легально включала множество терминальных сессий для десктопных windows, но майкрософту это не понравилось и с ней боролись и победили

3a. использовать linux и для каждого приложения запускать свою сессию, на выбор либо использовать xvfb (отдельная сессия) или надстройки поверх него (проверьте x2go, вроде должно работать если держать подключение)
недостаток - нетривиальная настройка

3b. использовать linux и штатный его механизм разделения сеансов (утилита loginctl, не работает с wayland), позволяет настроить полностью независимые рабочие места, если на каждое подключить видеокарту, мышку, клавиатуру (достаточно видеокарты, управлять по vnc), с помощью xephyr можно обойти требование видеокарта на одно рабочее место.
достоинства - полноценные рабочие места, очень легко настраивать (xephyr все еще сложно)

p.s. все это работает, потому что X сервер изначально может работать в нескольких экземплярах, его даже проще самому запускать (а не мучиться с настройкой lightdm и аналогов)

p.p.s. с неплохими шансами windows приложения будут работать в linux, есть wine есть его форки типа proton от стим... рассмотри эти варианты так как это самое бесплатное что есть и не нужно тратить ресурсы как с виртуализацией.

4. использовать ibik aster (я их уже столько рекламирую, они мне наверное должны уже зп платить ;) ) это то же самое что 3b в linux но для десктопных ревизий windows, по цене годовой подписки рабочего места в один обед.
достоинства - полноценные рабочие места, может работать на одной видеокарте (сколько подключить мониторов/заглушек сможешь), к сожалению мне не удалось тогда настроить автологин всех рабочих мест, но он точно должен быть

Да, для сервера безопасно хранить документы и даже вирусы.

Любой злонамеренный код, что бы заработать, должен быть запущен а документ открыт в просмотрщике, уязвимом к заложенной уязвимости.

p.s. что бы исключить запуск вируса по ошибке администратором сервера, файлы можно хранить на диске с 'техническими' именами (например числовой идентификатор из базы), так как подавляющее большинство приложений (файловые менеджеры, интерфейсы ОС и т.п.) ожидают нужное расширение (часть имени файла с конца с точкой, например ".exe" или в твоем случае ".docx") и/или атрибут файловой системы (linux "x" для скриптов и бинарных файлов)

c++11 и есть стандарт std::thread, std::mutex, std::lock_guard, std::unique_lock, std::condition_variable
типа так:

 std::mutex m;
 // ...
 {
  std::lock_guardstd::mutex lock(m);
  // критическая секция
 }