Ein "intelligentes" externes NAS ist die Lösung für dein Ansinnen
(egal ob das dann per USB oder per Ethernet/WiFi mit deinem PC verbunden ist)

- Solche NAS haben stets ein eigenes Betriebssystem(manche was komplett propitäres, manche was auf z.B. Linux basis).
- wenn du dort Laufwerke oder Verzeichnisse auf ReadOnly setzt, dann hat dein PC da nur LeseRechte, egal ob du oder ein Trojaner auf dem PC Admin ist oder nicht.
- einige NAS Systeme haben sogar noch Schlüsselschalter pro Einschub, um hart einzelne Laufwerke zu oder weg schalten zu können
- sehr gute NAS arbeiten intern mit automatisch versionierten Filesystemen und sehr großem Reservespeicherplatz... heißt ein Trojaner kann dir zum Zeitpunkt der Datensicherung wenn du explizit mal Schreibzugriffe erlaubst zwar alles löschen, überschreiben,verschlüsseln... aber es zerstört nur den aktuellen Zugriff, denn du kannst wenn du das NAS wieder in den Readonly Mode setzt, dann einfach auf den vorherigen Stand der zerstörten Dateien zurückschalten
- andere NAS lösen das mit automatischen sequentiellen Snapshot-Backups auf NAS interne Datenspeicher, welche niemals von außen zugänglich sind... da kannst du dann auf einen "kompletten" Snapshot-Stand zurückgehen



...zu deiner Frage ob es PC etwas internes gibt, was Schadprogramme "mit sehr hoher Wahrscheinlichkeit" nicht umgehen können:
ja, man kann manuell im BIOS SATA und USB Ports oder Controler deaktivieren/aktivieren... so kann man interne Datenträger "recht sicher" dekativieren... aber jedes mal ins BIOS gehen und dort was ein/aus schalten ist nicht so das Wahre, wenn man nicht physisch Zugang zum PC hat.. denn RemoteBiosZugriff gibt es erst bei sehr guten Servern oder via spezieller externer Zusatzhardware