系统安装从操作系统安装开始。一个有网络连接的、没有打补丁的系统，在它的安装和继续使用阶段是脆弱的。在这个阶段，系统不被暴露是十分重要的。理想情况下，新系统应该在一个受保护的网络环境中搭建。这个网络可以是一个完全独立的网络，使用可移动的媒介（如光盘和U盘）把操作系统镜像和所有可用的补丁包传输过来。另外，要留心这里使用的媒介没有被恶意软件感染。这个网络也可以是一个访问受限的广域网。理想情况下，系统禁止入站访问，而出站访问仅仅能访问系统安装和打补丁所需要的关键站点。无论哪一种情况，系统的所有安装和加固，应该在系统被部署为能够访问它希望访问的、更易于访问的（因此也是脆弱的）的站点之前完成。

初始安装应该仅安装系统所需的最少组件，以及系统正常工作所需的额外的软件包。

系统的整个启动过程也应该加以保护。这可能需要调整BIOS中用于系统初始启动的某些选项，或者指定一个更改BIOS设置的口令。还可能需要限制可以启动系统的媒介，如禁止从U盘启动系统。这可以阻止攻击者通过改变启动过程来安装一个秘密的管理软件，或阻止其绕过正常的系统访问控制来访问本地数据。

任何额外设备的驱动程序的选择和安装，也应该十分小心。因为驱动程序运行时拥有完全的内核级特权，但是它们常常是由第三方提供的。这些驱动程序的完整性和来源必须经过仔细验证，确保其拥有较高的信任级别。一个恶意的驱动程序可以绕过许多安全控制来安装恶意软件。(www.daowen.com)

考虑到常用的操作系统和应用中的软件或其他漏洞不断地被发现，因此，尽可能地保持系统最新、安装所有与关键安全相关的补丁包是十分重要的。几乎所有常用的系统现在都提供可以自动下载并安装安全更新的工具。这些工具应该被配置成，一旦有补丁可用，马上就下载并安装。

注意，在更改受控的系统上，不应该运行自动更新，因为安全补丁会引起系统的不稳定，尽管这种情况比较少见但的确出现过。因此，对于那些对可用性和运行时间要求极严格的系统来说，应该先在测试系统上规划和验证所有的补丁程序，然后再将它们部署到生产系统中。