Итак, вы уточнили вопрос, поэтому напишу конкретно.
1. Настроить виндовый брэндмауер в параноидальном режиме, отрубив все, что не должно иметь доступ в Интернет и из Интернета.
2. Если на роутере есть брэнмауэр, настроить аналогично.
3. Регулярно ставить обновляния вручную(или централизированно, в крайнем случае) или включить автообновления.
4. Если компьютер в домене, запретить посредством групповых политик и AppLocker'а запуск из не-системных и Program Files папок приложений. Ограничить круг пользователей, имеющих доступ к этому компьютеру. В идеале доступ должен быть у администратора домена и аккаунта пользователя.
5. Отключить стандартного Администратора, создать аккаунт с такимим же именем и сложным паролем. Разумеется, нужно создать другого администратора с еще более сложным паролем.
Вроде бы все, но если уже разыгралась паранойя то можно еще IDS прикупить :D
