Ну дыра в винде это еще проще
файрвол + регулярные обновления и ни один публичный сплоит не завалит
если я не неошибаюсь. то под 2й сервис пак вообще нет пуличных сплоитов. не считая конечно различные переплнения буфера в IE и тому подобных "таканьях по ссылкам"