Se uma máquina Windows estiver sendo usada como um cliente web, uma boa idéia é usar o Firefox com o complemento NoScript. (E, claro, Adblock Plus; isso é evidente.)
Se você acidentalmente navegar em um site com scripts maliciosos, o NoScript salvará sua bunda.
NoScript pode ser intrusivo e requer educação do usuário. (Se o usuário apenas disser cegamente que sim a todos os scripts, isso é inútil.)
Instale o Evince para ler PDF's; fique longe da Adobe. (Existe uma maneira de mostrar o Evince incorporado no Firefox: link .)
Não use o Windows Media Player; instale uma alternativa. O Windows Media Player permite que os arquivos de mídia solicitem ao usuário o download de itens. "Você precisa de um codec especial para reproduzir este vídeo. Clique para instalar o FOO.EXE."
Treine seus usuários para não baixar e abrir anexos não confiáveis recebidos por e-mail e nunca dizer sim a qualquer caixa de diálogo inesperada.