Se configurarán los equipos previamente a su entrada en operación, de forma que:

a)      Se retiren cuentas y contraseñas estándar.

b)      Se aplicará la regla de "mínima funcionalidad":

1.      El sistema debe proporcionar la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra funcionalidad,

2.      No proporcionará funciones gratuitas, ni de operación, ni de administración, ni de auditoría, reduciendo de esta forma su perímetro al mínimo imprescindible.

3.      Se eliminará o desactivará mediante el control de la configuración, aquellas funciones que no sean de interés, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.

c)      Se aplicará la regla de "seguridad por defecto":

1.      Las medidas de seguridad serán respetuosas con el usuario y protegerán a éste, salvo que se exponga conscientemente a un riesgo.

2.      Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.

3.      El uso natural, en los casos que el usuario no ha consultado el manual, será  un uso seguro.