Если не сама ОС или её обновление, то плагин положит систему. В ответственных местах предпочитаю ставить ОС с надежного дистрибутива, отключать обновление и средствами файрвола разрешать только определенные порты (по возможности, с определенными IP). Из моего опыта эксплуатации Windows так получается надёжнее всего.
Для домашнего использования - надежный дистрибутив, отключенное обновление, хороший антивирус.
Полагаю, для профи отсутствие отключения обновления серьезной проблемы не составит - обновление можно отключить и в Панели управления администрирование/службы.