Innebygget funksjonalitet (både i operativsystemer og i applikasjoner) i klienter, servere og nettverksutstyr som ikke er nødvendig for virksomheten bør vurderes deaktivert, for dermed å redusere angrepsflate. Det kan gjelde f.eks:
- i) Eldre eller ubrukte protokoller,
- ii) Innebygd støtte for bl.a. personlige sky-tjenester.
- iii) Innebygde tjenester virksomheten ikke kommer til å benytte.