Systemen kunnen servers en werkstations zijn, voorzien van verschillende besturingssystemen. Ook hier bepaalt de scope welke systemen worden gescand op bekende kwetsbaarheden. Verder wordt de configuratie van de systemen vergeleken met eisen zoals die zijn gesteld door de organisatie. Tevens kan de configuratie geanalyseerd worden in hoeverre deze voldoet aan beveiligingsstandaarden, het zgn. system hardening, opgesteld door fabrikanten (Microsoft, Red Hat) of overheidsinstellingen (NCSC en NSA).