Grub это все умеет. Если ставить только Windows, то во времена "до виртуальных машин" работал рецепт ставить Win последовательно начиная с самой старой, в т.ч. и серверные версии, в контексте установки их серверность не должна играть роли.
Есть ли какой нибудь список тестов на безопасность, или какая нибудь спецификация по которой можно систематизировать и автоматизировать тестирование безопасности веб сайта?
У OWASP есть описанные и достаточно актуальные методологии.