NISTのFDCC(連邦デスクトップコア構成)を確認してください。彼らはWindows XPとVistaのダウンロードを提供しています。
TechNetサブスクリプションでは、古いバージョンのWindowsをダウンロードできます。これは、パッチではなくイメージにインストールできます。
http://technet.Microsoft.com/en-us/subscriptions/hh44291 で購入するか、ボリュームライセンス契約があれば購入できます。
Rapid7のMetasploitable は優れたリソースであり、Metasploitなどのツールで悪用可能な脆弱なWindowsマシンを提供することを目的としています(他の手動の手段を使用してこれらを悪用することもお勧めします)。
DetectionLab にも興味があるかもしれません。これは防御に重点を置いた小さなWindows Active Directoryラボですが、最新のオペレーティングシステムで全体的な赤/青チームの遊び場として使用できます。
どちらにも、セットアップに関する文書化された指示が含まれています。