Какой check-list вы используете в работе с Windows 10/ Windows Server 2016?

Что вы используете в обязательном перечне при работе в условиях предприятия для оптимизации ПК и серверов?
Стоит вопрос что в данных версиях по сравнению с предыдущими максимальное количество самозапускаемого хлама.
Условно можно договорится что в среднем ПК на борту запускает: сетевые шары, клиент-банки, офис, 1с, мессенджеры, телефонию SIP, браузеры, почту, средства удаленного доступа, печать на принтеры, торговое оборудование... и тд из стандартного усредненного набора офисного работника может чего забыл.
Со стороны сервера: субд, серверы 1с, веб-серверы IIS и Apache, печать на принтеры, торговое оборудование, криптопрограммы аля vipnet и криптопро, сетевые шары организованные как на нем так и внешние, ftp сервера, бэкап софт, RDP, hYPER-V... и тд опять же усредненно может чего забыл.

Собственно есть ситуации когда в любом случае нужно отключать определенные службы приложения и тд независимо от того что крутится на сервере/ПК.
Обычно что не найдешь в нэте так крайность. Например, работа с обновлениями либо полное отключение либо как есть, причем обычно что не найдешь описано для домашнего пользователя. То есть давайте договоримся в пределах этого вопроса не в ущерб безопасности и актуальности ПО мы занимаемся оптимизацией и с ориентиром на предприятие.
К примеру что я делаю первично независимо от того ПК либо сервер:
1. В gpedit.msc(либо в GPO если домен)
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Карты - включаю "Отключить незапрошенный сетевой трафик...", "Выключить автоматическое скачивание..."
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Конфиденциальность приложения. Отключаю здесь всё кроме доступ к микрофону, доступ к доверенным устройствам, доступ к диагностическим сведениям о других приложениях
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Магазин Windows. Здесь отключаю всё.
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Найти. Здесь отключаю всё что содержит "Кортана".
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Центр обновления Windows. Здесь "Настройка автоматического обновления" =2.

Если это скажем RDP сервер понятно дело специфика, то для него в gpedit делаю:
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Службы удаленных рабочих столов: ограничение сеансов по времени для бездействующих и отключенных сеансов по 2 часа на каждый, перенаправление устройств и ресурсов запрещаю перенаправление аудио/видео,в среде удаленных сеснсов принудительно отключаю фоновый рисунок.

Далее в regedit:
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPSvc
Отрубаю CDP службы который хрен отключишь путем указания ключа Start=2
и в дополнении в cmd sc config cdpusersvc type=own

Далее по службам отключаю и останавливаю либо службы изначально отключены либо руками, указываю имена служб а не выводимое имя служб потому что имена меняются регулярно от системы к системе а имя службы в основном нет:
aspnet_state
PeerDistSvc
CoreScanner
AarSvc_9ef93
CaptureService_9ef93
ConsentUxUserSvc_9ef93
CredentialEnrollmentManagerUserSvc_9ef93
DeviceAssociationBrokerSvc_9ef93
DevicePickerUserSvc_9ef93
DevicesFlowUserSvc_9ef93
diagsvc
GraphicsPerfSvc
KtmRm
MessagingService_9ef93
AppVClient
ssh-agent
QWAVE
rsmdriverproviderservice
shpamsvc
smphost
SQLTELEMETRY
WarpJITSvc
WSearch
XboxGipSvc
NcdAutoSetup
tzautoupdate
WwanSvc
CscService
wmiApSrv
WbioSrvc
DevQueryBroker
svsvc
WebClient
vds
autotimesvc
embeddedmode
seclogon
AppReadiness
p2psvc
RasAuto
DsmSvc
XblAuthManager
MapsBroker
p2pimsvc
pla
sppsvc
gpsvc
HgClientService
MSDTC
SNMPTRAP
RpcLocator
RemoteAccess
wcncsvc
SQLBrowser
defragsvc
DoSvc
wercplsupport
SCPolicySvc
BcastDVRUserService_9ef93
wlidsvc
и тд и тп

Потом еще руками заходу в раздел конфиденциальность и отключаю всё что связано с отправкой в службу microsoft, получением данных и прочие не нужные в работе службы и функции.
Проблема собственно как этот бардак организовать и что порой нужно отключать а что нет. Вот к пример на Windows server постоянно ругается на службу MapsBroker, хоть кто-то хоть раз ей пользовался? Как убрать эту хрень? А к примеру служба LanmanServer нужна как на сервере так и на ПК для доступа к сетевым шарам, ок я знаю как служба называется правда какого черта Microsoft назвала службу "Сервер" она же LanmanServer, логично а? А если это служба TapiSrv вот спрашивается служба называется телефония и нафиг она нужна, скажем у меня используются на ПК как мессенджеры так и SIP телефония и вопрос влияет ли данная служба на работу телефонии или качество звука? Про брандмауэр Windows вообще молчу, вот к примеру "Маршрутизатор AllJoyn (входящие TCP)" и спрашивается нужно он мне или нет. По каждому правилу вчитыватся в 400стр мануалов чтобы сделать в дальнейшем простое действие ПКМ->Отключить.

Другой вопрос Microsoft частенько стала вносить свои коррективы в настройки, независимо от того добавляешь ты или нет настройки как тебе надо, при следующем обновлению параметр меняется на не нужный тебе. Вот к примеру выше я писал что в gpedit отключаю Кортану, но при этом в диспетчере устройств несмотря на это висит процесс SearchUI "Приостановлено", ладно приостановлено но черт оно жрет ресурсы для чего? Я же тебя отключил чего ты в системе болтаешся.

То есть глобально стоит 3 вопроса:
1. Готовые скрипты или методы для отключения не нужных служб и приложений. Всё то что гуглится это копируется друг с друга, пример с Кортаной выше.
2. Описание того что конкретно гарантированно никогда не понадобится в организации в в 99% случаев.
3. Фиксация состояния изменений, например обновления Windows. С одной стороны нужно обновлятся, но обновлятся когда я захочу, а не так что несмотря на то что добавляешь gpedit а система всё равно может протолкнуть обновления когда ей хочется.

Потихоньку перебираюсь на linux, но там свои подводные камни, к тому же не всегда есть возможность полностью уйти с Windows.