Какой check-list вы используете в работе с Windows 10/ Windows Server 2016?

Question

[squidw]

Что вы используете в обязательном перечне при работе в условиях предприятия для оптимизации ПК и серверов?
Стоит вопрос что в данных версиях по сравнению с предыдущими максимальное количество самозапускаемого хлама.
Условно можно договорится что в среднем ПК на борту запускает: сетевые шары, клиент-банки, офис, 1с, мессенджеры, телефонию SIP, браузеры, почту, средства удаленного доступа, печать на принтеры, торговое оборудование... и тд из стандартного усредненного набора офисного работника может чего забыл.
Со стороны сервера: субд, серверы 1с, веб-серверы IIS и Apache, печать на принтеры, торговое оборудование, криптопрограммы аля vipnet и криптопро, сетевые шары организованные как на нем так и внешние, ftp сервера, бэкап софт, RDP, hYPER-V... и тд опять же усредненно может чего забыл.

Собственно есть ситуации когда в любом случае нужно отключать определенные службы приложения и тд независимо от того что крутится на сервере/ПК.
Обычно что не найдешь в нэте так крайность. Например, работа с обновлениями либо полное отключение либо как есть, причем обычно что не найдешь описано для домашнего пользователя. То есть давайте договоримся в пределах этого вопроса не в ущерб безопасности и актуальности ПО мы занимаемся оптимизацией и с ориентиром на предприятие.
К примеру что я делаю первично независимо от того ПК либо сервер:
1. В gpedit.msc(либо в GPO если домен)
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Карты - включаю "Отключить незапрошенный сетевой трафик...", "Выключить автоматическое скачивание..."
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Конфиденциальность приложения. Отключаю здесь всё кроме доступ к микрофону, доступ к доверенным устройствам, доступ к диагностическим сведениям о других приложениях
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Магазин Windows. Здесь отключаю всё.
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Найти. Здесь отключаю всё что содержит "Кортана".
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Центр обновления Windows. Здесь "Настройка автоматического обновления" =2.

Если это скажем RDP сервер понятно дело специфика, то для него в gpedit делаю:
- Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Службы удаленных рабочих столов: ограничение сеансов по времени для бездействующих и отключенных сеансов по 2 часа на каждый, перенаправление устройств и ресурсов запрещаю перенаправление аудио/видео,в среде удаленных сеснсов принудительно отключаю фоновый рисунок.

Далее в regedit:
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPSvc
Отрубаю CDP службы который хрен отключишь путем указания ключа Start=2
и в дополнении в cmd sc config cdpusersvc type=own

Далее по службам отключаю и останавливаю либо службы изначально отключены либо руками, указываю имена служб а не выводимое имя служб потому что имена меняются регулярно от системы к системе а имя службы в основном нет:
aspnet_state
PeerDistSvc
CoreScanner
AarSvc_9ef93
CaptureService_9ef93
ConsentUxUserSvc_9ef93
CredentialEnrollmentManagerUserSvc_9ef93
DeviceAssociationBrokerSvc_9ef93
DevicePickerUserSvc_9ef93
DevicesFlowUserSvc_9ef93
diagsvc
GraphicsPerfSvc
KtmRm
MessagingService_9ef93
AppVClient
ssh-agent
QWAVE
rsmdriverproviderservice
shpamsvc
smphost
SQLTELEMETRY
WarpJITSvc
WSearch
XboxGipSvc
NcdAutoSetup
tzautoupdate
WwanSvc
CscService
wmiApSrv
WbioSrvc
DevQueryBroker
svsvc
WebClient
vds
autotimesvc
embeddedmode
seclogon
AppReadiness
p2psvc
RasAuto
DsmSvc
XblAuthManager
MapsBroker
p2pimsvc
pla
sppsvc
gpsvc
HgClientService
MSDTC
SNMPTRAP
RpcLocator
RemoteAccess
wcncsvc
SQLBrowser
defragsvc
DoSvc
wercplsupport
SCPolicySvc
BcastDVRUserService_9ef93
wlidsvc
и тд и тп

Потом еще руками заходу в раздел конфиденциальность и отключаю всё что связано с отправкой в службу microsoft, получением данных и прочие не нужные в работе службы и функции.
Проблема собственно как этот бардак организовать и что порой нужно отключать а что нет. Вот к пример на Windows server постоянно ругается на службу MapsBroker, хоть кто-то хоть раз ей пользовался? Как убрать эту хрень? А к примеру служба LanmanServer нужна как на сервере так и на ПК для доступа к сетевым шарам, ок я знаю как служба называется правда какого черта Microsoft назвала службу "Сервер" она же LanmanServer, логично а? А если это служба TapiSrv вот спрашивается служба называется телефония и нафиг она нужна, скажем у меня используются на ПК как мессенджеры так и SIP телефония и вопрос влияет ли данная служба на работу телефонии или качество звука? Про брандмауэр Windows вообще молчу, вот к примеру "Маршрутизатор AllJoyn (входящие TCP)" и спрашивается нужно он мне или нет. По каждому правилу вчитыватся в 400стр мануалов чтобы сделать в дальнейшем простое действие ПКМ->Отключить.

Другой вопрос Microsoft частенько стала вносить свои коррективы в настройки, независимо от того добавляешь ты или нет настройки как тебе надо, при следующем обновлению параметр меняется на не нужный тебе. Вот к примеру выше я писал что в gpedit отключаю Кортану, но при этом в диспетчере устройств несмотря на это висит процесс SearchUI "Приостановлено", ладно приостановлено но черт оно жрет ресурсы для чего? Я же тебя отключил чего ты в системе болтаешся.

То есть глобально стоит 3 вопроса:
1. Готовые скрипты или методы для отключения не нужных служб и приложений. Всё то что гуглится это копируется друг с друга, пример с Кортаной выше.
2. Описание того что конкретно гарантированно никогда не понадобится в организации в в 99% случаев.
3. Фиксация состояния изменений, например обновления Windows. С одной стороны нужно обновлятся, но обновлятся когда я захочу, а не так что несмотря на то что добавляешь gpedit а система всё равно может протолкнуть обновления когда ей хочется.

Потихоньку перебираюсь на linux, но там свои подводные камни, к тому же не всегда есть возможность полностью уйти с Windows.

Comments

[Yan]

Насчет searchui - это не только кортана, но и поиск
В ltsb у меня нет кортаны, но есть searchui
Как-то так

Качать сборки, вытягивать reg файлы
В них все написано: что и для чего

[squidw]

Yan, Службу поиска Windows Search тоже отключается мной, толку ноль.

[squidw]

poisons, Ну так собственно вопрос и задавался чтобы выяснить кто чем пользуется для оптимизации и получения наибольшей отдачи. Что-то что я использую написал, может чего забыл. Кто чем пользуется, наверняка найдутся люди, которые используют более оптимальные и автоматизированные способы.

[Yan]

squidw, windows search занимается индексированием. Выключив индексацию вы не выключите поиск.

Он будет работать, вот только искать системные проги и ярлыки в папках start
Вот за это и отвечает searchui
Если запретить ему запуск, поиск не октроется в меню пуск

[squidw]

Yan, да но логично если поиск работает только тогда когда это требуется, а не в фоне наряду с остальным подобным хламом.

[Yan]

squidw, логично
Но закрываться сам он не умеет
В простое потребляет около 55мб
И цп 0-1%

Да и запускается он сам, если даже поиск не юзать

[squidw]

Yan,
Вот к примеру сегодня залез на боевой сервер, на котором я настроил отключение gpedit Кортаны и отключил службу Windows Search:

Жрет вроде не много, но оно в системе и такого хлама набирается очень много если не настраивать сервер очень тонко, а чтобы настроить его очень тонко нужно лезть очень глубоко.

[Yan]

squidw, согласен, приходится лезть и делать ручками
Или тестить сборки с nnmclub

Также можно удалить службы телеметрии
https://realadmin.ru/admining/cdpusersvc.html
Там есть список служб, где в конце случайные символы.
Умельцы создали скрипт, где на автомате все это делается, без прописывания последних случайных символов

Правда скрипт устарел, придется добавить пару других служб
Но думаю справитесь

[squidw]

Yan,

Или тестить сборки с nnmclub

Исключено. Дома поиграться ладно, на предприятии я себе такого не позволяю, только оригинальные сборки которые правлю сам.

Также можно удалить службы телеметрии
https://realadmin.ru/admining/cdpusersvc.html
Там есть список служб, где в конце случайные символы.
Умельцы создали скрипт, где на автомате все это делается, без прописывания последних случайных символов

да вроде как и мой метод рабочий.

Вот собственно этот пример и является показательной проблемой, один раз вроде правим, а потом метод устаревает, и это только со службой CDP а ведь это один пункт из N-го количества.

[squidw]

не густо по ответам. Неужели до сих пор нет устоявшегося списка действий по оптимизации? Вроде эта версия ОС уже живет 4 года в миру.

[Yan]

squidw, нет конечно.
Потому что предпочтения у всех разные. Много вы людей повидали, которые умеют винду правильно твикать? Вы первый, с кем я хоть как-то диалог вел.

Мой порядок действий примерно такой
Ставлю винду
Ставлю твики реестра
Выключаю защитник смарт скрин, защиту системы, архивирование ибо нафиг не нужно
Настраиваю gpedit< По мелочи, обновы телеметрия, доступ из локалки, питание и т.д
Далее начинаю удалять телеметрию, сначала прогами типа dws, remove win 10 spying,
потом ручками всякие службы.отключаю и остатки телеметрии
Ну потом в дело идет программа твикалка> уж не помню название (иконка зеленого щита)
И далее по мелочи в системе остается.

Если вам надо на много машин поставить одинаковую винду с одинаковыми параметрами и настройками, то лучше делайте сборку

Легче будет

P.s. Все это делалось с ltsb тк другие редакции я на дух не выношу ( в тч и магазин)