Подытожу:
1. После настройки рабочего ПК/сервера - сразу делаем образ.
2. Никогда не обновляемся, если: мы за firewall'ом, всё работает и не устанавливаются/запускаются никакие сторонние("чужие") приложения/сервисы (т.е. или режим сервера, или обработка документов/проектов).
3. Если нужно массовое обновление в Windows-домене - используем ActiveDirecory вместе с
SCMM.
4. Если ПК автономный (без доступа к интернету) - используем офлайн установку с помощью
https://www.wsusoffline.net/ , проверяем и делаем новый образ.
5. Если нужны обновления - делаем не чаще 1 раза в пол-года с предварительной проверкой в лабе офлайн-пакета (созданного в п.4) на попытку изменения существующих файлов/настроек системы и любых сетевых соединений. После - делаем все необходимые правки в окружении локальной системы и производим настройку сети (если необходимо!). Создаём образ и ТОЛЬКО ПОСЛЕ ЭТОГО! обновляем все другие ПК в корпоративной сети.