Gewoon alle Microsoft services standaard laten staan zoals ze geleverd zijn. Zeker in een professionele omgeving. Je wilt niet weten hoeveel raadselachige storingen ik heb gezien aan programma's nadat mensen tweak-guides hadden toegepast om een paar megabytes aan geheugen te besparen. Als je toch gaat experimenteren: bereid je voor op raadselachtige storingen zonder foutmelding.

Kijk eens op http://www.blackviper.com/
Deze site houdt zich al jarenlang bezig met adviezen op dit vlak.
Maar ik ben het met Hyper (14:03) eens dat je erop bedacht moet zijn dat fouten mogelijk verband kunnen houden met de toegepaste tweaks. Gelukkig is dit snel te controleren door de betreffende services weer in te schakelen. Een lijstje met toegepaste wijzigingen bijhouden kan dan zeer nuttig zijn.

Services en .msc zijn twee compleet verschillende dingen. een .msc (Managament Snapin Console of iets in die strekking) is een tool om bepaalde delen van windows te beheren, soms ook services. maar een .msc blokkeren heeft totaal geen zin, het blokkeert hooguit je mogelijkheid om instellingen in windows aan te passen, welke je met policies als dicht kunt gooien.

Geen.
Al af en toe de Windows Update service, zodat mijn machine tijdens migraties niet zomaar reboot.

Omdat? Of heb je fingerspitzengefühl...

Er zijn wel een aantal documenten voor VDI, maar voor een enkele machine zou ik hier niet eens aan beginnen.
Zeker als je niet op een groot netwerk zit, wat zou dan de toegevoegde waarde zijn? De kans dat je over het netwerk geïnfecteerd wordt, is minimaal.

Geen eigenlijk. Performance winst is minimaal, zeker als je physieke hardware hebt. En de kans op problemen is eigenlijk groter. Kan zo maar zijn, dat in eens een keer iets niet werkt, en dan zit je uren te troubleshooten.

Wat heb je zelf al gevonden?
Het lijkt me sterk dat je hierover niets met google zou kunnen vinden.

Graag gedaan.

Zie volgende link.

http://www.sordum.org/8637/easy-service-optimizer-v1-2/

Maakt ook gebruik van Black Viper adviezen.

Voor zakelijke notebooks die aan vreemde netwerken gekoppeld kunnen worden, raad ik het volgende aan (maar ook voor zakelijk gebruik aan "vertrouwde" netwerken met potentieel gecompromitteerde devices werkt het volgende prima).

Op elke PC die ik configureer, disable ik de server service. Behalve dat de PC dan geen mappen en lokale printers meer kan delen (d.w.z. bescikbaar stellen aan andere PC's), heb ik nog nooit (NT4 t/m W10) meegemaakt dat dit tot problemen leidde. Een werkplek PC is geen server en dit beschermt je tegen een enorm aantal SMB lekken waar de afgelopen jaren, en vooral de afgelopen maanden, sprake van was. En ik ga er vanuit dat we de komende maanden nog wel een stel patches voor srv.sys (de server service) tegemoet kunnen zien.

Als je als client via SMB bestanden van een server of NAS wilt kunnen benaderen, moet je de TCP/IP NetBIOS Helper service laten draaien (in mijn ervaring ook als die DNS FQDN i.p.v. NetBIOS namen hebben). Als je, verstandigerwijze, NetBT verkeer via de TCP en UDP poorten 137 t/m 139 wilt blokkeren, configureer dan voor elke netwerkadapter "Disable NetBIOS over TCP/IP" in -> IPv4 -> Advanced -> WINS. Hoe je dat precies doet en LLMNR (Link-Local Multicast Name Resolution) uitzet lees je bijv. in https://www.sternsecurity.com/blog/local-network-attacks-llmnr-and-nbt-ns-poisoning.

Alle service kandidaten om probleemloos te disablen zijn (W10):
- Connected User Experience and Telemetry
- Als je die hebt op jouw PC: Conexant services "CxMonSvc" en "CxUtilSvc"
- Function Discovery Provider Host
- Function Discovery Resource Publication
- HomeGroup Provider
- IP Helper
- Link-Layer Topology Discovery Mapper
- Net.Tcp Port Sharing Service
- Remote Registry
- Routing and Remote Access
- Server Service (zie boven)
- Shared PC Account Manager
- SSDP Discovery (Google: ssdp exploit)
- UPnP device host
- User Experience Virtualization Service
- Windows Media Player Network Sharing Service
- WinHTTP Web Proxy Auto-Discovery Service (om WPAD helemaal weg te krijgen moet je nog meet doen)
- Xbox Live Auth Manager
- Xbox Live Game Save
- Xbox Live Networking Service
(Wtf moeten die laatste 3 sowieso op een zakelijke PC?)

Wat je niet moet disablen zijn de "Remote Procedure Call (RPC)" en "RPC Endpoint Mapper" services (dan werkt er niks meer). Als iemand weet hoe je de RPC service, die luistert op poort 135/TCP, alleen aan localhost kunt knopen, hoor ik dat graag.

Gebruik een hardening guide, hier staan nog veel meer tips in dat slechts services uitzetten.
Bijvoorbeeld dit voor Windows 8(.1): http://hardenwindows8forsecurity.com/Harden%20Windows%208.1%2064bit%20Home.html

Voor normaal thuisgebruik kunnen de volgende services uit (dit is voor windows 8.1, in 10 zijn een aantal extra services of zijn services hernoemd, volg dus de juiste guides voor maximale effectiveness):

Computer Browser (manual) (finds other PCs in the network)
Distributed Link Tracking Client (automatic) (maintain shortcuts if source file name has changed)
DNS client (automatic) (caches previously looked up domain names)
Family Safety (manual) (compatability stub for Vista apps)
Function Discovery Provider Host (manual) (HomeGroup)
Function discovery resource publication (manual) (HomeGroup)
HomeGroup Listener (manual) (HomeGroup)
HomeGroup Provider (manual) (HomeGroup)
Internet Connection Sharing (disabled) (makes PC act as router)
IP Helper (automatic) (IPv6 tunneling)
KtmRm for Distributed Transaction Coordinator (manual) (MS recommends to stop this service if not needed)
Link Layer Topology discovery mapper (manual) (network discovery)
Microsoft iSCSI Initiator Service (manual) (allows LAN or Internet based storage)
Net. TCP port Sharing service (disabled)
NetLogon (manual) (logon to Windows Server)
Network Access Protection Agent (manual) (reports security configuration)
Network Connected Devices Auto-Setup (manual) (autosetup devices in the network)
Network Connectivity Assistant (manual) (works with DirectAccess to provide setup of network devices. Relies on DNS client, IP Helper, Network Store Interface Service and Base Filtering Engine)
Peer Name Resolution Protocol (manual)
Peer Networking Grouping (manual) (HomeGroup, remote assistance)
Peer Networking Identity Mgr (manual) (HomeGroup, remote assistance)
Performance Counter DLL Host (manual) (allows remote query to performance counters)
Performance Logs & Alerts (manual) (collects remote and local perf data)
PNRP Machine Name Publication Service (manual) (server that responds with a machine name)
<Printer Extensions and Notifications> (manual) (receives input from remote printers and runs printer custom dialog boxes. Runs as LocalSystem if exploited)
Quality Windows Audio Video Experience (manual) (multimedia server)
Remote Access Auto Connection Mgr (manual)
Remote Access Connection Manager (manual) (dialup, VPN)
Remote Desktop Configuration (manual)
Remote Desktop Service (manual) (server allowing remote control)
Remote Desktop Service UserMode Port Redirector (manual)
Remote Registry (disabled) (allow remote PCs to modify your registry)
Routing and Remote Access (disabled)
Secondary logon (manual) (allow command line runas option to run programs as admin)
Secure Socket Tunneling Protocol service (manual) (VPN)
<Sensor Monitoring Service> (manual) (disable if you don't have any light sensors etc)
Server (automatic) (HomeGroup, File and Printer Sharing)
SNMP Trap (manual)
SSDP Discovery (manual)
TCP/IP NetBIOS Helper (automatic)
Telephony (manual) (affects Remote Access Connection mgr/ VPN)
UPnP Device host (manual)
Web Client (manual)
Windows Connect Now Config Registra (manual) (Wireless Setup - simplified configuration)
Windows Error Reporting Service (manual) (reports system problems to MS and fetches solutions)
Windows Event Collector (manual) (allow remote subscription to log events)
Windows Media Player Network Sharing service (manual)
Windows Remote Management (manual) (Server, listens for remote requests )
WMI Performance Adapter (manual) (provides performance data to other PC collecting it)
Work Folders (manual) (sync folders with server)
Workstation (automatic) (HomeGroup, AD)

Mijn ervaring is, dat het verwijderen van services niet veel oplevert. Vaak verschijnen de gekste storingen. Wel is het deïnstalleren van IE11 of SMB mogelijk (als men dat toch niet gebruikt). Nadat men iets te ver doorgaat, is de enige redmiddel vaak een herinstallatie van Windows. Kost veel tijd.

Alles, te organiseren met 1 handeling (stekker eruit).