сборщик событий windows можно ли отключить

Какие службы Windows можно отключить

Всем доброго времени суток, дорогие друзья, знакомые, читатели и прочие личности. Сегодня мы поговорим о том, какие службы Windows можно отключить в целях оптимизации, повышения безопасности и других нюансов.

Вы достаточно давно просили эту статью и старую её версию даже несколько раз обновляли. Это очередное обновление, где мы даже немного расскажем о том, почему, собственно, что-либо отключаем, а где-то промолчим.

В частности, Вы сможете научиться самостоятельно разбираться в этих нюансах и взаимодействовать с системой глубже, как это было в случае с брандмауэром, журналами, планировщиком заданийи всякими другими интересными штуками.

Полезная вводная

В виду бесконечных холиваров в прошлым, стоит пояснить несколько важных и простых тезисов.

Отключить службы? А что это?

Не будем изобретать велосипед, процитируем Википедию:

Службы ОС Windows (англ. Windows Service, службы) — приложения, автоматически (если настроено) запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя. Имеет общие черты с концепцией демонов в Unix.

В большинстве случаев службам запрещено взаимодействие с консолью или рабочим столом пользователей (как локальных, так и удалённых), однако для некоторых служб возможно исключение — взаимодействие с консолью (сессией с номером 0, в которой зарегистрирован пользователь локально или при запуске службы mstsc с ключом /console).

Существует несколько режимов для служб:

Примерно такие дела. Теперь давайте посмотрим на это своими глазами, прежде, чем отключать службы.

Где службы обитают?

Службы обитают по адресу «Панель управления\Все элементы панели управления\Администрирование\Службы» (путь можно скопировать вставить в проводник и нажать в Enter):

Результатам будет окно (кликабельно) следующего вида:

Т.е как раз окно со списком служб, их состоянием и всякими другими разностями. По каждой службе можно два раза кликнуть мышкой и увидеть описание, статус запуска, используемые права, зависимости (другие службы) и другие хвосты:

Здесь же кстати можно настроить параметры для взаимодействию с оболочкой восстановления, точнее говоря, задать параметры указывающие, что делать, если служба не запустилась:

Это крайне полезная вещь, которую многие не знают, забывают или просто не используют. А зря, очень зря. Как раз из-за этого кстати иногда часто перезапускают компьютер, когда можно просто перезапустить службу при сбое или настроить автотическое выполнения каких-либо действий на этот счет.

Собственно, всё. Используя мозг и умея читать Вы можете обойтись без наших списков и создавать свои. Всё достаточно просто.

Но давайте перейдем к спискам. Так сказать, для халявщиков 😉

Первичный список служб для отключения

Для начала, еще раз предуреждаем, что Вы делаете всё на свой страх и риск, для своих целей и задач, под своей конфигурацией, версией системы и железом. Рекомендуем, во-первых, предварительно сохранить статью на диск (на случай проблем с интернетом), во-вторых, записывать, что Вы отключаете и почему. Лучше в тетрадочку.

Упрощенный, первичный список для отключения служб следующий (это вариант без комментариев, он мог устареть, он может пересекаться с обновленным списком ниже по тексту):

Для тем кому важна служба восстановления системы, я настоятельно рекомендую не отключать службы:

Иначе не будет работать восстановление и создание контрольных точек.

Чуть более суровый список отключения служб + некоторые комментарии

Список, как и тот, что выше, не претендует на единственно верный, но, тем не менее, наиболее актуален и внятен на данный момент. Более того, он собран на основе Windows 10. Собственно:

Дополнительный список служб

Без особого количества комментариев, дополнительно стоит, вероятно, отключить следующее:

Служба загрузки изображений Windows (WIA) отключаем если нет сканера

Ну, пожалуй, как-то оно вот так. Пора переходить к послесловию.

Послесловие

Такой вот получился интересный списочек. Еще раз напоминаем, что рекомендуется читать описание того, что Вы отключаете, сохранить список того, что Вы отключаете и думать, что, почему и зачем Вы делаете, для каких целей и почему.

Если же Вам попросту это неинтересно, не нужно и кажется бесполезным, то просто не трогайте ничего и проходите мимо. Это полезно. Благо никого тут ни к чему не принуждали.

Источник

Работа с событиями аудита Windows – сбор, анализ, реагирование

Уважаемые друзья, в предыдущих публикациях мы говорили об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также провели анализ основных стандартов по управлению рисками информационной безопасности и обсудили системы класса IRP, предназначенные для автоматизации реагирования на инциденты ИБ. Как мы знаем, при обработке инцидентов детальный анализ событий безопасности с устройств является одним из ключевых этапов. В данной публикации мы рассмотрим настройку подсистемы аудита ОС Windows, принципы анализа и централизованного сбора журналов аудита с Windows-устройств и их пересылку в SIEM-систему IBM QRadar, а также покажем, как можно с помощью штатных средств Windows и утилиты Sysmon настроить простейшую систему реагирования на инциденты ИБ. Вперед!

Для решения задачи обработки инцидентов ИБ логично рассуждать, что чем больше данных (логов, событий безопасности) мы собираем, храним и анализируем, тем проще нам будет в дальнейшем не только оперативно среагировать на инцидент, но и расследовать обстоятельства произошедших атак для поиска причин их возникновения. При этом большое количество данных для обработки имеет и очевидный минус: нас может просто «засыпать» сообщениями, алертами, уведомлениями, поэтому необходимо выбрать самые значимые с точки зрения ИБ события и настроить соответствующие политики аудита. Microsoft предлагает использовать бесплатный набор утилит и рекомендаций (Baselines) в своем наборе Microsoft Security Compliance Toolkit, в котором в том числе приведены и рекомендуемые настройки аудита для контроллеров домена, рядовых серверов и рабочих станций. Кроме рекомендаций вендора можно обратиться еще к документам CIS Microsoft Windows Server Benchmark и CIS Microsoft Windows Desktop Benchmark, в которых, в числе прочего, указаны рекомендуемые экспертами политики аудита для, соответственно, серверных и десктопных версий ОС Windows. Однако зачастую выполнение абсолютно всех рекомендаций неэффективно именно по причине потенциального появления большого количества «шумящих», малозначительных с точки зрения ИБ событий, поэтому в настоящей статье мы сначала приведем список наиболее полезных и эффективных (с нашей точки зрения) политик аудита безопасности и соответствующих типов событий безопасности ОС Windows.

Напомню, что в ОС Microsoft Windows, начиная с Microsoft Windows Server 2008 и Vista, используется достаточно продвинутая система аудита, настраиваемая при помощи конфигурирования расширенных политик аудита (Advanced Audit Policy Configuration). Не стоит забывать о том, что как только на устройствах будут включены политики расширенного аудита, по умолчанию старые «классические» политики аудита перестанут быть эффективными, хотя данное поведение может быть переопределено в групповой политике «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии))» (Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings).

Политики аудита Windows

Пройдем последовательно по настройкам, эффективным для решения задач аудита ИБ и выработки целостной политики аудита безопасности.

Вход учетной записи

Аудит проверки учетных данных

Целесообразно контролировать на домен-контроллерах при использовании NTLM-аутентификации.

Аудит службы проверки подлинности Kerberos

Неуспешная аутентификация учетной записи на контроллере домена с использованием Kerberos-аутентификации.

Запрос билета Kerberos, при этом следует анализировать коды ответа сервера.

Данный тип аудита следует включать на контроллерах домена, при этом для детального изучения попыток подключения и получения IP-адреса подключающегося устройства на контроллере домена следует выполнить команду nltest /dbflag:2080ffff и проводить аудит текстового лог-файла %windir%\debug\​netlogon.log

Управление учетными записями

Аудит управления учетными записями компьютеров

Заведение устройства в домен Active Directory; может использоваться злоумышленниками, поскольку любой пользователь домена по умолчанию может завести в домен 10 устройств, на которых может быть установлено неконтролируемое компанией ПО, в том числе вредоносное.

Аудит управления группами безопасности

Добавление члена глобальной группы.

Добавление члена локальной группы.

Добавление члена универсальной группы.

Аудит управления учетными записями пользователей

Создание учетной записи.

Отключение учетной записи.

Блокировка учетной записи.

Аудит создания процессов

При создании процесса.

При завершении процесса.

Аудит выхода из системы

Для неинтерактивных сессий.

Для интерактивных сессий и RDP-подключений.

При этом следует обращать внимание на код Logon Type, который показывает тип подключения (интерактивное, сетевое, с закэшированными учетными данными, с предоставлением учетных данных в открытом виде и т.д.).

Аудит входа в систему

При успешной попытке аутентификации, создается на локальном ПК и на домен-контроллере при использовании NTLM и Kerberos-аутентификации.

При неуспешной попытке аутентификации, создается на локальном ПК и на домен-контроллере при использовании NTLM аутентификации; при Kerberos-аутентификации на контроллере домена создается EventID=4771.

При попытке входа с явным указанием учетных данных, например, при выполнении команды runas, а также при работе «хакерской» утилиты Mimikatz.

Аудит других событий входа и выхода

RDP-подключение было установлено.

RDP-подключение было разорвано.

Аудит специального входа

При входе с административными полномочиями.

Аудит сведений об общем файловом ресурсе

Данное событие будет создаваться при работе ransomware, нацеленного на горизонтальное перемещение по сети.

Аудит других событий доступа к объектам

При создании задания в «Планировщике задач», что часто используется злоумышленниками как метод закрепления и скрытия активности в атакованной системе.

Аудит изменения политики аудита

Изменение политики аудита.

Изменение настройки CrashOnAuditFail.

Аудит расширения системы безопасности

При появлении в системе новых пакетов аутентификации, что не должно происходить несанкционированно.

При создании нового сервиса, что часто используется злоумышленниками как метод закрепления и скрытия активности в атакованной системе.

Настройка Windows Event Forwarding, интеграция с IBM QRadar

Настроив необходимые параметры аудита, перейдем к решению вопроса автоматизации сбора журналов аудита и их централизованного хранения и анализа. Штатный механизм Windows Event Forwarding, который работает из коробки с Microsoft Windows Server 2008 / Vista и старше, позволяет осуществлять централизованный сбор журналов аудита на устройстве-коллекторе (не ниже Windows Server 2008 и Vista, но все же рекомендуется использовать выделенный Windows Server 2012R2 и старше) с устройств-источников с применением функционала WinRM (Windows Remote Management, использует протокол WS-Management) и использованием т.н. «подписок» на определенные события (набор XPath-выражений, о которых мы поговорим далее, для выбора интересующих журналов и событий на источнике). События с удаленных устройств могут быть как запрошены коллектором (режим Pull/Collector initiated), так и отправлены самим источником (режим Push/Source computer initiated). Мы рекомендуем использовать последний режим, поскольку в режиме Push служба WinRM слушает входящие соединения только на коллекторе, а на клиентах-источниках WinRM не находится в режиме прослушивания и лишь периодически обращается к коллектору за инструкциями, что уменьшает поверхность потенциальной атаки на конечные устройства. По умолчанию для шифрования трафика от источников к коллектору, принадлежащих одному Windows-домену, используется Керберос-шифрование SOAP-данных, передаваемых через WinRM (режим HTTP-Kerberos-session-encrypted), при этом HTTP-заголовки и соответствующие метаданные передаются в открытом виде. Другой опцией является использование HTTPS с установкой SSL-сертификатов на приемнике и источнике, при этом они могут не принадлежать одному домену. При дальнейшем изложении будем считать, что мы работаем в одном домене и используем настройку по умолчанию.

Для включения сервиса сбора логов следует выполнить нижеописанные шаги:

2. На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы «Сборщик событий Windows» (Windows Event Collector). При этом в Windows Firewall создается разрешающее правило для входящих соединений на коллектор по TCP:5985.

3. На источниках событий следует включить службу WinRM: установить «Тип запуска» в значение «Автостарт» и запустить «Службу удаленного управления Windows» (Windows Remote Management (WS-Management)).

4. Проверить состояние службы WinRM на сервере-колекторе можно командой winrm enumerate winrm/config/listener, в результате выполнения которой отобразятся настройки порта и список локальных IP-адресов, на которых прослушиваются соединения по TCP:5985. Команда winrm get winrm/config покажет подробные настройки службы WinRM. Переконфигурировать настройки можно либо непосредственно через утилиту winrm, либо через групповые политики по пути «Конфигурация компьютера / Административные шаблоны / Компоненты Windows / Удаленное управление Windows» (Computer Configuration / Administrative Templates / Windows Components / Windows Remote Management).

5. На источниках событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи NT AUTHORITY\NETWORK SERVICE (SID S-1-5-20) в локальную группу BUILTIN\Event Log Readers («Читатели журнала событий»). После этого необходимо перезапустить «Службу удаленного управления Windows» (WinRM) и службу «Журнал событий Windows» (EventLog).

6. Затем следует создать и применить конфигурацию групповой политики для источников, в которой будет указана конфигурация и адрес сервера-коллектора. Требуется включить политику «Конфигурация компьютера / Административные шаблоны / Компоненты Windows / Пересылка событий / Настроить адрес сервера. » (Computer Configuration / Administrative Templates / Windows Components / Event Forwarding / Configure the server address. ) и указать адрес сервера-коллектора в следующем формате:

где 60 – частота обращения (в секундах) клиентов к серверу за новыми инструкциями по пересылке журналов. После применения данной настройки на устройствах-источниках следует сделать перезапуск службы WinRM.

7. Далее создаем и применяем конфигурацию подписки на сервере-коллекторе: открываем оснастку управления журналами аудита (eventvwr.msc) и находим внизу раздел «Подписки» (Subscriptions). Нажимаем правой кнопкой мыши и выбираем «Создать подписку», задаем имя подписки. Далее выбираем опцию «Инициировано исходным компьютером» (Source Computer Initiated, это означает предпочтительный режим Push). Нажимаем на кнопку «Выбрать группы компьютеров» (Select Computer Groups), выбираем из Active Directory те устройства или их группы, которые должны будут присылать логи на коллектор. Далее, нажимаем «Выбрать события» (Select Events) и вводим XPath-запрос (пример для сбора журналов Security):

8. В итоге, клиенты должны иметь активные сетевые соединения по TCP:5985 с сервером-коллектором. На сервере-коллекторе в eventvwr.msc в свойствах «Подписки» можно будет увидеть список клиентов-источников, а пересланные события будут находиться в разделе «Журналы Windows – Перенаправленные события» (Windows Logs – Forwarded Events) на сервере-коллекторе.

9. Далее решаем задачу пересылки собранных на сервере-коллекторе логов с источников в SIEM систему IBM QRadar. Для этого нам потребуется установить на сервере-коллекторе утилиту IBM WinCollect.

10. После установки утилиты WinCollect на сервер-коллектор, в самой SIEM-системе IBM QRadar нужно будет добавить этот сервер в список источников (тип источника Microsoft Security Event Log, в поле Target Destination в выпадающем списке лучше выбрать вариант с TCP-syslog-подключением, отметить check-box Forwarded Events).

После применения указанных настроек новые события и устройства-источники, пересылающие Windows-логи на сервер-коллектор, появятся в консоли IBM QRadar автоматически. В итоге, после внедрения SIEM-системы данные в ней и регистрацию событий информационной безопасности можно будет легко обогатить журналами аудита Windows, собранными описанным способом с различных устройств в инфраструктуре компании.

Утилита Sysmon

Установка Sysmon предельно проста и также может быть легко автоматизирована:

Все исполняемые файлы подписаны.

2. Создается или скачивается по приведенным выше ссылкам xml-файл с конфигурацией Sysmon.

3. Установка sysmon для x64 производится командой:

Поддерживается запуск установки из сетевой папки.

XPath-запросы

Результат запроса будет также представляться в различных формах, но для лучшего понимания и получения детального контента в конкретном событии рекомендуем переключиться на вкладку «Подробности», а там выбрать radio-button «Режим XML», в котором в формате «ключ-значение» будут представлены данные события безопасности.

Приведем несколько полезных XPath запросов с комментариями.

IRP-система штатными средствами Windows

Как мы знаем, задачи в ОС Windows могут выполнять совершенно разные функции, от запуска диагностических и системных утилит до обновления компонент прикладного ПО. В задаче можно не только указать исполняемый файл, который будет запущен при наступлении определенных условий и триггеров, но и задать пользовательский PowerShell/VBS/Batch-скрипт, который также будет передан на обработку. В контексте применения подсистемы журналирования интерес для нас представляет функционал гибкой настройки триггеров выполнения задач. Открыв «Планировщик заданий» (taskschd.msc), мы можем создать новую задачу, в свойствах которой на вкладке «Триггеры» мы увидим возможность создать свой триггер. При нажатии на кнопку «Создать» откроется новое окно, в котором в drop-down списке следует выбрать вариант «При событии», а в открывшейся форме отображения установить radio-button «Настраиваемое». После этих действий появится кнопка «Создать фильтр события», нажав на которую, мы увидим знакомое меню фильтрации событий, на вкладке XML в котором мы сможем задать произвольное поисковое условие в синтаксисе XPath-запроса.

Например, если мы хотим выполнять некоторую команду или скрипт при каждом интерактивном входе в систему пользователя Username, мы можем задать в качестве триггера задачи следующее поисковое выражение, уже знакомое нам по примеру выше:

Другой пример: оповещение администратора при подозрительном обращении к системному процессу lsass.exe, который хранит в своей памяти NTLM-хэши и Керберос-билеты пользователей Windows, что может говорить об использовании утилиты Mimikatz или аналогичных ей:

Таким образом, при условии работоспособности системы журналирования событий Windows можно не только детально и глубоко анализировать все произошедшее на устройстве, но и выполнять произвольные действия при появлении в журнале ОС событий, отвечающих условиям XPath-запроса, что позволяет выстроить целостную систему аудита ИБ и мониторинга событий безопасности штатными средствами ОС. Кроме того, объединив рекомендованные политики аудита информационной безопасности, утилиту Sysmon с детально проработанными конфигами, запрос данных из TI-фидов, функционал XPath-запросов, пересылку и централизацию событий с помощью Windows Event Forwarding, а также настраиваемые задачи с гибкими условиями выполнения скриптов, можно получить фактически бесплатную (по цене лицензии на ОС) систему защиты конечных точек и реагирования на киберинциденты, используя лишь штатный функционал Windows.

Источник

Службы windows 7

Одну из самых важных ролей в повышении производительности компьютера играет отключения не используемых служб.

Службы запускаются автоматически при старте рабочего стола, каждая служба резервирует под себя определенное количество ресурсов нашего компьютера.

Для того, чтобы настраивать службы нужно разбираться для чего какая либо служба запускается.
Сейчас мы рассмотрим все службы, которые стоят в автоматическом режиме по умолчанию и которые можно отключить.
О том как отключать службы, я уже писала в подробной статье «Как отключить службы в windows«.

Внимание! Перед всеми экспериментами с отключением служб, сделайте резервное сохранение системы или создайте точку восстановления системы. Так как этот процесс индивидуален для каждой машины!

Начнем.
Для попадание в меню «Службы», нужно пройти в меню «Пуск» —> Панель управления —>администрирование —> Службы.
Или
Правой кнопкой вызываем контекстное меню значка «мой компьютер» —>Управление —>службы
Чтобы отключить/включить службу – выделяем нужную службу правой кнопкой мыши, вызываем контекстное меню—>свойства—> Тип запуска —> отключено.
Для того чтобы отключить службу, которая запушена, ее сначала нужно остановить, через контекстное меню (правая кнопка мыши)

AST Service (Nalpeiron Licensing Service) — Отключена.

Superfetch (Поддерживает и улучшает производительность системы.) — Выключена

Windows Search (Индексирование контента, кэширование свойств и результатов поиска для файлов, электронной почты и другого контента.) — Авто.
Если не пользуетесь поиском на компьютере, то можно отключить.

Автономные файлы (Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, ) — Выключена

Агент защиты сетевого доступа (Агент службы защиты доступа к сети собирает и управляет сведениями о работоспособности клиентских компьютеров в сети) — Выключена

Адаптивная регулировка яркости (Предназначена для наблюдения за датчиком внешнего освещения и корректировки яркости монитора в соответствии с изменениями освещенности.) — Выключена

Архивация Windows (Поддержка архивации и восстановления в Windows.) — Вручную

Брандмауэр Windows (Брандмауэр Windows помогает предотвратить несанкционированный доступ к вашему компьютеру через Интернет или сеть.) Если вы используете сторонний Брандмауэр (комплект KIS или другой сторонний файрвол)- Отключено. Если нет, то лучше оставить режим — Авто

Вспомогательная служба IP (Provides tunnel connectivity using IPv6 transition technologies) — Выключена

Вторичный вход в систему (Позволяет запускать процессы от имени другого пользователя) – Авто
Если у Вас одна учетная запись администратора и Вы не планируете создавать другие учетные записи – Выключена

Группировка сетевых участников (Включает многосторонние взаимодействия с помощью группировки одноранговой сети.) — Выключена

Дефрагментация диска (Предоставляет возможность дефрагментации дисков.) — Вручную
Можно оставить Авто, задав расписание для запуска.

Диспетчер автоматических подключений удаленного доступа (Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.) — Выключена

Диспетчер очереди печати (Загрузка файлов в память, чтобы напечатать позже) — Авто
Если нет принтера, то отключено

Диспетчер подключений удаленного доступа (Управляет подключениями удаленного доступа и виртуальной частной сети (VPN) с данного компьютера к Интернету или другим удаленным сетям.) — Выключена

Диспетчер удостоверения сетевых участников (Предоставляет службы идентификации для протокола однорангового разрешения имен (PNRP) и группировки одноранговой сети) — Выключена

Журналы и оповещения производительности (Служба журналов производительности и оповещений собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение.) — Выключена

Защитник Windows (Защита от шпионских и потенциально опасных программ) — Выключена
Рекомендуется использовать продукты от сторонних производителей для защиты своего компьютера от вирусов.

Защищенное хранилище — Выключена

Настройка сервера удаленных рабочих столов — Выключена.

Планировщик заданий (Позволяет настраивать расписание автоматического выполнения задач на этом компьютере) — Авто
Если Вы не планируете использовать запуск по расписанию, можно отключить

Политика удаления смарт-карт (Позволяет настроить систему так, чтобы рабочий стол блокировался при извлечении смарт-карты.) — Выключена

Программный поставщик теневого копирования (Microsoft) (Управляет программным созданием теневых копий службой теневого копирования тома. ) — Отключена

Прослушиватель домашней группы (Изменение параметров локального компьютера, связанных с конфигурацией и обслуживанием подключенных к домашней группе компьютеров) — Выключена

Сборщик событий Windows (Эта служба управляет постоянными подписками на события от удаленных источников, поддерживающих протокол WS-Management.) — Выключена

Сетевой вход в систему (Обеспечивает безопасный канал связи между этим компьютером и контроллером домена для проверки подлинности пользователей и служб.) — Выключена

Служба ввода планшетного ПК (Обеспечивает функционирование пера и рукописного ввода на планшетных ПК) — Отключена

Служба времени Windows (Управляет синхронизацией даты и времени на всех клиентах и серверах в сети) — Отключена

Служба загрузки изображений Windows (WIA) (Обеспечивает службы получения изображений со сканеров и цифровых камер) — Выключена

Служба медиаприставки Media Center (Позволяет медиаприставке Media Center находить компьютер и подключаться к нему.) — Отключена

Служба общего доступа к портам Net.Tcp (Предоставляет возможность совместного использования TCP-портов по протоколу Net.Tcp.) — Отключена

Служба поддержки Bluetooth (Служба Bluetooth поддерживает обнаружение и согласование удаленных устройств Bluetooth) — Отключена
Если используете Bluetooth, то оставьте службу включенной

Служба планировщика Windows Media Center (Начало и остановка записи телепрограмм в Windows Media Center) – Отключена
Если Вы записываете программы, режим – авто.

Служба шифрования дисков BitLocker (BDESVC предоставляет службу шифрования диска BitLocker.) — Отключена

Смарт-карта (Управляет доступом к устройствам чтения смарт-карт.) — Отключена

Теневое копирование тома (Управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей) — Вручную
Или отключена, если не используется восстановление системы.

Удаленный реестр (Позволяет удаленным пользователям изменять параметры реестра на этом компьютере.) — Отключена

Узел системы диагностики (Узел системы диагностики используется службой политики диагностики для размещения средств диагностики, запускаемых в контексте локальной системы. ) — Отключена

Узел службы диагностики (Узел службы диагностики используется службой политики диагностики для размещения средств диагностики, запускаемых в контексте локальной службы) — Отключена

Факс (Позволяет отправлять и получать факсы, используя ресурсы этого компьютера и сетевые ресурсы.) — Отключена

Центр обеспечения безопасности (Служба WSCSVC (центр безопасности Windows) следит за параметрами работоспособности системы безопасности и протоколирует их) — Авто
Можно выключить.
Отвечает за оповещение, об отсутствии антивируса и показывает в трее значок центра безопасности.

Центр обновления Windows (Включает обнаружение, загрузку и установку обновлений для Windows и других программ.) – Авто
Можно отключить, но для установки всех дополнений для windows, эту службу нужно будет запускать в ручную.

Источник