Es una practica habitual inclusive en organizaciones de gran tamaño, hace parte de disminuir la superficie de ataque.
Yo me preguntaría más bien es qué servicios se están desactivando, porqué sí, es muy recomendable desactivar servicios que no utilizas y es lo más aconsejado: todo servicio, toda biblioteca .DLL tiene vulnerabilidades.
¿Por qué sería malo bajar de 100 vulnerabilidades potenciales a sólo 50, por ejemplo?
una cosa es apagar algún servicio que no es utilizado normalmente, pero el de Server lo deja sin poder compartir en la red y otras funciones, el punto es que algunos en su desconocimiento realizan algunas cosas de "seguridad" con una lógica que no es.
Era un ejemplo, pero también hay genios que deshabilitaban el servicio de DHCP o de DNS, porque en su empresa tienen servidor de DNS o porque usaban IPs fijas que son "más rápidas" que las dinámicas.
Otros para bajar la "superficie de ataque" no le colocan nombres a los servidores que tengan que ver con su servicio, porque se dan cuenta que ejecutan allí, como si con un barrido de puertos no sale que producto usan.
Los "genios" de seguridad tienen muchos tabus porque basan su seguridad en la oscuridad y eso realmente no sirve de nada.
Si usted tiene 100 vulnerabilidades sin aplicar actualizaciones que las corrigen, la negligencia es otra, que es lo que esos "genios de la seguridad" normalmente hacen.
Una cosa son vulnerabilidades de día 0, otra es que no actualicen, que cuando les pega un ransomware ahi si lo entienden.
Muy pocos implementan reales políticas de seguridad en las empresas, y la perfilación de usuarios no existe, para que les funcione todo, los vuelven administradores de todo, en especial los programadores no tienen ni idea de cómo funciona el sistema, y son los que menos aplican actualizaciones, pero si viven enviando actualizaciones de lo que ellos programan, porque no tienen fallos ellos de nada.
En mi maquina funciona, es su frase de batalla, pero no tienen ni idea el porque!!!