Entrambe le risposte elencate sono corrette. Di norma, anche se non viene utilizzato un servizio, l'applicazione di patch è comunque una buona idea in quanto aiuta a ridurre o eliminare una vulnerabilità. A meno che non ci si trovi in un ambiente strettamente regolamentato, è difficile affermare che "non usiamo quel servizio e non lo faremo mai". Le cose cambiano, e dovendo investigare se aggiornare o meno quel servizio, anche se dovrebbe essere parte di quel lancio, richiede tempo e potrebbe non essere fatto. Applicando automaticamente le patch, si evita di perdere quel passaggio e lo si aggiusta anche in caso accidentalmente o maliziosamente attivato.
Detto questo, la risposta di ISMSDEV è anche valida. Devo ancora lavorare per un'azienda che ha risorse illimitate. Siamo tutti occupati e mantenere i servizi inutilizzati richiede tempo lontano dal lavoro di produzione reale. Se ti trovi in un ambiente in cui è necessario mantenere stretti controlli sulle modifiche, l'applicazione di patch a un servizio non utilizzato richiederà uno sforzo per verificare che la modifica non influisca su qualcos'altro. Ciò causa costi e ritardi nella convalida di qualcosa che non viene utilizzato, che potrebbe essere considerato uno spreco di denaro a meno che non sia possibile dimostrare un ritorno su tali spese.
Da dove viene questa risposta? La domanda non ha affrontato questa domanda più ampia: che tipo di ambiente? Se si tratta di un mucchio di desktop aziendali, la risposta è molto probabilmente "sì". Se si tratta di server, dispositivi di produzione o altri dispositivi in cui le condizioni e l'affidabilità sono critiche, potrebbe essere più sensato gestirle di più.