Ja, bei den Halbjahresupdates würde ich kontrollieren, ob die den Service nicht wieder anwerfen.
Muss man bei DiagTrack auch, bzw. wird der dann wieder angeworfen. Kann man nicht einfach das Binary löschen oder wegräumen und das Windows-Äquivalent zu einem Link nach /dev/null dafür hinlegen?
Ich würde es mit 'n Script kontrolieren.
Checken ob Service läuft. Wenn ja -> Service shutdown und die Registery einträge checken/ändern.
Kann man entweder bei jedem booten machen oder halt in Aufgaben ablegen (crontab-clone).