Почему наложенные СЗИ всё равно нужны.
Как должно и может выглядеть сканирование ДО и ПОСЛЕ, если коротко то ДО будет что то показано и может быть много того чего не должно быть, а ПОСЛЕ этого всего или вовсе не будет или будет только минимально то, что разрешено.
Или более подробно так:
То что находит сканер в открытой ИС (без СЗИ) - это ПОКАЗАТЕЛЬ обследования. т.е. ДО и мы видим как было и нам надо что то сделать чтоб это закрыть.
Потому то что там показалось - это ЛЮБАЯ система так и будет, а что ожидать то если калитка открыта и там и гуси, и утки, и куры ходят 
всё так и будет!
====
Дальше нам надо что то сделать чтоб этих ходунов как то оградить, разделить или сделать чтоб они только за забором были и тут мы начинаем думать как от Лисы то избавиться, которая тоже так же ходит.
О! есть рекомендация от регуляторов чтоб эту уязвимость закрыть надо собаку посадить за забор, чтоб охраняла территорию и тех кто рядом проходит не кусала.
Но они не всегда понимает и предусматривают всё!!! Потому выполнить то мы это можем, собаку посадили - всё лисы нет за километр, но вот незадача - собака дурная попалась и пожрала все яйца и загрызла трёх придирчивых петуха и одного гусака. ( ВОТ это и есть НЕ СОВМЕСТИМОСТЬ некоторых обновлений, которые не учитывают всего! Да это можно потом патчами закрывать дальше, собаку в будку и на цепь ограничить, но где не достанет пёс, тут же будет лиса или патча вовсе может не быть.) Что же делать? Как же быть? О! А применим мы наложенные средства защиты – и отгрохали в итоге большой железный амбар, доступа туда лисе нет и проблемы нет, и собаки не надо, но т.к. завели не выбрасывать же её и пустили вокруг амбара пусть бегает. Да - требования, чтоб она была за забором не выполнено, но главное итог то выполнен, а кусать она уже не кого не будет т.к. там ограничена цепью, а когда с цепи срывается то полномочия уже не действуют и они бегает гремя ей добрая, свободная и весёлая.
Вот так это всё и работает примерно.
Потому если видно что то ДО СЗИ это всё показатель того, что именно есть и если эти же показатели после установки СЗИ, то это показатель как раз того, что их нет или они бестолковые, а если там не чего не видно – это и есть показатель их работы. Но всё поголовно закрывать что увидел – это тоже не всегда верно т.к. если капать глубже, то много обновлений моно найти запрещенных для применения в некоторых ИС, не одобренных теми же регуляторами. Или они могут идти в перерез многому разному ПО которые требуется для работы, также и железу, и даже самим СЗИ некоторым, потому главная цель устранить всё, что ДО любыми способами и не обязательно теми, которые рекомендуются производителем т.к. он может не знать и не должен знать, что у вас там вдруг СКЗИ какое то, которое они не проверяли и могут даже не знать о нём.
========
Дополнительно ещё тут хорошая статья:
"Средства защиты информации для инфраструктуры виртуализации: встроенные или наложенные?"