Заметки о Windows и других программных продуктах Microsoft...

Можно ли скрыть от пользователя службу Windows

Можно ли скрыть от пользователя службу Windows

Иногда требуется скрыть от излишне продвинутых пользователей какую либо системную службу, дабы они не могли ее видеть и (при наличии прав администратора) сделать с ней что нибудь нехорошее 🙂 К счастью, механизм групповых политик позволяет сделать любую конкретную службу недоступной для пользователей компьютера.

Для примера возьмем службу автоматического обновления (wuauserv) и попробуем скрыть ее.

Первым делом откроем оснастку «Службы» (Win+R->services.msc) и убедимся в том, что служба в ней отображается.

оснастка службы Windows

 

На всякий случай проверим наличие службы wuauserv и через консоль PowerShell.

проверяем статус службы в PowerShell

 

Теперь открываем оснастку управления доменными групповыми политиками «Group Policy Management». Создаем новый объект групповой политики (GPO) с именем «Hidden service» и привязываем его к OU Workstations, в котором находятся все рабочие станции домена.

создаем новый GPO

 

Затем открываем созданную политику, переходим в раздел Computer Configuration\Windows Settings\Security Settings\System Services и находим там пункт с именем Windows Update.

устанавливаем свойства службы в GPO

 

Открываем его свойства и ставим чекбокс ″Define this policy settings″, а также выбираем режим запуска службы ″Automatic″. Затем жмем на кнопку «Edit Security» и в настройках безопасности удаляем всех пользователей кроме SYSTEM. Сохраняем настройки и выходим из редактора.

Теперь настройки данной службы будут определяться доменными политиками, а доступ к службе будет только у системы. Все остальные пользователи, включая членов группы локальных администраторов, не смогут видеть данную службу и управлять ей.

редактируем свойства безопасности службы

 

Возвращаемся на рабочую станцию и обновляем групповые политики командой gpupdate /force. А теперь попробуем еще раз вывести состояние службы wuauserv — и получим ответ, что такой службы нет.

обновляем групповые политики на компьютере

 

Не видно службы и в графической оснастке. Теперь пользователи не смогут напрямую управлять службой автоматического обновления, при этом само обновление продолжает нормально работать.

проверяем наличие скрытой службы

 

Таким образом можно скрыть от любопытных пользователей любую службу. Однако не забывайте документировать подобные изменения, поскольку при наличии проблем обнаружить и продиагностировать подобные службы довольно сложно.

 
 
Комментарии

Пока нет комментариев.