Иногда требуется скрыть от излишне продвинутых пользователей какую либо системную службу, дабы они не могли ее видеть и (при наличии прав администратора) сделать с ней что нибудь нехорошее 🙂 К счастью, механизм групповых политик позволяет сделать любую конкретную службу недоступной для пользователей компьютера.
Для примера возьмем службу автоматического обновления (wuauserv) и попробуем скрыть ее.
Первым делом откроем оснастку «Службы» (Win+R->services.msc) и убедимся в том, что служба в ней отображается.
На всякий случай проверим наличие службы wuauserv и через консоль PowerShell.
Теперь открываем оснастку управления доменными групповыми политиками «Group Policy Management». Создаем новый объект групповой политики (GPO) с именем «Hidden service» и привязываем его к OU Workstations, в котором находятся все рабочие станции домена.
Затем открываем созданную политику, переходим в раздел Computer Configuration\Windows Settings\Security Settings\System Services и находим там пункт с именем Windows Update.
Открываем его свойства и ставим чекбокс ″Define this policy settings″, а также выбираем режим запуска службы ″Automatic″. Затем жмем на кнопку «Edit Security» и в настройках безопасности удаляем всех пользователей кроме SYSTEM. Сохраняем настройки и выходим из редактора.
Теперь настройки данной службы будут определяться доменными политиками, а доступ к службе будет только у системы. Все остальные пользователи, включая членов группы локальных администраторов, не смогут видеть данную службу и управлять ей.
Возвращаемся на рабочую станцию и обновляем групповые политики командой gpupdate /force. А теперь попробуем еще раз вывести состояние службы wuauserv — и получим ответ, что такой службы нет.
Не видно службы и в графической оснастке. Теперь пользователи не смогут напрямую управлять службой автоматического обновления, при этом само обновление продолжает нормально работать.
Таким образом можно скрыть от любопытных пользователей любую службу. Однако не забывайте документировать подобные изменения, поскольку при наличии проблем обнаружить и продиагностировать подобные службы довольно сложно.