У цій статті ми розглянемо просту методику, що дозволяє приховати певну службу Windows зі списку служб в консолі Services.msc. За допомогою даної методики певний сервіс можна приховати від всіх користувачів комп'ютера (в тому числі адміністраторів), тим самим ми можемо заборонити будь-б то не було зупиняти / видаляти / запускати дану службу Windows. Зазвичай це має сенс для служб антивірусних програм, систем контролю доступу до периферійних пристроїв, систем стеження за діями користувача і іншим подібним класах програм.
З під обліковим записом адміністратора відкриємо консоль управління службами Administrative Tools -> Services (або sevices.msc) І переконаємося, що служба яку ми хочемо приховати відображається в списку всіх служб. У нашому прикладі це буде служба SecretService. Наше завдання, приховати цю службу від користувачів на всіх комп'ютерах домену Active Directory.
- Запустіть з правами адміністратора домену оснащення управління груповими політиками), вибравши Administrative Tools -> Group Policy Management. Зробити це можна на контролері домену (в цьому випадку на цей контролер домену доведеться тимчасово встановити службу, яку ви плануєте приховати) або безпосередньо на комп'ютері з цікавить службою (буде потрібно встановити відповідну версію Remote Server Administrative Tools). Примітка. Потрібна саме це консоль, а не редактор локальної групової політики gpedit.msc.
- Створіть нову групову політику (або відредагуйте одну їх існуючих) і призначте її на OU, в якому знаходяться комп'ютери, на яких необхідно приховати потрібну сервіс Windows.
- Перейдіть в наступний розділ політики: Computer Configuration> Policies> Windows Settings> Security Settings> System Services.
- У правій панелі знайдіть ім'я потрібної служби (в нашому випадку це SecretService) і відкрийте його налаштування.
- Зазначимо, що ця служба тепер налаштовується політикою (Define this policy settings) І тип запуску служби (Automatic).
- Потім натисніть кнопку EditSecurity і серед списку облікових записів з правами управління цією службою залишимо тільки System (Видаливши дозволу для Administrators і Interactive)
- Підтвердіть збереження змін.
- Закрийте консоль управління редактора Group Policy Management Editor.
- На комп'ютері з екземпляром служби виконаємо оновлення групових політик (нагадаємо, відредагована політика повинна діяти на даний ПК, а у випадку з проблемами із застосуванням групових політик їх можна продіагностувати за допомогою gpresult або RSOP.mmc):
Gpupdate / force
- Оновлення (F5) Консоль зі списком служб і переконайтеся, що служба SecretServices зі списку зникла, хоча насправді її виконуваний файл запущений і виконується.
Отже, в цій статті ми показали, як в оточенні Active Directory приховати від користувачів і адміністраторів комп'ютера певну службу Windows.