В этой статье мы рассмотрим простую методику, позволяющую скрыть определенную службу Windows из списка служб в консоли Services.msc. С помощью данной методики определенный сервис можно скрыть от всех пользователей компьютера (в том числе администраторов), тем самым мы можем запретить кому-бы то ни было останавливать/удалять/запускать данную службу Windows. Обычно это имеет смысл для служб антивирусных программ, систем контроля доступа к периферийным устройствам, систем слежения за действиями пользователя и другим подобным классам программ.
Из под учетной записи администратора откроем консоль управления службами Administrative Tools -> Services (или sevices.msc) и убедимся, что служба которую мы хотим скрыть отображается в списке всех служб. В нашем примере это будет служба SecretService. Наша задача, скрыть данную службу от пользователей на всех компьютерах домена Active Directory. 
- Запустите с правами администратора домена оснастку управления групповыми политиками), выбрав Administrative Tools -> Group Policy Management. Сделать это можно на контроллере домена (в этом случае на этот контроллер домена придется временно установить службу, которую вы планируете скрыть ) либо непосредственно на компьютере с интересующей службой (потребуется установить соответствующую версию Remote Server Administrative Tools ).
Примечание. Нужна именно это консоль, а не редактор локальной групповой политики gpedit.msc.
- Создайте новую групповую политику (или отредактируйте одну их существующих) и назначьте ее на OU, в котором находятся компьютеры, на которых необходимо скрыть нужную сервис Windows.
- Перейдите в следующий раздел политики: Computer Configuration > Policies > Windows Settings > Security Settings > System Services.
- В правой панели найдите имя нужной службы (в нашем случае это SecretService) и откройте его настройки.
- Укажем, что эта служба теперь настраивается политикой (Define this policy settings) и тип запуска службы (Automatic).
- Затем нажмите кнопку Edit Security и среди списка учетных записей с правами управления этой службой оставим только System (удалив разрешения для Administrators и Interactive)
- Подтвердите сохранение изменений.
- Закройте консоль управления редактора Group Policy Management Editor.
- На компьютере с экземпляром службы выполним обновление групповых политик (напомним, отредактированная политика должна действовать на данный ПК, а в случае с проблемами с применением групповых политик их можно продиагностировать с помощью gpresult или RSOP.mmc):
Gpupdate /force
- Обновите (F5) консоль со списком служб и убедитесь, что служба SecretServices из списка исчезла, хотя на самом деле ее исполняемый файл запущен и выполняется.
Итак, в этой статье мы показали, как в окружении Active Directory скрыть от пользователей и администраторов компьютера определенную службу Windows.
встречный вопрос — как проверить пк на наличие таких служб?
Думаю поможет аудит политик и сравнение списка системных служб, которые видны пользователю и самой системе с помощью команды:
sc query>c:\services_list_user.logЭту команду нужно выполнить в сессии пользователя, а затем из под системы (мануал как запустиь cmd от имени системы) выполнить:
sc query>c:\services_list_system.logИ сравнить полученные файлы.