Por padrão, todos os usuários que são membros do grupo de administradores podem parar os serviços em um computador cliente. Isso significa que é possível parar o serviço Sophos Anti-Virus e remover software de segurança de endpoint Sophos se você tem esses direitos. Para remover essa habilidade de administradores siga os passos abaixo
1 - Criar um novo grupo de segurança no Active Directory (por exemplo, "Security Service). Isso é necessário, como você já pode ter um grupo de segurança que contém os diferentes membros da Administradores do Domínio
2 - Abra o Editor de Política de Grupo (Iniciar | Executar | Tipo: gpmc.msc | pressione ENTER) e crie um objeto de Nova Diretiva de Grupo chamado "Security Service"
3 - Edite a nova política de grupo e navegue até o seguinte local:
Configuração do Computador | Políticas | Configurações do Windows | Configurações de Segurança | Serviços do Sistema
4 - Percorra os serviços listados até chegar ao serviço Sophos Anti-Virus.
5 - Configure o serviço clicando duas vezes sobre o nome do serviço, selecionando "Definir esta política", a seleção de 'Automatico' e editar os grupos de segurança
6 - Adicione a conta de "Serviço de Rede" e conceda permissões de leitura, retire os Administradores e / ou do grupo Administradores de Domínio, conforme necessário
AVISO: NÃO remover SYSTEM e INTERATIVO desta lista
7 - Adicione a conta "Local Service" e concessão de leitura, iniciar, parar e pausar permissões
8 - Repita esse procedimento para todos os serviços Sophos você precisa restringir. Por favor, veja a nota dois na primeira parte deste artigo. Conta o "Serviço de Rede" só é necessária no serviço Anti-vírus Sophos
Você pode testar a funcionalidade, permitindo que a GPO e registrando em um computador cliente como administrador ou como uma conta com permissões de grupo que têm restringido. A tentativa de parar o serviço deve resultar na seguinte mensagem seja exibida:
Could not stop the service on Local Computer.
Error 5: Access is denied.
Bom proveito
Fonte: Sophos Knowledge Base