Defense+. Как жестко переопределить настройки “safe”-прогр

Есть несколько программ:

%windir%\system32\services.exe
%windir%\system32\svchost.exe

Не взирая на то что это “safe”-программи, мне бы все же хотелось им запретить изменять все что связано с службами без моего ведома(HKLM\SYSTEM\CurrentControlSet???\services). Для этого я создаю новое правило где в пункте защиты реестра выбираю тип действия “Ask”. Но при использовании режима роботы “Safe Mode” никакого уведомления я не получаю и программа спокойно меняет то что хочет. Включать режим “Paranoid Mode” не хочется (уже задолбался отвечать на вопросы защиты, да и правил создается огромное количество). Как быть?

P.S.

Зачем мне это?

У меня следующая ситуация. Я работаю на предприятии с большим количеством филиалов. В каждом филиале есть свои системные администраторы. Все мы (сис. админы) – администраторы домена. Хотелось бы максимально защитить свой компьютер от других админов при этом остаться в домене. Для этого я запретил на фаерволе 135 порт (RPC) а вот с Defense+ что то не получается.

Любой админ открыв mmc.exe у себя на компе и выбрав оснастку «управление компьютером» (где в качестве управления выбирает имя моего компа) может безнаказанно управлять моими службами и шарами.