Занятие 5. Обмен данными в домене и средства мониторинга Windows

--- tags: Windows Basic --- # Занятие 5. Обмен данными в домене и средства мониторинга Windows ## Практическая работа №5.1 Обмен данными в домене ### Часть 1. Настройка инстанса обмена данными * Выбрали роль DFS ![](https://i.imgur.com/OOTCOYa.png) * Отметим роли DFS Namespases и DFS Replication ![](https://i.imgur.com/pHUOF4e.png) * Создадим новый namespace ![](https://i.imgur.com/Y3FmCI4.png) * Укажем сервер dc1 ![](https://i.imgur.com/t8t3Id8.png) * Указали имя пространства ![](https://i.imgur.com/LVE5agX.png) * Настроили права ![](https://i.imgur.com/sf8LY9W.png) * Пространство успешно создано ![](https://i.imgur.com/r1MaSau.png) * Инстанс создан успешно ![](https://i.imgur.com/yYvgWVi.png) * Создадим папку share ![](https://i.imgur.com/l3VuGu6.png) * И папки отделов ![](https://i.imgur.com/vnybXl9.png) * Сделали сетевой и скрытой ![](https://i.imgur.com/vus3dyB.png) * Указали группы и права Buhg-sec ![](https://i.imgur.com/rmqwmPM.png) * Указали группы и права Domain Admins ![](https://i.imgur.com/WZwWaP4.png) * Аналогично с другими папками: ![](https://i.imgur.com/mi0PJcb.png) [](https://i.imgur.com/8mx5N4g.png) ![](https://i.imgur.com/GWeGzMh.png) ![](https://i.imgur.com/jeD9ISj.png) ![](https://i.imgur.com/xpwhVCu.png) * Создадим папки в DFS ![](https://i.imgur.com/4VdRMmg.png) * По сетевому пути видны сетевые папки ![](https://i.imgur.com/pDELjiU.png) * Изменим права security у папки Buhg ![](https://i.imgur.com/A4gBAuI.png) * Аналогично с другими папками: ![](https://i.imgur.com/UzeLWMm.png) ![](https://i.imgur.com/48KBG0v.png) ![](https://i.imgur.com/CHM4iN6.png) ![](https://i.imgur.com/cVUnk4Z.png) * Для папки all_share выставили в параметрах доступ для группы everyone ![](https://i.imgur.com/mPp2mTf.png) ## Практическая работа №5.2 Средства мониторинга Windows ### Часть 2. Управление средствами мониторинга Windows * Зайдём во вкладку Аудит папки share и добавим правило ![](https://i.imgur.com/yQeNR44.png) * На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share ![](https://i.imgur.com/UnKTOYo.png) * Фильтруем события ![](https://i.imgur.com/GtgM3cT.png) * Видим следующие события: 4656 ![](https://i.imgur.com/N6a2UUV.png) 4663 ![](https://i.imgur.com/lGWTFH6.png) 4660 ![](https://i.imgur.com/21i5CLU.png) ### Часть 3. Инфраструктура отправки журналов Windows в SIEM * Включим сервис сборщика логов и подтвердим его автостарт ![](https://i.imgur.com/ojXdvvO.png) * Зайдём в редактор групповой политики и создадим новую, log_delivery ![](https://i.imgur.com/oKHpJCP.png) * Включим службу WinRM ![](https://i.imgur.com/6EpQdLW.png) * Найдём пункт настройки менеджера подписок, активируем его и настроим путь до логколлектора ![](https://i.imgur.com/T2XhCy6.png) * Укажем тип объектов -- компьютеры ![](https://i.imgur.com/K7rNEHO.png) * Удалили группу аутентифицированных пользователей и добавили PC1 ![](https://i.imgur.com/0yoZmdE.png) * Найдём меню создания правил брандмауэра и создадим новое правило inbound ![](https://i.imgur.com/qe2R70f.png) * Выберем преднастроенное правило для WinRM ![](https://i.imgur.com/nOO30UG.png) * Создадим это правило только для доменной и частной сети ![](https://i.imgur.com/X5gkVd6.png) * Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1 ![](https://i.imgur.com/mXOKuqr.png) * Настроим доступ УЗ до журнала security, введя параметр channelAccess ![](https://i.imgur.com/ZTHKTWe.png) * Отдельно добавим учетную запись для чтения журналов ![](https://i.imgur.com/BEpREOq.png) * Применим на домен политику ![](https://i.imgur.com/2W6Cayz.png) * Создали новую подписку, добавили PC1 и проверили подключение ![](https://i.imgur.com/T9Fch1d.png) * Указали нужные журналы ![](https://i.imgur.com/rnJbD8N.png) * Указали УЗ для сбора ![](https://i.imgur.com/eD6XKlK.png) * Ошибок в подписке нет ![](https://i.imgur.com/KlX5q2A.png) * Дали доступ сетевой службе до чтения журнала безопасности ![](https://i.imgur.com/PwsJzFc.png) * Логи появились в журнале forwarded events ![](https://i.imgur.com/dMQx15d.png) ### Часть 4. Настройка сборщика логов при компьютерах-инициаторах * Службы уже запущены ![](https://i.imgur.com/rxDUiDx.png) * Политика log_delivery применена ![](https://i.imgur.com/HNHEpJg.png) * Создали исключение для брандмауэра ![](https://i.imgur.com/xWgJFrG.png) * Указали компьютер ![](https://i.imgur.com/YtfOjln.png) * Нужные журналы ![](https://i.imgur.com/sPRA8TS.png) * Подписка работает без ошибок ![](https://i.imgur.com/6WkI6D6.png)