# Занятие 5. Обмен данными в домене и средства мониторинга Windows ## Практическая работа №5.1 Обмен данными в домене ### Часть 1. Настройка инстанса обмена данными Установим роль DFS на dc1. Отметим роли DFS Namespases и DFS Replication:  Установим роли:  Выполним аналогичную установку на dc2. Установим роль DFS на dc2. Отметим роли DFS Namespases и DFS Replication:  Установка ролей:  Зайдём в управление DFS и создадим новый namespace. Укажем сервер, являющийся сервером имён для DFS:  Укажем имя создаваемого пространства:  Настроим кастомные права, указав возможность чтения и записи для всех пользователей:  Оставим настройки по умолчанию:  Создадим пространство имён:  Сообщение об успехе:  Проверим, что инстанс создан, пройдя по пути:  Создадим папку share:  Создадим папки отделов внутри:  Каждую эту папку сделаем сетевой:  Выставляем права на чтение и запись для buhg-sec:  Относительный dc1 путь до папки по сети:  Выставляем права на чтение и запись для HR-sec:  Выставляем права на чтение и запись для Progr-sec:  Выставляем права на чтение и запись для Sysadmins-sec:  Выставляем права на чтение и запись для VIP-sec:  Выставляем права на чтение и запись для all_share everyone  Создадим папки в DFS:       Теперь по сетевому пути видны сетевые папки:  Изменим права security у папки Buhg:  У папки HR:  У папки Progr:  У паки Sysadmins:  У паки VIP:  У папки all_share:  Настроим репликацию DFS на dc2:  ## Практическая работа №5.2 Средства мониторинга Windows ### Часть 2. Управление средствами мониторинга Windows Зайдём в настройки папки share и настроим правила аудита:  Создадим в папке all_share папку folder-for-delete для тестирования генерации событий:  На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share:  Проверим журнал безопасности dc1:  Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра:  По итогу:  ### Часть 3. Инфраструктура отправки журналов Windows в SIEM Включим сервис сборщика логов и подтвердим его автостарт  Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую:  Найдём пункт включения службы WinRM:  Включим службу:  Найдём пункт настройки менеджера подписок и активируем его:  Настроим путь до логколлектора:  Применим фильтр безопасности, чтобы политика применилась только к pc1:  Удалим группу аутентифицированных пользователей:  Изменим политику сбора логов так, чтобы правило было прописано на pc1. Найдём меню создания правил брандмауэра и создадим новое правило inbound. Выберем преднастроенное правило для WinRM:  Создадим это правило только для доменной и частной сети:  Разрешим подключение:  Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1:  Настроим доступ УЗ до журнала security. Активируем политику и введём параметр channelAccess:  Зайдём в политику локальных групп и добавим правило для локальной группы, локальная группа -- читатели журнала событий:  Применим на домен:  Настроим приём логов на коллекторе. Создадим новую подписку:   Проверим сетевую связь:  Зайдём в меню select events и выберем нужные журналы:  Зайдём в меню Advanced, укажем для сбора УЗ администратора:  Проверим, нет ли ошибок:  Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1:  После чего увидим логи в журнале forwarded events:  ### Часть 4. Настройка сборщика логов при компьютерах-инициаторах На сервере-коллекторе выполним команду winrm qc и команду wecutil qc:  Создадим подписку, где инициатором будут компьютеры. Назовем ее computer-get и выберем PC1 для сборки логов:  Проверем созданную подписку на отсутсвие ошибок:  Дадим доступ сетевой службе до чтения журнала безопасности и увидим логи в журнале forwarded events: