Занятие 5 - Обмен данными в домене и средства мониторинга Windows

# Занятие 5 - Обмен данными в домене и средства мониторинга Windows ###### tags: `Windows Labs` # Практическая работа №5.1 Обмен данными в домене. ## Часть 1. Настройка инстанса обмена данными. установим роль DFS на dc1 Отметим роли DFS Namespases и DFS Replication ![](https://i.imgur.com/lp11Cak.png) install ![](https://i.imgur.com/XL9bvuT.png) ![](https://i.imgur.com/AcBBCJv.png) Выполняем аналогичную установку на dc2. ![](https://i.imgur.com/EsQM2bF.png) ![](https://i.imgur.com/nwPyjO5.png) ![](https://i.imgur.com/bh7K0Mi.png) ![](https://i.imgur.com/GKdrBXd.png) Создадим новый namespace в DFS ![](https://i.imgur.com/zUrIUVr.png) ![](https://i.imgur.com/pWFaR48.png) ![](https://i.imgur.com/SeGBXpj.png) next create ![](https://i.imgur.com/nxXR0wK.png) успешный успех ![](https://i.imgur.com/jBAAjVA.png) Видим шару на dc1 ![](https://i.imgur.com/K3fQdv9.png) Создадим папку share ![](https://i.imgur.com/wSB8lCY.png) папки отделов внутри ![](https://i.imgur.com/ps9eT8O.png) Делаем папки сетевыми Сначала Buhg ![](https://i.imgur.com/queKQQ7.png) ![](https://i.imgur.com/OABuNZL.png) HR ![](https://i.imgur.com/Xwon7ZZ.png) ![](https://i.imgur.com/tMk6z0h.png) Progr ![](https://i.imgur.com/PmwgAC3.png) ![](https://i.imgur.com/ciBt0Kg.png) Sysadmins ![](https://i.imgur.com/JvNaIN6.png) ![](https://i.imgur.com/Jq5mzfu.png) *название скорректировал* ![](https://i.imgur.com/V5BAdpg.png) VIP ![](https://i.imgur.com/yYFpeVe.png) ![](https://i.imgur.com/H1E1ciu.png) *название скорректировал* ![](https://i.imgur.com/kfZd8gZ.png) all_share ![](https://i.imgur.com/A2Wwkr9.png) ![](https://i.imgur.com/Dk1bJVV.png) создадим папки в DFS ![](https://i.imgur.com/n81R0oK.png) ![](https://i.imgur.com/uDX9ndU.png) ![](https://i.imgur.com/N52LDHU.png) ![](https://i.imgur.com/EpuoaDs.png) ![](https://i.imgur.com/icZloSr.png) ![](https://i.imgur.com/aKNtkqO.png) ![](https://i.imgur.com/jErMr2n.png) Все папки появились в шаре ![](https://i.imgur.com/21ivu1P.png) Изменим права security у всех папок, чтобы соответствующие группы могли изменять файлы в своих папках ![](https://i.imgur.com/mAy3cGm.png) ![](https://i.imgur.com/CVEbwBc.png) ![](https://i.imgur.com/ezqgOuj.png) ![](https://i.imgur.com/iN5nYQL.png) ![](https://i.imgur.com/tG3i971.png) ![](https://i.imgur.com/xoB9lsq.png) Доп задание: ![](https://i.imgur.com/7WVn5TN.png) ![](https://i.imgur.com/VJxhY4P.png) ![](https://i.imgur.com/NueSWqr.png) ![](https://i.imgur.com/w4jYp0T.png) ![](https://i.imgur.com/AvlCq8p.png) ![](https://i.imgur.com/S10Swcy.png) настроим доступ для групп ![](https://i.imgur.com/6mPfJqy.png) ![](https://i.imgur.com/svwzBBK.png) ![](https://i.imgur.com/lH0Gl7J.png) ![](https://i.imgur.com/XTKd1HY.png) ![](https://i.imgur.com/6X9Y6Ur.png) ![](https://i.imgur.com/yLwqr3y.png) Зайдём в меню репликации ![](https://i.imgur.com/XlAiu6H.png) Создадим группу репликации ![](https://i.imgur.com/c9t7AA9.png) ![](https://i.imgur.com/GfernKQ.png) ![](https://i.imgur.com/KbTjifU.png) ![](https://i.imgur.com/hDDS3S2.png) ![](https://i.imgur.com/2IFuWvr.png) ![](https://i.imgur.com/IT78H0m.png) ![](https://i.imgur.com/GMCyuoy.png) ![](https://i.imgur.com/juH5Ili.png) ![](https://i.imgur.com/VZqjyBN.png) ![](https://i.imgur.com/J0xhh6D.png) ![](https://i.imgur.com/mevVl8w.png) Репликация завершена. Репликант стабилен. # Практическая работа №5.2 Средства мониторинга Windows. Часть 2. Управление средствами мониторинга Windows Включим логирование удаления файлов с щары Зайдём в настройки папки share ![](https://i.imgur.com/MDb6SoI.png) Добавим правило аудита ![](https://i.imgur.com/ZdvJJGs.png) ![](https://i.imgur.com/IaLgAmi.png) правило создано Проверим логгирование в общей папке создали фолдер ![](https://i.imgur.com/C0csHYv.png) от имени обычного юзера удаляем его ![](https://i.imgur.com/LMB36Vm.png) Проверим журнал безопасности ![](https://i.imgur.com/mktBsd1.png) ![](https://i.imgur.com/gQNna3r.png) ![](https://i.imgur.com/CdNMPt3.png) ищем событие удаления 4660 ![](https://i.imgur.com/l7Lf7Dh.png) handle id: 0xf10 ![](https://i.imgur.com/PeGQWRc.png) все 3 события имеют этот handle id и выполнены от имени Olga, значит все относятся к искомому удалению папки. ## Часть 3. Инфраструктура отправки журналов Windows в SIEM Включим сервис сборщика логов и подтвердим его автостарт ![](https://i.imgur.com/1O86K5o.png) Настроим политику отправки журналов на logcollector Зайдём в редактор групповой политики и создадим новую, log_delivery ![](https://i.imgur.com/im5ObaR.png) включим службу WinRM ![](https://i.imgur.com/fpy0kxF.png) ![](https://i.imgur.com/o5ALgJg.png) активируем менеджер подписок ![](https://i.imgur.com/XXmLTR1.png) ![](https://i.imgur.com/1mKKlLH.png) Настроим путь до логколлектора ![Uploading file..._v1kjstbad]() применим политику к pc1 ![](https://i.imgur.com/HabfdrP.png) ![](https://i.imgur.com/bgouMni.png) ![](https://i.imgur.com/b17K5hz.png) Настройка фаервола. Найдём меню создания правил брандмауэра и создадим новое правило inbound ![Uploading file..._ixybvjfcn]() ![Uploading file..._3kju9s9as]() ![Uploading file..._cnrpq6vpj]() порт открыт ![](https://i.imgur.com/3gfYU0a.png) Настроим дескриптор безопасности журнала на pc1 ![Uploading file..._daxshh6mm]() ![](https://i.imgur.com/47FlwwA.png) Настроим доступ УЗ до журнала security ![Uploading file..._mp19yqub7]() Добавим группу для чтения журналов ![](https://i.imgur.com/48GRPfn.png) Применим на домен ![](https://i.imgur.com/OrVf6ge.png) Настроим приём логов на коллекторе. В event viewer подтвердим автоматическое включение службы Создадим подписку ![](https://i.imgur.com/dqAq2xc.png) ![Uploading file..._eh62qk8yv]() выберем нужные журналы ![](https://i.imgur.com/R2ytkkg.png) ![](https://i.imgur.com/0Sqgvcu.png) ![](https://i.imgur.com/bbCRj3w.png) Дадим доступ сетевой службе до чтения журнала безопасности ![](https://i.imgur.com/e85RJzf.png) логи появились ![](https://i.imgur.com/xCoFv60.png) ## Часть 4. Настройка сборщика логов при компьютерах-инициаторах 4.1 ![](https://i.imgur.com/9687Uub.png) 4.2 ![](https://i.imgur.com/YffHhrA.png) 4.3 ![](https://i.imgur.com/H203r4N.png) 4.4 Настройка source initiated подписки ![](https://i.imgur.com/HXky8QU.png) ![](https://i.imgur.com/NAx4hIQ.png) ![](https://i.imgur.com/RrEblL4.png) ![](https://i.imgur.com/ZtcMzwF.png) ![](https://i.imgur.com/xbe4SNa.png)