# Занятие 5. Обмен данными в домене и средства мониторинга Windows # ***Практика №5.1.Обмен данными в домене*** **Часть1. Настройка инстанса обмена данными** ![](https://i.imgur.com/3dHcf2N.png) Установка ролей DFS Namespaces и DSF Replication на dc1-en ![](https://i.imgur.com/12SLhAU.png) Установка ролей DFS Namespaces и DSF Replication на dc1-ru ![](https://i.imgur.com/JUHpq8h.png) Выбранные параметры для создания Пространства имен DFS ![](https://i.imgur.com/EWefiCn.png) Проверка доступности папки по сетевому пути с dc2-ru - доступно ![](https://i.imgur.com/velgxBI.png) Установка прав на чтение и запись для Группы безопасности Progr-sec для папки Progr, так же выставлены полные права для Группы безопасности Domain Admins ![](https://i.imgur.com/3lzP64v.png) Путь доступа к сетевой папке Progr На заднем плане видны остальные созданные папки, для всех сделаны аналогичные настройки ![](https://i.imgur.com/2wqCTNK.png) Создание пути DNS до сетевой папки Progr Аналогичным образом созданы пути для остальных папок ![](https://i.imgur.com/icP9Ws9.png) Проверка доступности сетевых папок через пространство имен DFS - доступны ![](https://i.imgur.com/rAhgrnb.png) Установка прав NTFS для сетевых папок Аналогичные настройки проведены для всех остальных сетевых папок ![](https://i.imgur.com/7E386G5.png) Установка группы репликации DFS на dc1-en Все необходимые папки на dc2-ru созданые и сделаны сетевыми ![](https://i.imgur.com/Cazbg4d.png) Настройка прошла успешно # ***Практика №5.2. Средства мониторинга Windows*** **Часть2. Управление средствами мониторинга Windows** ![](https://i.imgur.com/sUaszu7.png) Установка аудита событий (в том числе и на удаление) для сетевой папки share и всех её подпапок ![](https://i.imgur.com/xIv4O0h.png) Удаление папки DELETE-ME, созданной для удаления :) ![](https://i.imgur.com/YRVW9Zt.png) Событие 4656 указывает на проверку доступа к файлу - доступ на удаление для пользователя Olga разрешен ![](https://i.imgur.com/4IoQcT8.png) Событие 4663 указывает на то, что право доступа было использовано, в данном случае - удаление ![](https://i.imgur.com/SwTk00N.png) Событие 4660 генерируется при удалении, значит операция была выполнена успешно **Часть3. Инфраструктура отправки журналов Windows в SIEM** ![](https://i.imgur.com/3XPd39K.png) Включение сервиса сборщика логов ![](https://i.imgur.com/p5jhzK2.png) Включаем службу WinRM в политике log_delivery ![](https://i.imgur.com/MP2Jpxw.png) Включаем манеждер подписок и указываем путь до основного КД ![](https://i.imgur.com/zHbnAJR.png) В настройках фильтра безопасности для политики log_delivery указываем только наш клиентский Win10pro-ru (PC1) ![](https://i.imgur.com/YNmKkgh.png) Устанавливаем разрешение в Брандмауэре на управление компьютером в домене с помощью WinRM ![](https://i.imgur.com/xNZZ3FX.png) Настройки доступа к журналу Security ![](https://i.imgur.com/8M1R0IE.png) Добавление группы пользователей (в данном случае это будет группа админов) в локальную группу Читатели журнала событий ![](https://i.imgur.com/6AeRW3m.png) Создаем подписку на прием записей событий от pc1 Тестируем соединение - успешно ![](https://i.imgur.com/kLbHyY1.png) Список событий, которые будем собирать ![](https://i.imgur.com/5ViKBUM.png) Выбираем пользователя, под которым будет собирать журналы событий - ADMPetr ![](https://i.imgur.com/higrSJ4.png) Даём доступ сетевой службе для чтения журнала безопасности ![](https://i.imgur.com/YvccCIq.png) После выполнения команды на pc1 на доступ, в журнале Forwarded Events появляются события **Часть4. Настройка сборщика логов при компьютерах-инициаторах** ![](https://i.imgur.com/VWFlnr2.png) Создаем подписку, где указываем тип подписки Source computer enitiated ![](https://i.imgur.com/bjn5uj9.png) Т.к. компьютеров в домене немного выбираем инициатором стандартную группу Domain Computers ![](https://i.imgur.com/5eNqtgw.png) Выключаем сборщик событий, где инициатором является наш КДи чистим журнал Forward Events для наглядной проверки работоспособности нового правила ![](https://i.imgur.com/liN5rbk.png) Через несколько секунд начинают появлятся события