Урок 5 - HackMD

# Урок 5 ## Задание 1. Обмен данными через DFS Отметим и установим роли: ![](https://i.imgur.com/GPeCdWX.png) ![](https://i.imgur.com/rlnTmqJ.png) Создание namespace: ![](https://i.imgur.com/P4F215q.png) ![](https://i.imgur.com/GXu6vjz.png) Создание сетевых папок и назначение прав доступа: ![](https://i.imgur.com/8qOTDHO.png) ![](https://i.imgur.com/5hUhR7L.png) ![](https://i.imgur.com/G7c7Iv7.png) Создание папок-ярлыков с указанием пути до папки-оригинала ![](https://i.imgur.com/cbIfKeB.png) Изменение прав на уровне NTFS ![](https://i.imgur.com/fSnP5GA.png) ![](https://i.imgur.com/zMITIAy.png) ![](https://i.imgur.com/BZl4rGY.png) ![](https://i.imgur.com/CxPE71U.png) ![](https://i.imgur.com/T6olGFO.png) ## Задание 2. Средства мониторинга. ### Подготовка Настройка аудирования ![](https://i.imgur.com/RUKjiEL.png) ![](https://i.imgur.com/txRbYtE.png) Проверка событий после удаления тестовой папки: event 4663 - была выполнена операция удаления и право доступа использовалось, а не просто запрашивалось ![](https://i.imgur.com/Q2zx03T.png) event 4656 - был запрошен доступ к файлу (его атрибутам, синхронизации и удалению) ![](https://i.imgur.com/lFCC9SI.png) event 4660 - объект был удален ![](https://i.imgur.com/HX4z0hG.png) ### Настройка централизованного сбора журналов посредством политики log_delivery Создание политики: ![](https://i.imgur.com/k8TLOHY.png) Инициализация сервера: ![](https://i.imgur.com/TA0UXp8.png) Включение службы WinRM: ![](https://i.imgur.com/AgkODBG.png) Настройка менеджера подписок: ![](https://i.imgur.com/AwSMTOb.png) Создание фильтра для политики log_delivery: изменение области распространения с authenthicated users на pc1 ![](https://i.imgur.com/EUklBkQ.png) Настройка FW: добавление правила на пропуск трафика логов по 5985 порту ![](https://i.imgur.com/EDndNDq.png) ![](https://i.imgur.com/Eftqre7.png) Получение дескриптора безопасности ![](https://i.imgur.com/38WEHO5.png) Включение политики для чтения журналов security службой network: ![](https://i.imgur.com/x3ukfy1.png) Создание учетной записи для чтения журналов: в группу читатели журнала событий добавляем членов группы Domain Admins ![](https://i.imgur.com/OXm20cZ.png) Применяем политику на домен ![](https://i.imgur.com/rWYPlvd.png) Создание подписки collector-get, которая будет инициализировать запросы на отправку логов ![](https://i.imgur.com/r6qhR2A.png) ![](https://i.imgur.com/7MBiGd5.png) ![](https://i.imgur.com/15l1Ovf.png) ![](https://i.imgur.com/cDpccBc.png) ![](https://i.imgur.com/F6v3rnR.png) Включение службы WinRM на источнике событий (pc1) ![](https://i.imgur.com/AnO6K6k.png) ![](https://i.imgur.com/WIq80MG.png)