Отчет 5. - HackMD

# Отчет 5. ## Часть 1. Настройка инстанса обмена данными. 1. Установим роль DFS на dc1. Перейдем в установку ролей и компонентов. ![](https://i.imgur.com/4HWul7H.png) 2. Отметим роли DFS Namespases и DFS Replication ![](https://i.imgur.com/bgO7KKV.png) 3. Установили роли на обоих серверах. ![](https://i.imgur.com/HY6rJ13.png) ![](https://i.imgur.com/TolxdWr.png) 4. Зайдем в управление DFS ![](https://i.imgur.com/6blwhxo.png) 5. Создадим новый namespace ![](https://i.imgur.com/Pq3SoWo.png) 6. Укажем сервер, являющийся сервером имён для DFS. Это будет наш dc1. ![](https://i.imgur.com/ZkKvpF6.png) 7. Укажем имя создаваемого пространства и перейдём в edit settings. ![](https://i.imgur.com/MuGVcHz.png) 8. Настроим кастомные права, указав возможность чтения и записи для всех пользователей. ![](https://i.imgur.com/WL2Tb77.png) 9. Оставим настройки по умолчанию (domain namespase) ![](https://i.imgur.com/LEUOj3V.png) 10. Успешно создали пространство имён. ![](https://i.imgur.com/7t3CE2Y.png) Инстанс также успешно создан. ![](https://i.imgur.com/IYsJgSc.png) 11. Создаем папку share и внутри нее создаем папки отделов. ![](https://i.imgur.com/87INABQ.png) 12. Настраиваем папки ![](https://i.imgur.com/iBPgbRL.png) ![](https://i.imgur.com/H9r7hho.png) ![](https://i.imgur.com/w7O26FJ.png) ![](https://i.imgur.com/R7TRSOZ.png) ![](https://i.imgur.com/jyt0I5E.png) Для all_share по-особенному ![](https://i.imgur.com/phPYy5N.png) 13. Создаем папку в DFS. Назовем ее Buhg. В target добавляем Buhg$. ![](https://i.imgur.com/mYwC5tD.png) Видим, что отобразилось в сетевом пути: ![](https://i.imgur.com/0121vhL.png) 14. Проделали так со всеми папками. Теперь они видны в сетевом пути. ![](https://i.imgur.com/RqcjUPO.png) 15. Изменим права security у папки Bugh ![](https://i.imgur.com/4PMvCQr.png) Дадим права на modify ![](https://i.imgur.com/y1y9zbU.png) ## Часть 2. Управление средствами мониторинга Windows. 1. Зашли в настройки папки share => security => advanced => auditing => add ![](https://i.imgur.com/YRVm8v5.png) 2. Нажимаем select principal и выбираем группу всех пользователей нашего домена. ![](https://i.imgur.com/nIIrsWZ.png) 3. type=all; =>show advanced permissions ![](https://i.imgur.com/K8SMus8.png) 4. Выбираем оба пункта delete ![](https://i.imgur.com/TkXuHqv.png) 5. Правило создано ![](https://i.imgur.com/giXIemu.png) 6. Перешли на pc1, зашли как пользователь Olga, удаляем папку folder-for-delete ![](https://i.imgur.com/JessXOX.png) 7. Отфильтруем логи по id интересующих нас событий ![](https://i.imgur.com/CdklIYW.png) 8. Интересующие нас события: ID 4656 ![](https://i.imgur.com/h1YzcUr.png) ID 4663 ![](https://i.imgur.com/waBSZrS.png) ID 4660 ![](https://i.imgur.com/SZDOvyM.png) ## Часть 3. Инфраструктура отправки журналов Windows в SIEM. 1. Включим сервис сборщика логов и подтвердим его автостарт. ![](https://i.imgur.com/nCkd3UC.png) 2. Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery. ![](https://i.imgur.com/aToKjvo.png) 3. Нашли службу Windows Remote Manager ![](https://i.imgur.com/4dpHZ7E.png) и включили ее ![](https://i.imgur.com/I8eDZ4f.png) 4. Нашли пункт настройки менеджера подписок. ![](https://i.imgur.com/jUPwu7i.png) 5. Активируем его ![](https://i.imgur.com/8y8wFLb.png) 6. Настроим путь до логколлектора ![](https://i.imgur.com/RM3ggw6.png) 7. Сохраняем ![](https://i.imgur.com/sLmpYbg.png) Выбираем, чтобы поиск проходил и по компьютерам ![](https://i.imgur.com/kquSaLK.png) Нашли PC1 ![](https://i.imgur.com/Ow5ptrr.png) Удаляем группу аутентифицированных пльзователей ![](https://i.imgur.com/qsoSdYa.png) 8. Создадим новое inbound правило брандмауэра ![](https://i.imgur.com/hcZEqEw.png) ![](https://i.imgur.com/lo7qiec.png) ![](https://i.imgur.com/P15wPFn.png) ![](https://i.imgur.com/OzkyRbF.png) 9. Нашли дескриптор безопасности журнала на pc1. ![](https://i.imgur.com/VopjHNO.png) 10. Настроим доступ УЗ до журнала security ![](https://i.imgur.com/LKiUeFG.png) 11. Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/FtCZWk1.png) 12. Добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. ![](https://i.imgur.com/BuAz3gu.png) ![](https://i.imgur.com/iNNoTld.png) ![](https://i.imgur.com/oWKSbPK.png) 13. Применим на домен ![](https://i.imgur.com/V6Eo2O9.png) ![](https://i.imgur.com/9P6TukK.png) 14. Создаем новую подписку ![](https://i.imgur.com/4i7x9h5.png) ![](https://i.imgur.com/pSiezQQ.png) Также пришлось сделать следующее ![](https://i.imgur.com/I64eULB.png) 15. Выбрали нужные журналы ![](https://i.imgur.com/SWuxQOr.png) 16. Укажем администратора для сбора ![](https://i.imgur.com/lVv3mpo.png) 17. Подписка создана. Ошибок нет. ![](https://i.imgur.com/Ix8CSN1.png) 18. Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 ![](https://i.imgur.com/Hzg3uCM.png) Спустя некоторое время нам пришло небольшое число логов ![](https://i.imgur.com/ZLRo2TL.png) ## Часть 4. Настройка сборщика логов при компьютерах-инициаторах. 1. Первые три пункта мы уже выполнили. ![](https://i.imgur.com/4zm0J4D.png) 2. Остается создать подписку, где инициатором будут компьютеры ![](https://i.imgur.com/JcfQgzD.png) ![](https://i.imgur.com/pxCiQy3.png) ![](https://i.imgur.com/LgoRABG.png) ![](https://i.imgur.com/sqpwhv9.png)