HackMD - Collaborative Markdown Knowledge Base

Михайлов Максим Практическая работа №5 Обмен данными в домене и средства мониторинга Windows. Практическая работа №5.1 Обмен данными в домене. Задание. 1) Настроить инстанс обмена данными. Для начала надо для dc1 установить роль DFS. ![](https://i.imgur.com/Iy4mPNn.png) Отметим две роли DFS Namespases и DFS Replication. ![](https://i.imgur.com/ESfGCtJ.png) И установим их. ![](https://i.imgur.com/CizGm2i.png) Потом зайдём в управление DFS. ![](https://i.imgur.com/kVram0E.png) Потом надо будет создать новый namespace. ![](https://i.imgur.com/srbTDyA.png) И укажем сервер для DFS. ![](https://i.imgur.com/5vrD8pq.png) Укажем имя пространства. ![](https://i.imgur.com/Ajp3qM1.png) И найдём кастомные права. ![](https://i.imgur.com/OorFVDu.png) ![](https://i.imgur.com/J2POYMy.png) Потом создадим пространство имён. ![](https://i.imgur.com/qxWpqOA.png) Создался. ![](https://i.imgur.com/Q5Gpp7p.png) Потом проверяем, что инстанс создан. ![](https://i.imgur.com/y9TtImF.png) Создадим папку share. ![](https://i.imgur.com/3puj7z6.png) И папку отделов внутри. ![](https://i.imgur.com/wJbFysV.png) Каждую из папок сделаем сетевой. ![](https://i.imgur.com/3dmWD6F.png) ![](https://i.imgur.com/HayGXq4.png) ![](https://i.imgur.com/ZgyEExd.png) Знак доллара нужен, чтобы скрыть данные от посторонних. ![](https://i.imgur.com/LrynTsc.png) ![](https://i.imgur.com/UU6cuXk.png) ![](https://i.imgur.com/x47H4vG.png) ![](https://i.imgur.com/DIpPwMG.png) ![](https://i.imgur.com/WZ0WA9y.png) ![](https://i.imgur.com/K3AHLTg.png) ![](https://i.imgur.com/7CemjHv.png) Из всех папок найдём нужную. ![](https://i.imgur.com/IZi6YlE.png) ![](https://i.imgur.com/DhilwlX.png) ![](https://i.imgur.com/WVG2gtI.png) У пользователей пока нету прав на уровне NTFS, изменим их в папке Buhg. ![](https://i.imgur.com/gMReaiw.png) ![](https://i.imgur.com/vmX4yeI.png) ![](https://i.imgur.com/EgIHVh7.png) Практическая работа №5.2 Средства мониторинга Windows. 1) Настроить файловый ресурс с целью журналирования событий удаления объектов. Для начала решим задачу с настройкой логирования удаления файлов с файловых ресурсов. ![](https://i.imgur.com/dLS3nTi.png) ![](https://i.imgur.com/skO6TpX.png) ![](https://i.imgur.com/LazVNf2.png) ![](https://i.imgur.com/LcwpcPT.png) Отметим Domain Users и поставим type=all. ![](https://i.imgur.com/OjWisYY.png) ![](https://i.imgur.com/BNSKxFP.png) Отметим оба пункта Delete. ![](https://i.imgur.com/PMuiwXi.png) Правило для папки share готово. ![](https://i.imgur.com/0zjBNzR.png) Создадим в папке all_share папку folder-for-delete для тестирования генерации событий. ![](https://i.imgur.com/AOZKlwu.png) Проверим журнал безопасности. ![](https://i.imgur.com/M5xSbsv.png) Событий есть много, но введём те события, которые нас интересуют. ![](https://i.imgur.com/5JYPvIh.png) По итогу из всех событий, 3 события нас не интересуют. ![](https://i.imgur.com/8H6NdLg.png) 2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами. Теперь приступим к настройке отправке журналов. Включим сервис сборщика логов и подтвердим его автостарт. ![](https://i.imgur.com/Gvoya8u.png) Потом перейдём в редактор групповой политики и создадим новую, log_delivery, чтобы настроить политику отправки журналов. ![](https://i.imgur.com/X9roPTe.png) И найдём пункт включения службы WinRM. ![](https://i.imgur.com/UNFfyi0.png) Включим её. ![](https://i.imgur.com/AQi39vp.png) И найдём настройки менеджера подписок. ![](https://i.imgur.com/BazRwDw.png) Активируем его и настроим путь до логколлектора. ![](https://i.imgur.com/akJCgoD.png) ![](https://i.imgur.com/2UOELt1.png) Всё сохраним и применим фильтр безопасности. ![](https://i.imgur.com/qqLT1JV.png) ![](https://i.imgur.com/O4am5xr.png) ![](https://i.imgur.com/SHyYxjP.png) Потом удалим аутентифицированных пользователей. ![](https://i.imgur.com/YN1zoYL.png) 3) Настроить сборщик журналов Зайдём в меню select events и найдём нужные журналы. ![](https://i.imgur.com/VjJAzjT.png) ![](https://i.imgur.com/RSNKNSa.png) Увидим, что никаких ошибок не будет. ![](https://i.imgur.com/3MxXV7Y.png) Потом предоставим доступ для чтения журналов безопасности. ![](https://i.imgur.com/idqc3P3.png) ![](https://i.imgur.com/SBG2QS3.png)