Windows Basic Practice 5

# Windows Basic Practice 5 ###### tags: `Windows Basic` ## Практическая работа №5.1 Обмен данными в домене ### 1) Настройка обмена данными Установим роли DFC на dc1: ![](https://i.imgur.com/1UdgNEt.png) ![](https://i.imgur.com/depZvuS.png) Аналогично для dc2: ![](https://i.imgur.com/NkBW12h.png) ![](https://i.imgur.com/7MkfTnt.png) Зайдём в управление DFS и создадим новый namespace: ![](https://i.imgur.com/cu8pPGI.png) ![](https://i.imgur.com/yyKd0JF.png) Укажем имя создаваемого пространства: ![](https://i.imgur.com/ZxGh6fU.png) Укажем возможность чтения и изменения для всех пользователей: ![](https://i.imgur.com/XcmWMre.png) Оставим всё по умолчанию: ![](https://i.imgur.com/7fBr7QF.png) Проверим настройки и создадим пространство имён: ![](https://i.imgur.com/WPDRdj1.png) ![](https://i.imgur.com/yktFByP.png) Зайдём с dc2, чтобы проверить, что пространство имён было создано: ![](https://i.imgur.com/8wdE1CW.png) Создадим папку share: ![](https://i.imgur.com/pvalPBR.png) А также папки внутри папки share: ![](https://i.imgur.com/4azgfS4.png) Далее делаем все эти папки сетевыми. Выставляем права на чтение и запись для "имя папки"-sec и domain admins (права full control), а группу everyone удаляем, за исключением all_share, где нужно выставить права на чтение и изменение для группы everyone. Папка Buhg: ![](https://i.imgur.com/cHzkTy9.png) ![](https://i.imgur.com/hPbXSXy.png) ![](https://i.imgur.com/fR0uKdk.png) Папка HR: ![](https://i.imgur.com/zR31PLp.png) ![](https://i.imgur.com/MvJ1ZlL.png) ![](https://i.imgur.com/S9Azzrd.png) Папка Progr: ![](https://i.imgur.com/eBbCDi2.png) ![](https://i.imgur.com/ZasQs62.png) ![](https://i.imgur.com/ehAPxhF.png) Папка Sysadmins: ![](https://i.imgur.com/kn0heEW.png) ![](https://i.imgur.com/kTI7OLr.png) ![](https://i.imgur.com/t6uB6Lr.png) Папка VIP: ![](https://i.imgur.com/z8Q2gQn.png) ![](https://i.imgur.com/kvdPVnD.png) ![](https://i.imgur.com/DjCWDhY.png) Папка all_share: ![](https://i.imgur.com/B5dR0HL.png) ![](https://i.imgur.com/9SQ4c4u.png) Теперь создадим папки в DFS: ![](https://i.imgur.com/KwDFfiC.png) С Win10 видно эти папки: ![](https://i.imgur.com/YPTiK9s.png) Добавим пользователям прав на редактирование файлов на уровне NTDS: ![](https://i.imgur.com/3aN6jHL.png) ![](https://i.imgur.com/CD2HH5L.png) ![](https://i.imgur.com/vPGbJam.png) ![](https://i.imgur.com/ns1JJVQ.png) ![](https://i.imgur.com/T55UycQ.png) ![](https://i.imgur.com/0YDu9zv.png) ## Практическая работа №5.2 Средства мониторинга Windows ### 1) Настройка файлового ресурса с целью журналирования событий удаления объектов Добавим правило аудита для папки share: ![](https://i.imgur.com/dkelios.png) Выберем Principal и отметим группу Domain Users: ![](https://i.imgur.com/9rd6z1u.png) Выставим мониторинг всех событий: ![](https://i.imgur.com/6c79Aao.png) Отметим галочкой оба пункта Delete: ![](https://i.imgur.com/0Q3hMFF.png) ![](https://i.imgur.com/mCavmnV.png) Правило создано для папки share, а так же всех её вложенных папок и файлов: ![](https://i.imgur.com/lN778Rs.png) Создадим папку для удаления внутри папки all_share: ![](https://i.imgur.com/PZoqSNP.png) Удалим папку folder-for-delete из-под Win10 пользователя Olga: ![](https://i.imgur.com/2Z5s67O.png) Отфильтруем события (перед этим я убрал аудит некоторых событий, чтобы было легче ориентироваться в них): ![](https://i.imgur.com/Yefj6eh.png) Ниже 3 события, которые связаны с удалением папки folder-for-delete: ![](https://i.imgur.com/2ZG8Sim.png) ![](https://i.imgur.com/b3nwLoK.png) ![](https://i.imgur.com/sFlb5ln.png) ### 2) Настройка отправки журналов с помощью инструментария windows в соответствии с методическими материалами Включим сервис сборщика логов и подтвердим его автостарт: ![](https://i.imgur.com/ldKy3F8.png) Настроим политику отправки журналов на logcollector: ![](https://i.imgur.com/DupEZQf.png) Найдём пункт включения службы WinRM: ![](https://i.imgur.com/lMssq6y.png) ![](https://i.imgur.com/PKq1vXu.png) Активируем пункт настройки менеджера подписок: ![](https://i.imgur.com/4OrBkgj.png) ![](https://i.imgur.com/zCQn4Tb.png) Настроим путь до логколлектора: ![](https://i.imgur.com/MVocvuJ.png) Применим фильтр безопасности, чтобы политика применилась только к pc1: ![](https://i.imgur.com/zab1EiA.png) ![](https://i.imgur.com/OM7VkGI.png) ![](https://i.imgur.com/zSAveaE.png) После удалим группу аутентифицированных пользователей: ![](https://i.imgur.com/Uf4mCsc.png) ![](https://i.imgur.com/OZCLRjR.png) Изменим политику сбора логов так, чтобы правило было прописано на pc1: ![](https://i.imgur.com/8QPlDvo.png) ![](https://i.imgur.com/v6Y46fE.png) ![](https://i.imgur.com/ZcaPi2g.png) ![](https://i.imgur.com/Ljwlqv6.png) Найдём дескриптор безопасности журнала на pc1: ![](https://i.imgur.com/KjS6Mg4.png) Настроим доступ УЗ до журнала security: ![](https://i.imgur.com/HclePKX.png) Активируем политику и введём параметр channelAccess: ![](https://i.imgur.com/ucZn8nD.png) Зайдём в политику локальных групп и добавим правило для локальной группы: ![](https://i.imgur.com/oTGAjWr.png) ![](https://i.imgur.com/zQIL2YC.png) Применим на домен: ![](https://i.imgur.com/Htlg0mO.png) ![](https://i.imgur.com/sppMEeS.png) ### 3) Настройка сборщика журналов Настроим приём логов на коллекторе: ![](https://i.imgur.com/pOuW0ZV.png) ![](https://i.imgur.com/kB8Ax8D.png) Создадим новую подписку, назовём её collector-get и отметим ПК - PC1: ![](https://i.imgur.com/ZzYx32p.png) ![](https://i.imgur.com/Cs4agyW.png) Проверим сетевую связность с помощью кнопки Test: ![](https://i.imgur.com/vlst0IH.png) Выберем нужные журналы и укажем для сбора учётную запись администратора: ![](https://i.imgur.com/GfhIHbf.png) ![](https://i.imgur.com/4Dh8Gzv.png) Выполним команду на pc1: ![](https://i.imgur.com/8ODrKTr.png) После чего увидим логи в журнале forwarded events: ![](https://i.imgur.com/AeR5Huc.png)