Муханов Матвей. Занятие 5 - Обмен данными в домене и средства мониторинга Windows

# Муханов Матвей. Занятие 5 - Обмен данными в домене и средства мониторинга Windows ## Практическая работа №5.1 Обмен данными в домене. ### Задание 1) Настроить инстанс обмена данными ### Методический материал: #### Часть 1. Настройка инстанса обмена данными. Установлю роль DFS на dc1, установив роли DFS Namespases и DFS Replication ![](https://i.imgur.com/iNKTrUP.png) ![](https://i.imgur.com/OJWl7T9.png) Аналогично на dc2 ![](https://i.imgur.com/p775O5W.png) ![](https://i.imgur.com/aw77XBf.png) Создам новый namespace в управлении DFS ![](https://i.imgur.com/y8ATDtP.png) Выполняю необходимые настройки ![](https://i.imgur.com/YxwZ5Yq.png) ![](https://i.imgur.com/1EKFqf3.png) ![](https://i.imgur.com/GGIYcsu.png) ![](https://i.imgur.com/FcyBpTf.png) ![](https://i.imgur.com/65dpzoJ.png) Проверка ![](https://i.imgur.com/okv9gpz.png) Создаю папку share с папками отделов внутри + папку all_share и делаю каждую папку сетевой ![](https://i.imgur.com/5LyW0zl.png) Выставляем права ![](https://i.imgur.com/ddE3pFi.png) Путь появился ![](https://i.imgur.com/J9xbaF2.png) Проделаем однотипно со всеми папками, для all_share для everyone поставим full control После создадим папки в DFS и укажем пути ![](https://i.imgur.com/xcS7vqU.png) Проделаем со всеми ![](https://i.imgur.com/ucN1JoS.png) Папки отображаются в сети ![](https://i.imgur.com/sPzs1iV.png) Настроим права доступа к папкам ![](https://i.imgur.com/6Yrhb7a.png) Проделаем со всеми папками ![](https://i.imgur.com/dClqR3W.png) Готово! ## Практическая работа №5.2 Средства мониторинга Windows. ### Задание: 1) Настроить файловый ресурс с целью журналирования событий удаления объектов 2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами 3) Настроить сборщик журналов #### Часть 2. Управление средствами мониторинга Windows Перейдём в ПКМ share -> security -> properties -> advanced -> audit -> add ![](https://i.imgur.com/s6h9EMm.png) Выбираю principal и отмечаю группу Domain Users, выставляю настройки ![](https://i.imgur.com/71q8579.png) Перехожу в show advanced permissions, выделяю оба пункта delete и ok ![](https://i.imgur.com/Js01cLr.png) Правило создано ![](https://i.imgur.com/NIFBGyw.png) Удаляю папку на win10pro и перехожу в журнал безопасности dc1 ![](https://i.imgur.com/JpTlpd1.png) Перехожу в filter current log и вбиваю id интересующих событий ![](https://i.imgur.com/ZAy4u0b.png) Видим интересующие нас события ![](https://i.imgur.com/fDb7F1G.png) ![](https://i.imgur.com/VGWBThn.png) ![](https://i.imgur.com/lbg4OxR.png) Включим сервис сборщика логов и подтвердим его автостарт ![](https://i.imgur.com/AxSxhG9.png) Создадим новую групповую политику ![](https://i.imgur.com/JoIiAzd.png) Включим данную службу ![](https://i.imgur.com/nKX41mc.png) Найдём пункт настройки менеджера подписок и настроим путь до логколлектора ![](https://i.imgur.com/o7xK87b.png) Применим политику для компьютеров ![](https://i.imgur.com/3OKntZ3.png) Провожу поиск по имени pc1 ![](https://i.imgur.com/uO1HrTV.png) Удалим группу аутентифицированных пользователей ![](https://i.imgur.com/YsxBJ7C.png) Найстраиваю правила брандмауэра ![](https://i.imgur.com/YIM7FkT.png) ![](https://i.imgur.com/BIqIB0t.png) ![](https://i.imgur.com/I0fRlVJ.png) Достаю дескриптор безопасности журнала ![](https://i.imgur.com/9fLoFCF.png) Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/gxp1iob.png) И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы ![](https://i.imgur.com/5wfRO1K.png) ![](https://i.imgur.com/BNkwuZi.png) ![](https://i.imgur.com/dSj56Ni.png) Применим на домен ![](https://i.imgur.com/ddlplYT.png) Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок и подтвердим автоматическое включение службы ![](https://i.imgur.com/IrvJRcO.png) ![](https://i.imgur.com/r67P1my.png) Test ![](https://i.imgur.com/6F3yodN.png) Зайдём в меню select events и выберем нужные журналы ![](https://i.imgur.com/Eqmue2w.png) Зайдём в меню Advanced, укажем для сбора УЗ администратора ![](https://i.imgur.com/KasO66g.png) Применим и увидим созданную подписку, проверим на ошибки ![](https://i.imgur.com/c3zR0oj.png) Ошибок нет! ![](https://i.imgur.com/UVGFGB6.png) Логи пришли ![](https://i.imgur.com/oS1KvwE.png) часть 4 На сервере-коллекторе выполним команды winrm qc и wecutil qc ![](https://i.imgur.com/i7HQ7O2.png) На источниках событий включаю службу WinRM ![](https://i.imgur.com/6mvKtT7.png) ![](https://i.imgur.com/EUSXkrD.png) Создаю подписку, с инициаторами - компьютерами ![](https://i.imgur.com/ZqaUFkT.png) ![](https://i.imgur.com/lWwaSmq.png) ![](https://i.imgur.com/iY0aHK3.png) ![](https://i.imgur.com/M4s35aq.png) Active ![](https://i.imgur.com/wF5CJFp.png) Появились логи ![](https://i.imgur.com/lsU0aNE.png)