Занятие 5. Обмен данными в домене и средства мониторинга Windows
№5.1 Обмен данными в домене.
1.Настройка инстанса обмена данными.
Установим роль DFS на dc1 DFS Namespases и DFS Replication
По аналогии делаем на dc2Занятие 5. Обмен данными в домене и средства мониторинга Windows
№5.1 Обмен данными в домене.
1.Настройка инстанса обмена данными.
Установим роль DFS на dc1 DFS Namespases и DFS Replication
По аналогии делаем на dc2
Зайдём в управление DFS
Создадим новый namespace
Назмачим dc1 сервером имён для DFS
Создадим имя создаваемого пространства и перейдём в edit settings
Назначаем кастомные права, указав возможность чтения и записи для всех пользователей
Создадим пространство имён
Проверка созданного пути
Создадим папку share
Создадим внутри папуи по отделам и папку all_share
Каждую папку отдела делаем сетевой. На примере папки Buhg показана демонстрация.
Выбираем вкладку sharing, а затем пунк advanced sharing.
Выбираем пункт advanced sharing и активируем доступ.Вконце имени сетевой папки ставим знак $.
Далее идём в пунк permissions для выставление прав доступа.
Отобразиться относительный dc1 путь до папки по сети
Аналогичные действия делаем для остальных папок
Cоздадим папки в DFS. В меню DFS нажмём кнопку "new folder"
Указываем имя папки Buhg
Укажем ярлык до конкретной папки
По сетевому пути проверяем видимость сетевых папок
Изменим права security у папки Buhg
Аналогично проделываем для других папок
№5.2 Средства мониторинга Windows.
Управление средствами мониторинга Windows
Зайдём в настройки папки share
Переходим Security -> Advanced ->Auditing ->Add. добавим правило аудита
Выберем Principal - это объект, действия которого нужно логировать
Добавим группу Domain Users
Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions
Отметим галочкой оба пункта Delete и нажмём ОК
Создайм в папке all_share папку folder-for-delete для тестирования генерации событий
На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share
Проверим журнал безопасности dc1 и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра
Инфраструктура отправки журналов Windows в SIEM
Включим сервис сборщика логов и подтвердим его автостарт
Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery
Найдём пункт включения службы WinRM.Включим службу
Найдём пункт настройки менеджера подписок.Активируем его
Применим фильтр безопасности, чтобы политика применилась только к pc1
Найдём меню создания правил брандмауэра и создадим новое правило inbound
Правило создано
Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1
Настроим доступ УЗ до журнала security
Активируем политику и введём параметр channelAccess
И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы
Локальная группа -- читатели журнала событий
Применим на домен
Создадим новую подписку
Назовём её collector-get. Выберем PC1.
Нажмём кнопку Test чтобы проверить сетевую связность
Зайдём в меню select events и выберем нужные журналы
Зайдём в меню Advanced, укажем для сбора УЗ администратора
Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status
Увидим отсутствие ошибок
Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1
Настройка сборщика логов при компьютерах-инициаторах
На сервере-коллекторе выполнить команду winrm qc
Занятие 5. Обмен данными в домене и средства мониторинга Windows
№5.1 Обмен данными в домене.
1.Настройка инстанса обмена данными.
Установим роль DFS на dc1 DFS Namespases и DFS Replication
По аналогии делаем на dc2Занятие 5. Обмен данными в домене и средства мониторинга Windows
№5.1 Обмен данными в домене.
1.Настройка инстанса обмена данными.
Установим роль DFS на dc1 DFS Namespases и DFS Replication
По аналогии делаем на dc2
Зайдём в управление DFS
Создадим новый namespace
Назмачим dc1 сервером имён для DFS
Создадим имя создаваемого пространства и перейдём в edit settings
Назначаем кастомные права, указав возможность чтения и записи для всех пользователей
Создадим пространство имён
Проверка созданного пути
Создадим папку share
Создадим внутри папуи по отделам и папку all_share
Каждую папку отдела делаем сетевой. На примере папки Buhg показана демонстрация.
Выбираем вкладку sharing, а затем пунк advanced sharing.
Выбираем пункт advanced sharing и активируем доступ.Вконце имени сетевой папки ставим знак $.
Далее идём в пунк permissions для выставление прав доступа.
Отобразиться относительный dc1 путь до папки по сети
Аналогичные действия делаем для остальных папок
Cоздадим папки в DFS. В меню DFS нажмём кнопку "new folder"
Указываем имя папки Buhg
Укажем ярлык до конкретной папки
По сетевому пути проверяем видимость сетевых папок
Изменим права security у папки Buhg
Аналогично проделываем для других папок
№5.2 Средства мониторинга Windows.
Управление средствами мониторинга Windows
Зайдём в настройки папки share
Переходим Security -> Advanced ->Auditing ->Add. добавим правило аудита
Выберем Principal - это объект, действия которого нужно логировать
Добавим группу Domain Users
Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions
Отметим галочкой оба пункта Delete и нажмём ОК
Создайм в папке all_share папку folder-for-delete для тестирования генерации событий
На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share
Проверим журнал безопасности dc1 и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра
Инфраструктура отправки журналов Windows в SIEM
Включим сервис сборщика логов и подтвердим его автостарт
Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery
Найдём пункт включения службы WinRM.Включим службу
Найдём пункт настройки менеджера подписок.Активируем его
Применим фильтр безопасности, чтобы политика применилась только к pc1
Найдём меню создания правил брандмауэра и создадим новое правило inbound
Правило создано
Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1
Настроим доступ УЗ до журнала security
Активируем политику и введём параметр channelAccess
И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы
Локальная группа -- читатели журнала событий
Применим на домен
Создадим новую подписку
Назовём её collector-get. Выберем PC1.
Нажмём кнопку Test чтобы проверить сетевую связность
Зайдём в меню select events и выберем нужные журналы
Зайдём в меню Advanced, укажем для сбора УЗ администратора
Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status
Увидим отсутствие ошибок
Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1
Настройка сборщика логов при компьютерах-инициаторах
На сервере-коллекторе выполнить команду winrm qc
На сервере-коллекторе выполняем команду wecutil qc
Включение службы WinRM
Создаем подписку
Sign in with Wallet
Connect another wallet