# **Windows_Basic-Яртыбаш_Дмитрий-Практика-5** # *Практическая работа №5.1 Обмен данными в домене.* **Часть 1. Настройка инстанса обмена данными.** * Установим роли DFS Namespaces и DFS Replication: ![](https://i.imgur.com/Dam4zhE.png) * Аналогично на dc2: ![](https://i.imgur.com/PGzK959.png) * Зайдем в управление DFS, создадим новое пространство имен и укажем dc1 в качестве сервера имен для DFS. Настроим кастомные права, указав возможность чтения и записи для всех пользователей: ![](https://i.imgur.com/fqvJoR5.png) * Успешное создание namespace: ![](https://i.imgur.com/F7afa2T.png) ![](https://i.imgur.com/lR5jf8H.png) * Убедимся в создании инстанса: ![](https://i.imgur.com/knVRsru.png) * Создадм папку share, внутри нее папки отделов и папку all_share: ![](https://i.imgur.com/3rpENkz.png) * Каждую папку через ее настройки сделаем сетевой. На примере buhg: ![](https://i.imgur.com/MtTkONg.png) * Выставляем права на чтение и запись для buhg-sec и domain admins, а группу everyone удаляем: ![](https://i.imgur.com/fuhRN4f.png) * Аналогично папке buhg, настраиваем права для остальных папок. Затем для папки all_share раздаем права на чтение и запись группе Everyone: ![](https://i.imgur.com/uPTu8Kv.png) * Создадим папки в DFS, укажем имя папки и добавим target. На примере Buhg: ![](https://i.imgur.com/hkVFr7j.png) * Теперь по сетевому пути отобразились папки: ![](https://i.imgur.com/QbZ7Cau.png) * Изменим security-права у сетевых папок. Добавим группе, к которой относится папка, права в т.ч. и на изменение. На примере папки Buhg: ![](https://i.imgur.com/X2IPMjo.png) --- # *Практическая работа №5.2 Средства мониторинга Windows.* **Часть 2. Управление средствами мониторинга Windows** * В настройках папки share добавим правило аудита: ![](https://i.imgur.com/5aV8Ky6.png) * Укажем, что нужно логировать действия пользователей группы Domain Users, настроим срабатывание и на успешные действия, и на отказ (type=all), в advanced permissions добавим срабатывание на удаление как самой папки, так и вложенных папок и файлов: ![](https://i.imgur.com/fPuYNLu.png) * Создадим в all_share тестовую папку и удалим ее: ![](https://i.imgur.com/32rNWfr.png) * Проверим журнал безопасности. Выставим фильтр на id событий, которые нас интересуют: ![](https://i.imgur.com/Cb2LQpg.png) * Видим набор событий, которые вместе подтверждают факт удаления папки folder-for-delete: ![](https://i.imgur.com/bonNk11.png) ![](https://i.imgur.com/jSfIMeY.png) ![](https://i.imgur.com/wNrQpTu.png) **Часть 3. Инфраструктура отправки журналов Windows в SIEM** * Через командную строку включим сервис сборщика логов и подтвердм автозапуск: ![](https://i.imgur.com/7OD37Ca.jpg) * Для отправки логов на logcollector создадим новую политику log_delivery. В ней включим службу WinRM: ![](https://i.imgur.com/ggmGIJ6.png) * Настроим менеджер подписок. Активируем его и пропишем путь до логколлектора: ![](https://i.imgur.com/7jXzwwE.png) * Настроим фильтр безопасности, чтобы новая политика применялась только к pc1: ![](https://i.imgur.com/Wd0m3hl.png) * Для того, чтобы брандмауэр windows не блокировал работу службы WinRM, добавим новое правило в политику и выберем преднастроенное. Установим его только для доменной и частной сети и разрешим подключение, после чего увидим успешно созданное правило: ![](https://i.imgur.com/uEO5qyc.png) ![](https://i.imgur.com/aoZcDKt.png) * На pc1 найдем дескриптор безопасности журнала: ![](https://i.imgur.com/bkHPk07.png) * Настроим доступ УЗ до журнала security: ![](https://i.imgur.com/Krcky82.png) * Активируем политику и введём параметр channelAccess из дескриптора безопасности журнала, а также доп.параметр для чтения журнала security службой network: ![](https://i.imgur.com/HVglh7U.png) * Добавим правило для локальной группы читателей журнала событий, в качестве пользователей указываем админов домена: ![](https://i.imgur.com/CjmGKh7.png) * Применяем правило на домен: ![](https://i.imgur.com/x3GFzBl.png) * Для настройки прием логов на коллекторе, подтвердим в event viewer в меню подписок автоматическое включение службы и создадим новую подписку collector-get, настроим сбор логов с компьютера pc1 и проверим сетевую связность по кнопке Test: ![](https://i.imgur.com/UkUwcpz.png) ![](https://i.imgur.com/wUIPRHj.jpg) * Несмотря на то, что правило для брандмауэра было создано через GPO, проверяем через консоль на pc1 с помощью команды *winrm qc* и разрешаем исключение брандмауэра: ![](https://i.imgur.com/YC5Q9Nl.png) * Затем через меню Select events выберем нужные журналы: ![](https://i.imgur.com/OipLkgd.jpg) * Через меню Advanced укажем админскую учетную запись для сбора логов: ![](https://i.imgur.com/dKsq4fi.png) * Подтвердм настройки и в созданной подписке с помощью меню Runtime status увидим, что все выполнилось без ошибок: ![](https://i.imgur.com/gYZOoCr.png) * Через командную строку на pc1 дадим доступ сетевой службе до чтения журнала безопасности: ![](https://i.imgur.com/lFjkwgB.png) * Убедимся, что логи появились в журнале Forwarded events: ![](https://i.imgur.com/6qeqIns.png) **Часть 4. Настройка сборщика логов при компьютерах-инициаторах** * На сервере-коллекторе введем команду *winrm qc* и увидим, что на сервере служба уже запущена: ![](https://i.imgur.com/qhEGyl2.png) * Включим службу сборщка событий Windows командой *wecutil qc* на сервере-коллекторе: ![](https://i.imgur.com/PWy3WRK.png) * Теперь (аналогично с пп. 3.26 и далее) с помощью меню подписок создадим подписку, где инициатором будут компьютеры: ![](https://i.imgur.com/ACbgohe.jpg) * Убедимся, что она также создалась без ошибок: ![](https://i.imgur.com/0rHYKrI.png) * После настройки сбора логов в режиме PUSH (source initiated) увидим появление нового лога. Отсутствие описания деталей лога связано с тем, что события рендерятся на удаленных компьютерах и не всегда корректно читаются на сервере-коллекторе. ![](https://i.imgur.com/eLUCzFB.jpg)