Windows_Basic-Криворученко_Савелий-Практика-5

# Windows_Basic-Криворученко_Савелий-Практика-5 <a name="headers"><h2>5.1 Обмен данными в домене</h2></a> #### Задачи: ##### Настроить инстанс обмена данными > Для начала установим роль DFS на dc1 ![](https://i.imgur.com/FQSeSoE.png) > Отметим роли DFS Namespases и DFS Replication ![](https://i.imgur.com/ibxSL1c.png) > Установим роли, произведем установку на резервный сервер ![](https://i.imgur.com/i39Fn26.png) ![](https://i.imgur.com/AR0RWtH.png) > Зайдём в управление DFS и создадим новый namespace ![](https://i.imgur.com/dDcQ7bl.png) > Укажем сервер, являющийся сервером имён для DFS. > ![](https://i.imgur.com/6NjFdYO.png) > Укажем имя создаваемого пространства и перейдём в edit settings и настроим кастомные права, указав возможность чтения и записи для всех пользователей > ![](https://i.imgur.com/zlkQNVa.png) ![](https://i.imgur.com/MxWXIIl.png) > Имя домена оставляем по умолчанию и переходим к созданию пространственных имен > ![](https://i.imgur.com/VzBS9Iu.png) > Проверка, что инстанс создан, пройдя по пути ![](https://i.imgur.com/L1AVipT.png) > DFS работает таким образом, что абстрагирует пользователя от прямого пути до папки. Для начала создадим обычные сетевые папки, а потом соотнесём их с DFS путями. > Создаем папку Share и папки отделов внутри > ![](https://i.imgur.com/dQ2KUyX.png) > ![](https://i.imgur.com/Uv3odQV.png) > Каждую эту папку нужно сделать сетевой > > ![](https://i.imgur.com/fkYJZXx.png) > Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем. > ![](https://i.imgur.com/Wex7ExJ.png) >![](https://i.imgur.com/Fviq3SZ.png) > путь до папки по сети относительно dc1 ![](https://i.imgur.com/h3fkxir.png) ``` Аналогичные действия для остальных папок, но выдавая права на группы безопасности отделов (папке HR -- группу HR-sec на чтение запись и т.п.). Для all_share выдать доступ на read write для группы everyone ``` --- _all_share_(properties -> sharing -> advanced sharing -> permissions for ...): ![](https://i.imgur.com/aq4b7gQ.png) ![](https://i.imgur.com/pQWDYzU.png) ![](https://i.imgur.com/cDurA7M.png) --- *HR*(properties -> sharing -> advanced sharing -> permissions for ... -> add name-sec and domain admins) : ![](https://i.imgur.com/2YCR2OW.png) ![](https://i.imgur.com/sPOP7bN.png) ![](https://i.imgur.com/m7MYUv0.png) ![](https://i.imgur.com/oCKYSaq.png) --- *Progr* (properties -> sharing -> advanced sharing -> permissions for ... -> add name-sec and domain admins) : ![](https://i.imgur.com/Zj1wm0E.png) ![](https://i.imgur.com/petWoTN.png) ![](https://i.imgur.com/aHjiRx4.png) ![](https://i.imgur.com/lKmSw2I.png) --- *Sysadmins* (properties -> sharing -> advanced sharing -> permissions for ... -> add name-sec and domain admins): ![](https://i.imgur.com/mbLvku1.png) ![](https://i.imgur.com/7mO8Ysv.png) ![](https://i.imgur.com/9NPiHFK.png) ![](https://i.imgur.com/JTiOpzV.png) --- *VIP* (properties -> sharing -> advanced sharing -> permissions for ... -> add name-sec and domain admins): ![](https://i.imgur.com/ok69qYC.png) ![](https://i.imgur.com/5w32KAN.png) ![](https://i.imgur.com/4XzNBGS.png) --- #### создадим папки в DFS. > Создадим сетевой путь до папки ![](https://i.imgur.com/mjQYTSf.png) > Проверим ![](https://i.imgur.com/GHorBu4.png) > Проделаем так со всеми папками: > ![](https://i.imgur.com/MWjnMyC.png) ![](https://i.imgur.com/PR9gKDl.png) ![](https://i.imgur.com/HSukDaN.png) ``` Отлично, они отобразились ლ(ಠ‿ಠლ) ``` #### Изменение прав. > Изменим права security у папки Buhg. (Bugh -> Properties -> security -> edit -> add) > > ![](https://i.imgur.com/iPKoOi9.png) > ![](https://i.imgur.com/lDMO2qg.png) > Меняем права у остальных папок | ![](https://i.imgur.com/fvu33eD.png) | | ------------------------------------- | | ![](https://i.imgur.com/faVzIqA.png) | | ------------------------------------- | | ![](https://i.imgur.com/btZn7Jj.png) | | ------------------------------------- | | ![](https://i.imgur.com/jOEY6MQ.png) | | ------------------------------------- | | ![](https://i.imgur.com/phHjuIv.png) | #### ДОП ЗАДАНИЕ >настроить репликацию DFS на dc2. >![](https://i.imgur.com/MsaeAqe.png) ![](https://i.imgur.com/R4cw1JR.png) *для закрепления материала, настроил репликацию на обоих машинах* --- <a name="headers"><h2>5.2 Обмен данными в домене и средства мониторинга Windows</h2></a> #### Задачи: * ##### Настроить файловый ресурс с целью журналирования событий удаления объектов * ##### Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами * ##### Настроить сборщик журналов --- ## 1. Управление средствами мониторинга Windows > настройкой логирования удаления файлов с сетевых файловых ресурсов на dc1(share -> Security -> Advanced -> auditing -> add) > ![](https://i.imgur.com/NDQ2vda.png) > настроим правило вручную > ![](https://i.imgur.com/RvaItNE.png) > Создадим правило > ![](https://i.imgur.com/LiIza1m.png) > Правило создано для папки share, а так же всех её вложенных папок и файлов > ![](https://i.imgur.com/24Qn4s0.png) **Проверим работоспособность** > Для этого создадим папку ![](https://i.imgur.com/9ZQfRWh.png) > Зайдем на win 10 под Ольгой и удалим папку > ![](https://i.imgur.com/UGf5Qhq.png) > Найдем событие в журнале событий, Применим фильтр по ID, потому что совершаемых действий много > ![](https://i.imgur.com/OFGQZBQ.png) ![](https://i.imgur.com/xhHFLep.png) --- > Из всех событий, нас интересуют только 3 > 1. > ![](https://i.imgur.com/QN87Fu5.png) 4656 - запрос дескриптора объекта. Это проверка прав доступа к файлу. Это событие показывает, что доступ был запрошен и результаты запроса, но не показывает, что операция была выполнена. --- > 2. > ![](https://i.imgur.com/ygosIzG.png) 4663 -- это событие указывает на то, что над объектом была выполнена определенная операция. Основное отличие от 4656 является то, что 4663 показывает, что право доступа было использовано вместо только что запрошенного, и 4663 не имеет событий отказа. --- 3. >![](https://i.imgur.com/iW7PzCV.png) 4660 -- это событие генерируется при удалении объекта. Оно не содержит имени удаляемого объекта, а только handle id. --- ## 2. Инфраструктура отправки журналов Windows в SIEM >Включим сервис сборщика логов и подтвердим его автостарт >![](https://i.imgur.com/b39jmmN.png) >Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery >![](https://i.imgur.com/OPhhBPB.png) >Найдём пункт включения службы WinRM и включим ее: >![](https://i.imgur.com/9bQpmjZ.png) > Найдём пункт настройки менеджера подписок и активируем его, настроив путь до логколлектора > ![](https://i.imgur.com/y7R0zVY.png) > Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1. > Выберем объект для поиска pc1 > ![](https://i.imgur.com/Wxj7Het.png) >Удалим группу аутентифицированных пользователей >![](https://i.imgur.com/SChTC0R.png) ####Изменим политику сбора логов так, чтобы правило было прописано на pc1. >Найдём меню создания правил брандмауэра и создадим новое правило inbound >![](https://i.imgur.com/F0ARLAo.png) ![](https://i.imgur.com/BmoKQNL.png) ![](https://i.imgur.com/PsXQc5u.png) Для частной сети ![](https://i.imgur.com/OmWKrhQ.png) | После применения порт на PC1 откроется и позволит выполнять команды, которые собирают логи с машин.| | -------- | >![](https://i.imgur.com/1paCnDr.png) >Настроим доступ УЗ до журнала security >![](https://i.imgur.com/0kMHGGW.png) >Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/R6vMwau.png) >И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы >![](https://i.imgur.com/7cZQGGi.png) >Локальная группа -- читатели журнала событий >Пользователи -- администраторы домена > >![](https://i.imgur.com/r6iYCwT.png) > ![](https://i.imgur.com/GwdJsPx.png) *Применим и сохраняем* >Применим на домен ![](https://i.imgur.com/aEAUAFc.png) ![](https://i.imgur.com/ZG32h9G.png) >Настроим приём логов на коллекторе. >Создадим новую подписку (Назовём её collector-get -> доменные компьютеры ->PC1) > >![](https://i.imgur.com/4O8zNW1.png) >Проверим сетевую связность ![](https://i.imgur.com/TJZcj8x.png) > в меню select events и выберем нужные журналы ![](https://i.imgur.com/yqtuCVf.png) > Зайдём в меню Advanced, укажем для сбора УЗ администратора > ![](https://i.imgur.com/0fvWnv4.png) > Подтвердим настройки, увидим созданую подписку. > ![](https://i.imgur.com/gIuJfOC.png) > При проверке выдало ошибку, пришлось изменить имя пользователя ![](https://i.imgur.com/gYa7T6k.png) > Дадим доступ сетевой службе до чтения журнала безопасности, выполнив команду на pc1 > | wevtutil set-log security /ca: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20) | | -------- | ![](https://i.imgur.com/pM87rSB.png) >Наконец-то пришли логи в журнал ![](https://i.imgur.com/nmVvctI.png) --- ## 3. Настройка сборщика логов при компьютерах-инициаторах >На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников) >![](https://i.imgur.com/9YEvijP.png) --- >На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows. >![](https://i.imgur.com/xzTH6hH.png) --- >На источниках событий следует включить службу WinRM (реализовано политикой в пункте 3.4) > >![](https://i.imgur.com/TAOcsoa.png) >![](https://i.imgur.com/jxpCEZn.png) >Создать подписку, где инициатором будут компьютеры > >![](https://i.imgur.com/R7GfBa7.png) > >![](https://i.imgur.com/GnIynwW.png) > >![](https://i.imgur.com/Pc87fMU.png) > >![](https://i.imgur.com/JHp7dfS.png) > >Логи в журнале событий >![](https://i.imgur.com/Ni6YKK3.png)