# Windows_Basic-Фадеев_Александр-Практика-5 ## Практическая работа №5.1 Обмен данными в домене. ### Часть 1. Настройка инстанса обмена данными. Установим роль DFS на dc1. Перейдём в установку ролей и компонентов Отметим роли DFS Namespases и DFS Replication ![](https://i.imgur.com/r92o5GL.png) Аналогично на dc2 ![](https://i.imgur.com/1CVLLli.png) --- Зайдём в управление DFS Создадим новый namespace Укажем сервер, являющийся сервером имён для DFS. Это будет наш dc1 Укажем имя создаваемого пространства и перейдём в edit settings Укажем имя создаваемого пространства и перейдём в edit settings ![](https://i.imgur.com/8w6CQUc.png) Оставим настройки по умолчанию (domain namespase) Создадим пространство имён ![](https://i.imgur.com/tbBVbWJ.png) Можно проверить, что инстанс создан, пройдя по пути ![](https://i.imgur.com/cXnIzUh.png) Создадим папку share И папки отделов внутри, + папку all_share Каждую эту папку нужно сделать сетевой. Идём в настройки папки Вкладка sharing, пунк advanced sharing ![](https://i.imgur.com/XsTGbTB.png) Активируем галочку шаринга, а вконце имени сетевой папки ставим знак. После идём в permissions Знак доллара нужен, чтобы скрыть папку от посторонних Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем. ![](https://i.imgur.com/wUDCACv.png) ![](https://i.imgur.com/M8K3RTb.png) Аналогичные действия нужно сделать для остальных папок, но выдавая права на группы безопасности отделов (папке HR -- группу HR-sec на чтение запись и т.п.). Для all_share выдать доступ на read write для группы everyone ![](https://i.imgur.com/NxSl6M8.png) ![](https://i.imgur.com/XrzwYSs.png) ![](https://i.imgur.com/ouUWBuk.png) ![](https://i.imgur.com/e8W2Kjy.png) ![](https://i.imgur.com/RTOVC2V.png) ![](https://i.imgur.com/qamO5hr.png) создадим папки в DFS. В меню DFS нажмём кнопку "new folder" Укажем имя папки (именно с этим именем она отобразится в dfs-пути) Добавим target. Имеется ввиду то, что мы по сути создаем всего лишь ярлык, который будет ссылаться на папку, которую мы укажем в target Увидим список всех расшаренных папок на dc1. Выберем нужную Сетевой путь до папки отобразится, можно подтверждать и применять настройки Теперь по сетевому пути видны сетевые папки ![](https://i.imgur.com/TMWoqfl.png) Изменим права security у папки Buhg. Нажмём кнопку Edit Нажмём кнопку Add, чтобы добавить группу Buhg-sec Дадим права в том числе и на midify ![](https://i.imgur.com/EUQDDLD.png) Для папки all_share выставить в параметрах доступ для группы everyone (аналогично, в т.ч. и на modify) ![](https://i.imgur.com/cH57cqA.png) ## Практическая работа №5.2 Обмен данными в домене. ### Управление средствами мониторинга Windows Зайдём в настройки папки share Security -> Advanced Зайдём во вкладку Аудит и нажмём Add, чтобы добавить правило аудита Выберем Principal -- это объект, действия которого нужно логировать Отметим группу Domain Users Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions ![](https://i.imgur.com/EqzErQZ.png) Правило создано для папки share, а так же всех её вложенных папок и файлов Создадим в папке all_share папку folder-for-delete для тестирования генерации событий На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share Проверим журнал безопасности dc1 Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра ![](https://i.imgur.com/zLjCkiG.png) увидим много подряд идущих событий, из которых 3 явно нас интересуют ![](https://i.imgur.com/63uRAcg.png) ![](https://i.imgur.com/EsUqAHe.png) ![](https://i.imgur.com/opJ4TY2.png) События можно связать по handle id -- если у нескольких событий он одинаков, то это значит, что события относятся к одному объекту ### Инфраструктура отправки журналов Windows в SIEM Включим сервис сборщика логов и подтвердим его автостарт ` wecutil qc ` ![](https://i.imgur.com/nI8huBo.png) Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery Найдём пункт включения службы WinRM ![](https://i.imgur.com/9zsFcP3.png) `Путь до настройки: Computer Configuration/Policies/Windows Setting/Security Setting/System Services` Найдём пункт настройки менеджера подписок `Путь до настройки: Computer Configuration/Policies/Administrative Templates:…/Windows Components/Event Forwarding` Активируем его Настроим путь до логколлектора `Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=60` ![](https://i.imgur.com/QsbzonY.png) >`Для примера использовалось FQDN dc1. Если ввести ip адрес -- не будет работать инициализация со стороны клиента` Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1. После -- удалим группу аутентифицированных пользователей ![](https://i.imgur.com/L5C4HMY.png) Найдём меню создания правил брандмауэра и создадим новое правило inbound ` Путь до настройки: Computer Configuration/Policies/Windows Setting/Security Setting/Windows Firewall …/Windows Firewall …/Inbound rules ` Выберем преднастроенное правило для WinRM Создадим это правило только для доменной и частной сети (снимем галочку с public) Разрешим подключение ![](https://i.imgur.com/DpnUlqf.png) После применения порт на PC1 откроется и позволит выполнять WinRM команды, с помощью которых собираются логи с windows машин. Теперь нужно донастроить политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор. Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1 ![](https://i.imgur.com/PJ9tIV2.png) ` Команда: wevtutil gl security ` Настроим доступ УЗ до журнала security `Путь до настройки: Computer Configuration/Policies/Administrative Templates:…/Windows Components/Event Log Service/Security` Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/gGrLPsJ.png) И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы ` Путь до настройки: Computer Configuration/Preferences/Control Panel Setting/Local User and Groups ` ![](https://i.imgur.com/3D7TrQ1.png) Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий Применим на домен ![](https://i.imgur.com/mffmRBO.png) обновим политику на pc1 ![](https://i.imgur.com/4cM3KeL.png) Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок и подтвердим автоматическое включение службы Создадим новую подписку Выберем доменные компьютеры Нажмём кнопку Test чтобы проверить сетевую связность ![](https://i.imgur.com/VqrnS1n.png) Зайдём в меню select events и выберем нужные журналы ![](https://i.imgur.com/atduYUA.png) Зайдём в меню Advanced, укажем для сбора УЗ администратора ` PT/admpetr ` Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status ![](https://i.imgur.com/MlmMqq9.png) Увидим отсутствие ошибок Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 ` Команда: wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20) ` ![](https://i.imgur.com/zGyB6go.png) После чего увидим логи в журнале forwarded events ![](https://i.imgur.com/ZyoEyyR.png) ### Настройка сборщика логов при компьютерах-инициаторах - На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников) - На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows. ![](https://i.imgur.com/TOWjijl.png) - На источниках событий следует включить службу WinRM ![](https://i.imgur.com/FK5GjoI.png) - Создать подписку, где инициатором будут компьютеры ![](https://i.imgur.com/V9N4CDH.png)