# **Практическая работа №5**
---
# Занятие 5 - *Обмен данными в домене и средства мониторинга Windows*
# Задание:
1) Настроить инстанс обмена данными
## Часть 1. Настройка инстанса обмена данными.
#### 1.1 Для начала установим роль DFS на dc1.Отметим роли DFS Namespases и DFS Replication
#### 1.2 Установим роль DFS на dc2.Отметим роли DFS Namespases и DFS Replication
#### 1.3 Зайдём в управление DFS и создадим новый Namespace
#### 1.4 Укажем имя создаваемого пространства и перейдём в edit settings
#### 1.5 Настроим кастомные права, указав возможность чтения и записи для всех пользователей
#### 1.6 Создадим пространство имён
#### 1.7 Успешно!
#### 1.8 Проверяем создание инстанса
#### 1.9 Создаём на диске C папку share
#### 1.10 Внутри папки share создаём папки отделов + all_share
#### 1.11 Делаем папку Bugh сетевой
Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем
здесь мы можем увидеть относительный путь к папке
#### 1.12 Делаем папку HR сетевой
Выставляем права на чтение и запись для HR-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем
здесь мы можем увидеть относительный путь к папке
#### 1.13 Делаем папку Progr сетевой
Выставляем права на чтение и запись для Progr-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем
здесь мы можем увидеть относительный путь к папке
#### 1.14 Делаем папку Sysadmins сетевой
Выставляем права на чтение и запись для Sysadmins-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем
здесь мы можем увидеть относительный путь к папке
#### 1.15 Делаем папку VIP сетевой
Выставляем права на чтение и запись для VIP-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем
здесь мы можем увидеть относительный путь к папке
#### 1.16 Делаем папку VIP сетевой
#### 1.17 Теперь создадим папки в DFS
папка Buhg
папка Progr
папка Hr
папка Sysadmins
папка VIP
папка all_share
#### 1.17 Проверяем на Win10 под учёткой Petr
войти мы можем только в папку Sysadmins, т.к залогинились под учёткой Petr
#### 1.19 Изменим права security у папок
Папка Buhg
Папка HR
Папка Progr
Папка Syadmins
Папка VIP
Папка all_share
## Часть 2. Дополнительное самостоятельное задание
#### 2.1 Создаём папку share
#### 2.2 В папке share создаём папки, аналогичные на dc1 и настроим аналогичные параметры
#### 2.3 На dc1 dfs создаём резервирование с указанием сетевого пути до аналогичной папки dc2
Я покажу на примере папки Progr
1. Нажимаем пкм по папке и выбираем пункт Replicate Folder
2. Указываем сетевой путь до папки, которая находится на dc2
3. Жмём NEXT
4. В Primary number выбираем DC1
5. Ошибок нет
##### **На папки Buhg и Progr настроена репликация**
# Задание:
1) Настроить файловый ресурс с целью журналирования событий удаления объектов
2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами
3) Настроить сборщик журналов
## Часть 3. Управление средствами мониторинга Windows
#### 3.1 Настраиваем папку share для логирования удаления
#### 3.2 Правило создано для папки share, а так же всех её вложенных папок и файлов
#### 3.3 Создаём в папке /share/all_share файл, который мы будем удалять
#### 3.4 Заходим на Win10 под учёткой Ольги и удаляем папку
#### 3.5 На dc1 откроем журнал просмотра логов
#### 3.6 Отсортируем и увидим, что присутствут логи удаления файла
## Часть 4. Инфраструктура отправки журналов Windows в SIEM
#### Включаем сервис сборщика логов
#### В редакторе групповой политики создаём log-delivery
#### Находим пункт включения службы WinRM
#### Включаем службу
#### Находим пункт настройки менеджера подписок
#### Активируем его
#### Настраиваем путь до логколлектора
#### Изменяем типы объектов для поиска
#### Добавляем PC1
#### Добавляем новое правило для WinRM 
#### Создаём это правило только для доменной и частной сети
#### Разрешаем подключение
#### Правило добавлено
#### Находим дискриптор безопасности журнала на PC1
#### Настроим доступ УЗ до журнала security
#### Активируем политику и введём параметр channelAccess
#### И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы
#### Применяем на домен
#### Настроим приём логов на коллекторе.
#### Проверяем тест
#### Зайдём в меню select events и выберем нужные журналы
#### Зайдём в меню Advanced, укажем для сбора УЗ администратора
#### Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status
#### Дадим доступ сетевой службе до чтения журнала безопасности
#### Появились логи
## Часть 5. Настройка сборщика логов при компьютерах-инициаторах
#### 5.1 На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников)
#### 5.2 На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows.
#### 5.3 На источниках событий следует включить службу WinRM (реализовано политикой в пункте 3.4)
#### 5.4 Создать подписку, где инициатором будут компьютеры
Sign in with Wallet
Connect another wallet