Практическая работа №5. Обмен данными в домене и средства мониторинга Windows

Windows_Basic-Дюжев_Владимир-Практика-5 # Практическая работа №5. Обмен данными в домене и средства мониторинга Windows ## Часть 1. Настройка инстанса обмена данными Установил роли DFS для dc1 и dc2 Для DC1: ![](https://i.imgur.com/ZW378mt.png) Для DC2: ![](https://i.imgur.com/kBq822i.png) Настроил права ![](https://i.imgur.com/ehzZSps.png) ![](https://i.imgur.com/UVPWnZX.png) Настроил права для all_share ![](https://i.imgur.com/Xzik9GT.png) ![](https://i.imgur.com/LjdzNTK.png) Настроил права security для Buhg HR и all_share ![](https://i.imgur.com/ZKEwmGP.png) ![](https://i.imgur.com/ji2cBAG.png) ![](https://i.imgur.com/GgsDHUk.png) ![](https://i.imgur.com/Q5ILa9r.png) ![](https://i.imgur.com/RIS61TB.png) ![](https://i.imgur.com/tG0ejRV.png) В качестве проверки из под аккаунта пользователя зашел в папку Buhg ![](https://i.imgur.com/9FlPmi9.png) ## Часть 2. Управление средствами мониторинга Windows Добавил правило аудита, отметил группу Domain Users ![](https://i.imgur.com/Co3lKzH.png) ![](https://i.imgur.com/r4f9oeu.png) Удалил папку на win10 и отфильтровал логи ![](https://i.imgur.com/cipHmJR.png) Проверил удаление в логах ![](https://i.imgur.com/as5ot2w.png) ## Часть 3. Инфраструктура отправки журналов Windows в SIEM Включаем сервис сборщика логов ![](https://i.imgur.com/fnjuwNo.png) Настроил политику log delivery ![](https://i.imgur.com/e9zBYzB.png) P.S. группу аутентифицированных пользователей удалил Настроил winRM ![](https://i.imgur.com/tisaHWe.png) Задал конфиг Subscription manager ![](https://i.imgur.com/oEdlxKO.png) Прописал правила для фаервола ![](https://i.imgur.com/IahNmSJ.png) Настроил политики ![](https://i.imgur.com/rEBQbLy.png) Настроил параметры ChannelAccess и примененил политики ![](https://i.imgur.com/hgafCSj.png) ![](https://i.imgur.com/YH7BdZK.png) Проверил применение политики ![](https://i.imgur.com/UGsR6aQ.png) Добавил правила для локальной группы ![](https://i.imgur.com/GBVkW6I.png) Создал и проверил новую подписку ![](https://i.imgur.com/y2tHMFc.png) Зашел в seleсt events и выбрал необходимые журналы ![](https://i.imgur.com/JHF2EUA.png) ![](https://i.imgur.com/mj9W4FU.png) Ошибок нет ![](https://i.imgur.com/eXfdZ6c.png) Выдал доступ сетевой службе ![](https://i.imgur.com/MKBr76T.png) Проверил, что логи отображаются в журанле forwarded events ![](https://i.imgur.com/0TDgwuC.png) ## Часть 4. Настройка сборщика логов при компьютерах-инициаторах Выполнил команды “winrm qc” и “wecutil qc” на pc1 ![](https://i.imgur.com/QZF2lXb.png) Создал новую подписку collector-post на сервере dc1. Отправка событий будет инициироваться компьютером pc1. ![](https://i.imgur.com/DzHA4Le.png) Выберал те же события для журналирования, что и в предыдущем пункте ![](https://i.imgur.com/A78L7pK.png) Созданная подписка успешно добавлена ![](https://i.imgur.com/9glxqzE.png)