###### tags: `Windows Labs` # Отчёт по лабораторной работе №5 Выполнил: Запорожец Арсений ## Часть №1 - Обмен данными в домене Установим роль DFC на две машины - dc1 и dc2:   Далее перейдём во вкладку управление DFS и создадим новый namespace, в качестве названия укажем pt-dfs, настроим кастомные права, указав возможность чтения и записи для всех пользователей:  А затем создадим пространство имён. Зелёная галочка станет подтверждением успеха операции:  Убедиться в успешном создании инстанса мы также можем, проверив папку внутри домена:  Теперь приступим к создаданию обычные сетевых папок. Создадим локальную папку share:  А внутри неё ещё несколько для одноимённых групп пользователей:  Теперь сделаем все папки внутри share сетевыми:  Выдадим для группы Buhg-sec права записи и чтения, а для группы Domain-Administrators - полный доступ:   Выполняем аналогичные действия для остальных папок. После этого по эти папки станут доступны в сетевом пути до dc1. Мы можем их увидеть и даже зайти, если мы укажем верный путь до папки, чтобы узнать содержимое. Папки на pt.local мы не сможем увидеть свободно потому, что они расшарены с долларом, который скрывает их наличие от тех, кому эти папки видеть не положено:  Далее создадим папки в DFS:  Выполним предыдущее действие для всех папок:  Теперь изменим ситуацию с правами на уровне NRFS, ведь пользователе пока ещё не могут адекватно взаимодействовать с файлами внутри указанных папок:  Проделаем это же действие с остальными папками внутри раздела:      Если перейти по каталогу pt-dfs на другой машине, то мы можем увидеть все созданные папки:  ## Часть №2 - Управление средствами мониторинга Windows Добавим новое правило аудита для папки share:  Отметим группу Domain Users:  Применим настройки и создадим в all_share папку с названием "folder_for_delete". Удалим её от имени пользователя Olga с машины WinPro:  Теперь проверим журнал безопасности dc1. В поле фильтра интересующие нас id событий (4656, 4659, 4660, 4663) и найдём те события, что нам нужны:    ## Часть №3 - Инфраструктура отправки журналов Windows в SIEM Включим сервис сборщика логов и подтвердим его автостарт:  Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery:  Затем включим службу WinRM:  Найдём пункт настройки менеджера подписок, начнём его активацию. Настроим путь до логколлектора:  Сохраним изменения и закроем меню. Применим фильтр безопасности, чтобы политика применилась только к pc1:  Затем удалим группу аутентифированных пользователей, ведь она нам не пригодиться:  Для управления компьютерами в домене с помощью WinRM нужно, чтобы брандмауэр windows разрешал подобные подключения. Изменим политику сбора логов так, чтобы правило было прописано на pc1. Найдём меню создания правил брандмауэра и создадим новое правило inbound:  Выберем преднастроенное правило для WinRM, а затем создадим это правило только для доменной и частной сети (снимем галочку с public):  Разрешим подклюение:  Закончим и применим изменения:  Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1:  Настроим доступ УЗ до журнала security. Активируем политику и введём параметр channelAccess:  Отдельно добавим запись, которую позже будем использовать для чтения журнала:  Применим на домен:  Теперь настроим приём логов на коллекторе. Перейдём в event viewerи создадим там новую политику под названием collect-get со следующими настройками:    Вмоём случае также было необходимо активировать WinRM на pc1:  Подтвердим её создание. Зелёная галочка демонстрирует успешное создание:  Мы также можем проверить, нет ли каких-либо ошибок. Зайдём в меню "RunTime status":  Дадим доступ сетевой службе до чтения журналов безопасности:  После некоторого времени ожидания мы можем увидеть логи в журнале forwarded events:  ## Часть №4 - Настройка сборщика логов при компьютерах-инициаторах Выполним команды, необходимые для включения службы WinRM и прослушивания порта TCP:5985 для входящих соединений от источников и службы сборщика событий Windows. Т.к. я активировал их ранне, сообщения будут соответствующие:  Как уже было сказано ранее, в пункте 3.4 мы уже включили службу WinRM на источниках событий (то есть на VM WinPro):  Теперь создадим новую подписку. Дадим ей названием collector-post. Выберем на этот раз "Source Computer Initiated":  Теперь нажмём "Select Computer Groups" и "Add domain computers" и введём "Domain Computers". Таким образом мы сделаем инициаторами все компьютеры домена. Это позволит собирать логи со всех участников домена единовременно, а также при появлении новых машин, не нужно будет постоянно изменять подписку:  В "Select Events..." применим те же настройки, что и для collector-get:  И завершим создание:  Зайдём в "Runtime status". Увидим там активную машину pc1.pt.local. При добавлении новых машин мы можем увидеть их здесь: