Практическая работа № 5

# Практическая работа № 5 ###### tags: `pt` `windows` ## 1) Обмен данными через *DFS* #### Установка *DFS* на *dc1* ![](https://i.imgur.com/TdDtLY3.png) #### Создание пространства имен на *dc1* ![](https://i.imgur.com/gJzBrEt.png) #### Создание сетевых папок ![](https://i.imgur.com/QiIr8Xb.png) #### Настройка сетевых папок на примере *Buhg* ##### Настройка расширенного обмена: изменение прав для *buhg-sec* и *domain admins* ![](https://i.imgur.com/KLgbiW4.png) ![](https://i.imgur.com/u2ex3s6.png) ##### Сокрытие сетевой папки с помощью добавления символа `$` ![](https://i.imgur.com/9VnybXx.png) ##### Создание в *DFS* папки-ярлыка с указанием пути до папки-оригинала ![](https://i.imgur.com/xwjaxUn.png) ##### Изменение прав пользователей на уровне *NTFS* ![](https://i.imgur.com/sZDvOMr.png) #### Установка *DFS* на *dc2* ![](https://i.imgur.com/TDK3SAD.png) #### Добавление пространства имен с *dc1* ![](https://i.imgur.com/6ziW8Gk.png) #### Создание аналогичных сетевых папок с идентичными правами ![](https://i.imgur.com/4to2Gc4.png) #### Запуск репликации папок *dc1* на соответствующие сетевые папки *dc2* ![](https://i.imgur.com/thb0mYj.png) ![](https://i.imgur.com/meRB3vY.png) ## 2) Средства мониторинга ### 1. Настройка сетевых ресурсов с целью журналирования #### Настройка аудирования сетевой папки *share* ![](https://i.imgur.com/Do9q74h.png) ![](https://i.imgur.com/cyRksOC.png) #### Дополнительная настройка внутренней папки *all_share*, т.к. предыдущая политика не распространилась на *subfolders/files* ![](https://i.imgur.com/29oH4Xv.png) #### Создание папки на сервере для проверки логирования информации о действиях с сетевыми папками ![](https://i.imgur.com/W6Zkeao.png) #### Удаление сетевой папки *for_delete* пользователем *Olga* с *pc1* ![](https://i.imgur.com/6UM9vFc.png) #### Проверка событий в журнале *Security*, используя фильтр на id = 4656, 4660, 4663 *event 4656* - был запрошен доступ к файлу (его атребутам, синхронизации и удалению) ![](https://i.imgur.com/9fgwm49.png) *event 4663* - была выполнена операция удаления и право доступа использовалось, а не просто запрашивалось ![](https://i.imgur.com/TeC9qmt.png) *event 4660* - объект был удален ![](https://i.imgur.com/JnlGqaH.png) | все события связаны по *handle ID* ### 2. Настройка централизованного сбора журналов посредством политики *log_delivery* #### Создание политики *log_delivery*, с помощью которой *dc1* будет собирать логи ![](https://i.imgur.com/ZNOQ4me.png) #### Инициализация сервиса по сбору событий и настройка его автозапуска ![](https://i.imgur.com/tY9c64O.png) #### Включение службы *WinRM* ![](https://i.imgur.com/EABL8Xf.png) #### Настройка менеджера подписок: активация и добавление сборщика логов с параметром обновления ![](https://i.imgur.com/EPeiXGu.png) ![](https://i.imgur.com/wLF0t1g.png) #### Создание фильтра для политики *log_delivery*: изменение области распространения с *authenthicated users* на *pc1* ![](https://i.imgur.com/sh4zckz.png) #### Настройка *FW*: добавление правила на пропуск трафика логов по 5985 порту ![](https://i.imgur.com/c3Jh0Wq.png) #### Получение дескриптора безопасности ![](https://i.imgur.com/HC4tpj9.png) #### Включение политики для чтения журналов *security* службой *network* ![](https://i.imgur.com/xXSRgS6.png) #### Создание учетной записи для чтения журналов: в группу **читатели журнала событий** добавляем членов группы **Domain Admins** ![](https://i.imgur.com/fgpiP6I.png) #### Применяем политику на домен ![](https://i.imgur.com/iJ3KRFe.png) #### Создание подписки *collector-get*, которая будет инициализировать запросы на отправку логов ![](https://i.imgur.com/sCItOyI.png) ![](https://i.imgur.com/YbGRgrk.png) ![](https://i.imgur.com/PoUdmdC.png) ![](https://i.imgur.com/c2jkB8R.png) #### Выдача доступа сетевой службы до чтения журнала безопасности ![](https://i.imgur.com/7K3TeTi.png) #### Проверка наличия логов с *pc1* ![](https://i.imgur.com/7G790qD.png) #### Настройка архивации старых логов ![](https://i.imgur.com/OdeOqRf.png) ### 3. Настройка сбора логов при инициализации на компьютерах пользователей #### Проверка работы сервиса *WinRM* и сборщика логов событий ![](https://i.imgur.com/49YEsIt.png) #### Включение службы *WinRM* на источнике событий (*pc1*) ![](https://i.imgur.com/mC37ECw.png) #### Создание новой подписки *collector-put* (считывание логов инициализируется источниками событий) и выключение *collector-get* ![](https://i.imgur.com/doWTw5W.png) #### Проверка работоспособности новой подписки ![](https://i.imgur.com/OYT43dt.png)