# Практическая работа №5. Средства мониторинга Windows # # Часть 1. Настройка инстанса обмена данными # ## 1.1 Для начала установим роль DFS на dc1. Перейдём в установку ролей и компонентов ## Отметим роли DFS Namespases и DFS Replication  ## 1.2 Установим роли ##  Выполните аналогичную установку на dc2. ## 1.3 Зайдём в управление DFS ##  ## 1.4 Создадим новый namespace ##  ## 1.5 Укажем сервер, являющийся сервером имён для DFS. Это будет наш dc1 ##   ## 1.6 Укажем имя создаваемого пространства и перейдём в edit settings ##  ## 1.7 Настроим кастомные права, указав возможность чтения и записи для всех пользователей ##     ## 1.8 Оставим настройки по умолчанию (domain namespase) ##  ## 1.9 Создадим пространство имён ##  ## 1.10 Успех ##  ## 1.11 Выполним проверку ##  ## 1.12 Создадим папку share ##  ## 1.13 Создадим папки отделов и папку all_share внутри share ##  ## 1.14 Каждую эту папку нужно сделать сетевой ##       ## 1.15 Теперь создадим папки в DFS. В меню DFS нажмём кнопку "new folder" ## Укажем имя папки. Именно с этим именем она отобразится в dfs пути.  ## 1.16 Добавим target ## Можно либо сразу указать сетевой путь до папки, либо воспользоваться browse.  ## 1.17 Сетевой путь до папки отобразится, можно подтверждать и применять настройк ##  ## 1.18 Повторим шаги 1.15-17 для каждой сетевой папки в share ##  ## 1.19 Теперь по сетевому пути видны сетевые папки ##  ## 1.20 Изменим права security у папки Buhg. Нажмём кнопку Edit ##  ## 1.21 Нажмём кнопку Add, чтобы добавить группу Buhg-sec ##   ## 1.22 Повторим шаги 1.20-21 ко всем сетевым папкам ##      ## 1.23 На хосте win 10 rpo появились сетевые папки ##  Знак $ не скрывает папки для пользователей других групп. Решение данной пролемы не нашлось. Права доступа работают.  # Дополнительное задание # ## 1.24 На хосте dc2 создадим аналогичные папки и сделаем их сетевыми ##       ## 1.25 Для каджой папки dfs создадим репликационную групу ##        ## 1.26 Завершение репликации ##      # Часть 2. Управление средствами мониторинга Windows # ## 2.1 Зайдём в настройки папки share Security -> Advanced -> Audit ##  ## 2.2 Нажмём add. Выберем Principal -- это объект, действия которого нужно логировать ##  ## 2.3 Отметим группу Domain Users ##  ## 2.4 Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions ##  ## 2.5 Отметим галочкой оба пункта Delete и нажмём ОК ##  ## 2.6 Правило создано для папки share, а так же всех её вложенных папок и файлов ##  ## 2.7 Создайте в папке all_share папку folder-for-delete для тестирования генерации событий ##  ## 2.8 На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share. ##   ## 2.9 Проверим журнал безопасности dc1 ## ### 2.9.1 Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра ###  ### 2.9.2 первое событие в цепочке произошло когда пользователь Olga открыла папку all_ahare ###  ### 2.9.3 Затем произошло событие чтение содержимого папке ###  ### 2.9.4 Далее пользователь выполнил попытку удаления папки folder-for-delete. Сначала произошла проверка прав ###  ### 2.9.5 После уже был подан запрос на удаление папки ###  ### 2.9.6 При удалении объекта было сгенерировано событие 4660 ###  # Часть 3. Инфраструктура отправки журналов Windows в SIEM # ## 3.1 Включим сервис сборщика логов и подтвердим его автостарт ##  ## 3.2 Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery ##  ## 3.3 Найдём пункт включения службы WinRM ##  ## 3.4 Включим службу ##  ## 3.5 Найдём пункт настройки менеджера подписок ##  ## 3.6 Активируем его ##  ## 3.7 Настроим путь до логколлектора ##  ## 3.8 Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1 ##  ## 3.9 Найдём меню создания правил брандмауэра и создадим новое правило inbound ##  ## 3.10 Выберем преднастроенное правило для WinRM ##  ## 3.11 Создадим это правило только для доменной и частной сети (снимем галочку с public) ##  ## 3.12 Разрешим подключени ##  ## 3.13 Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1 ##  channelAccess = O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) ## 3.14 Настроим доступ УЗ до журнала security ##  ## 3.15 Активируем политику ## Введём параметр channelAccess (A;;0x1;;;S-1-5-20).  ## 3.16 И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы ### 3.16.1 Создадим пользователя для просмотра журнала событий ###  ### 3.16.2 Локальная группа -- читатели журнала событий ###  ### 3.16.3 Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий ###  ### 3.16.4 Сохраняем ###  ### 3.16.5 В конфигурации политики можно увидеть настроенные опции ###    ### 3.16.6 Применяем данную политики на домен ###   ## 3.17 Зайдём на хост win 10 обновим политики командой Gpupdate и введём команду gpresult /R ##   ## 3.18 Настроим приём логов на коллекторе. Создадим новую подписку ##  ## 3.19 Выберем доменные компьютеры ##  ## 3.20 Тестирование прошло успешно ##  ## 3.21 Зайдём в меню select events и выберем нужные журналы ##   ## 3.22 Зайдём в меню Advanced, укажем для сбора УЗ администратора ##  ## 3.23 Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню ##  ## 3.24 Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 ##  ## 3.25 Спустия секунд 30 появились логи ##  # Часть 4. Настройка сборщика логов при компьютерах-инициаторах # ## 4.1 На сервере-коллекторе выполнить команду winrm qc ##  Была включена ранее. ## 4.2 На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows ##  ## 4.3 Создать подписку, где инициатором будут компьютер ##  ## 4.4 Выберем нужные журналы ##  ## 4.5 В списке не появляется pc1 ##