# Занятие 5. Обмен данными в домене и средства мониторинга Windows
## Модуль: OS Windows & AD basic
#### Выполнил: Галлямов Айрат
_ _ _
## Практическая работа №5.1 Обмен данными в домене.
В данном задании мы настроили инстанс обмена данными.
1. Установили роль DFS на dc1. Добавили роли DFS Namespases и DFS Replication. Также выполнили аналогичную установку на dc2.
 _Рис.1 Добавление ролей для dc1_
 _Рис.2 Добавление роли DFS Namespases и DFS Replication для dc1_
 _Рис.3 Результат добавления роли DFS Namespases и DFS Replication для dc1_
 _Рис.4 Аналогичное добавление роли DFS Namespases и DFS Replication для dc2_
2. Зашли в управление DFS и создали новый namespace. В качестве сервера, являющимся сервером имён для DFS - dc1.
 _Рис.5 Заходим в управление DFS_
 _Рис.6 Создание нового namespace_
 _Рис.7 Процесс создания нового namespace. Настроили кастомные права, указав возможность чтения и записи для всех пользователей_
 _Рис.8 Завершение создания нового namespace_
 _Рис.9 Убеждаемся, что новый инстанс создан_
3. Создадили папку share и папки отделов внутри, + папку all_share. Каждую эту папку сделали сетевой. Пример показан на примере папки VIP. Активировали галочку шаринга, а в конце имени сетевой папки поставили знак $. Далее перешли в параметры permissions и выставили права на чтение и запись для VIP-sec и domain admins.
_Рис.10 Создали папку share_
_Рис.11 Создали необходимые папки внутри папки share_
_Рис.12 Делаем папку Sysadmins сетевой. Активировали галочку шаринга. Выставили права на чтение и запись для Sysadmins-sec и full-права для domain admins_
4. Аналогичные действия повторили для остальных папок, но выдали права на группы безопасности отделов (папке HR -- группу HR-sec на чтение запись и т.п.). Для all_share выдали доступ на read write для группы everyone.
5. После создания папок они отобразились в сетевом пути до dc1. Создадим папки в DFS, указали имя папки. Добавили в target путь до расшаренной папки.
 _Рис.13 Создание папки в DFS_
_Рис.14 Аналогичные действия для создания других папок в DFS_
6. По сетевому пути видны сетевые папки.
 _Рис.15 Сетевые папки, добавленные в DFS_
7. Изменили права security у папки Sysadmins, добавили группу Sysadmins-sec и дали права в том числе на modify. Повторили данные действия для всех папок.
 _Рис.16 Изменили права security у папки Sysadmins. Аналогичные действия проделали для всех папок. Для папки all_share выставили в параметрах доступ для группы everyone (аналогично, в т.ч. и на modify)_
## Практическая работа №5.2 Средства мониторинга Windows.
В данной работе мы выполнили следующее:
- настроили файловый ресурс с целью журналирования событий удаления объектов
- настроили отправку журналов с помощью инструментария windows в соответствии с методическими материалами
- настроили сборщик журналов
1. Зашли в настройки папки share. Во вкладке аудит добавили правило аудита. Ранее мы настроили политику, позволяющую логировать операции с файлами. Но по умолчанию все папки и файлы не будут подвержены аудиту, поэтому нужно настроить правила вручную. Отметили группу Domain Users. Выставили type=all, чтобы мониторить как успех, так и отказ. Нажали кнопку show advanced permissions. Отметили галочкой оба пункта Delete.
_Рис.17 Зашли в свойства папки share. Security, Advanced, Auditing. Создали правило для аудита папки share, а так же всех её вложенных папок и файлов_
2. На pc1 от имени пользователя Pavel удалили папку folder-for-delete из папки all_share.
 _Рис.18 Создали папку folder-for-delete внутри папки all_share_
 _Рис.19 Удалили папку folder-for-delete_
3. Проверили журнал безопасности на dc1. Отфильтровали по определённым событиям : 4656, 4659, 4660, 4663. По итогу мы увидели много подряд идущих событий, из которых 3 явно нас интересуют.
 _Рис.20 Перешли в просмотр событий_
_Рис.21 Настроили фильтрацию событий_
_Рис.22 Отфильтрованные события_
_Рис.23 Событие 4656_
 _Рис.24 Событие 4656_
 _Рис.25 Событие 4663_
### Инфраструктура отправки журналов Windows в SIEM
1. Включили сервис сборщика логов и подтвердили его автостарт. Настроили политику отправки журналов на logcollector. Зашли в редактор групповой политики и создали новую, log_delivery. В подписке включим службу WinRM.
 _Рис.26 Включили сервис сборщика логов_
 _Рис.27 Создание подписки log_delivery_
 _Рис.28 Редактирование подписки log_delivery_
2. Перешли в пункт настройки менеджера подписок. Активировали его и прописали путь до коллектора:
Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=5. Применили фильтр безопасности, чтобы политика применилась только к pc1.
 _Рис.29 Настроили подписки. Прописали путь до коллектора_
_Рис.30 Применили политику только к pc1_
3. Зашли в меню создания правил брандмауэра и создали новое правило inbound. Выбрали преднастроенное правило для WinRM. Настроили это правило только для доменной и частной сети. Разрешили подключение.
_Рис.31 Зашли в меню создания правил брандмауэра. Создали новое правило_
_Рис.31 Настроили новое правило_
4. Для настройки политики нам понадобился дескриптор безопасности журнала. Нашли его на pc1 при помощи команды: wevtutil gl security.
 _Рис.32 Дескриптор безопасности журнала на pc1_
5. Далее настроили доступ УЗ до журнала security. Активировали политику и ввели параметр channelAccess.
_Рис.33 Ввели параметр channelAccess_
6. Отдельно добавили учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зашли в политику локальных групп и добавили правило для локальной группы. Локальная группа -- читатели журнала событий. Пользователи -- администраторы домена.
 _Рис.34 Добавили правило для локальной группы_
 _Рис.35 Настроили правило для локальной группы_
 _Рис.36 Применили настройки на домен_
_Рис.37 Применили настройки на домен_
7. Настроили приём логов на коллекторе. Создали новую подписку. Источниками будут доменные компьютеры - pc1. Проверили сетевую связность. Подтвердили настройки, увидели созданую подписку.
_Рис.38 Создание новой подписки_
_Рис.39 Настройка новой подписки_
 _Рис.40 Настройка брандмауэра на pc1_
_Рис.41 Проверка сетевой доступности успешна_
_Рис.42 Настройка фильтров_
_Рис.43 Зашли в меню Advanced, указали для сбора УЗ администратора
_Рис.43 Проверка созданной подписки
9. Дали доступ сетевой службе до чтения журнала безопасности, выполнили команду на pc1, команда:
wevtutil set-log security /ca\:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20).
_Рис.44 Дали доступ сетевой службе_
10. После всего увидели логи хоста pc1 в журнале forwarded events.
_Рис.45 Успешный поток логов_
### Часть 4. Настройка сборщика логов при компьютерах-инициаторах
1. На сервере-коллекторе выполнили команду winrm qc, ответили согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников).
_Рис.46 Выполнили команды winrm qc, wecutil qc на серевере-коллекторе_
2. На источниках событий включили службу WinRM (реализовано политикой ранее).
3. Создали подписку, где инициатором являются компьютеры.
 _Рис.47 Создали подписку_
 _Рис.48 Проверили статус источников_
Sign in with Wallet
Connect another wallet