Windows basics 5

# Windows basics 5 # Практика 5 Обмен данными в домене и средства мониторинга Windows *Выполнил Андреев Игорь Константинович* ## Часть 1 - Настройка инстанса обмена данными ### 1.1 Установим роль DFS на DC1. Перейдём в установку ролей и компонентов ![](https://i.imgur.com/tmnQizv.png) ### 1.2 Отметим роли DFS Namespases и DFS Replication ![](https://i.imgur.com/oKPrs0B.png) ### 1.3 Готово ![](https://i.imgur.com/ZzZc4C7.png) ### 1.4 Аналогичная натсройка DC2 ![](https://i.imgur.com/5mtFdeP.png) ![](https://i.imgur.com/3gbrHmv.png) ### 1.5 Зайдём в управление DFS ![](https://i.imgur.com/oGIlYFV.png) ### 1.6 Создадим новый namespace ![](https://i.imgur.com/KjSZkZl.png) ### 1.7 Укажем сервер, являющийся сервером имён для DFS (DC1) ![](https://i.imgur.com/W2RgyOi.png) ### 1.8 Укажем имя создаваемого пространства и перейдём в edit settings ![](https://i.imgur.com/heY5dUg.png) ### 1.9 Настроим кастомные права, указав возможность чтения и записи для всех пользователей ![](https://i.imgur.com/gCHUygT.png) ### 1.10 NEXT ![](https://i.imgur.com/3nkqvkR.png) ### 1.11 Создаём ![](https://i.imgur.com/MUumhaZ.png) ### 1.12 Готово! ![](https://i.imgur.com/gJW2H0N.png) ### 1.13 Проверяем, что инстанс создан ![](https://i.imgur.com/wJRcQFF.png) ### 1.14 Создаём папку Share ![](https://i.imgur.com/yDSUXxX.png) ### 1.15 Внутри создаём ещё папки для каждого отдела + all_share ![](https://i.imgur.com/dp9tmnf.png) ### 1.16 Делаем папки сетевыми (на примере одной) ![](https://i.imgur.com/OTSan54.png) ![](https://i.imgur.com/6uytZiq.png) ![](https://i.imgur.com/dBP8Shw.png) ### Идём в permissions ![](https://i.imgur.com/AvIYtSX.png) ### Повторяем тоже самое для всех папок! (All_Share делается на чтение и запись для всех) ### 1.17 Cоздадим папки в DFS. В меню DFS нажмём кнопку "new folder"/ ![](https://i.imgur.com/9w5aCXd.png) ### 1.18 Нажимаем Add, Выбираем нужную папку в browse и подтверждаем ![](https://i.imgur.com/6oB20WN.png) ### Повторяем тоже самое для всех папок! ### 1.19 Изменим права security у папки Buhg. Нажмём кнопку Edit ![](https://i.imgur.com/TEU0xxM.png) ### 1.20 Дадим права в том числе и на modify ![](https://i.imgur.com/BR5JD6Q.png) ### Повторяем тоже самое для всех папок! ### 1.21 Настраиваем выдачу специальных прав на просмотр ![](https://i.imgur.com/MlkCuH1.png) ### 1.22 Нажимаем configure view permisson ![](https://i.imgur.com/38xyK6c.png) ### 1.23 Добавляем нужную группу ![](https://i.imgur.com/41s6Vmy.png) ### Повторяем тоже самое для всех папок! ### 1.24 Все папки видны ![](https://i.imgur.com/EZX0oMC.png) ## Часть 2 - Управление средствами мониторинга Windows ### 2.1 Зайдём в настройки папки share ![](https://i.imgur.com/KMbPGVR.png) ### 2.2 security >> advanced ![](https://i.imgur.com/KeP0XKT.png) ### 2.3 Audit >> add ![](https://i.imgur.com/aO5HgER.png) ### 2.4 Выберем Select a Principal ![](https://i.imgur.com/BjkQhpa.png) ### 2.5 Указываем группу domain users ![](https://i.imgur.com/3uyfrcM.png) ### 2.6 Type = all >> show advanced permissions ![](https://i.imgur.com/2QkSVpx.png) ### 2.7 Отмечаем обе delete ![](https://i.imgur.com/v1cb4cE.png) ### 2.8 Создаём папку folder_for_delete в папке all_share и от имени Olga удалим её ![](https://i.imgur.com/7gzJZkH.png) ### 2.9 Проверим журнал безопасности DC1 ![](https://i.imgur.com/w4SGpQ1.png) ### 2.10 Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра ![](https://i.imgur.com/YRB322z.png) ### 2.11 Находим 3 интересующих нас события ![](https://i.imgur.com/PAsT8T1.png) ![](https://i.imgur.com/2BTrbhK.png) ![](https://i.imgur.com/ZJ8Sj1U.png) ## Часть 3 - Инфраструктура отправки журналов Windows в SIEM ### 3.1 Включим сервис сборщика логов и подтвердим его автостарт ![](https://i.imgur.com/zR2gtrE.png) ### 3.2 Создадим новую групповую политику ![](https://i.imgur.com/Cp39AiS.png) ### 3.3 Найдём пункт включения службы WinRM ![](https://i.imgur.com/Yn9I32o.png) ### 3.4 Включаем ![](https://i.imgur.com/lR8EDMr.png) ### 3.5 Найдём пункт настройки менеджера подписок (configure target Subscription Manager) ![](https://i.imgur.com/orB049z.png) ### 3.6 Активируем его и укажем путь до логколлектора ![](https://i.imgur.com/TG49H2m.png) ### 3.7 Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к PC1 ![](https://i.imgur.com/3hHUKOE.png) ### 3.8 Нажмём object types >> computers, поставить галочку ![](https://i.imgur.com/LdzT0VV.png) ### 3.9 Добавляем PC1 и удаляем авторизованных пользователей ![](https://i.imgur.com/c98CSn5.png) ### Для управления компьютерами в домене с помощью WinRM нужно, чтобы брандмауэр windows разрешал подобные подключения. Изменим политику сбора логов так, чтобы правило было прописано на pc1. ### 3.10 Найдём меню создания правил брандмауэра и создадим новое правило inbound ![](https://i.imgur.com/7YxiZPi.png) ### 3.11 Выберем преднастроенное правило для WinRM ![](https://i.imgur.com/nzDVjsR.png) ### 3.12 Создадим это правило только для доменной и частной сети (снимем галочку с public) ![](https://i.imgur.com/18RqXdt.png) ### 3.13 Разрешим подключение ![](https://i.imgur.com/Oits2Yq.png) ### После применения порт на PC1 откроется и позволит выполнять WinRM команды, с помощью которых собираются логи с windows машин ### Теперь нужно донастроить политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор ### 3.14 Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на PC1 (channelAccess) ![](https://i.imgur.com/WoXEdiO.png) ### 3.15 Настроим доступ УЗ до журнала security (configure log access) ![](https://i.imgur.com/HZLUofr.png) ### 3.16 Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/jpfahd0.png) ### 3.17 И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы ![](https://i.imgur.com/TiUkYWn.png) ### 3.18 Локальная группа -- читатели журнала событий ![](https://i.imgur.com/FHouphX.png) ### 3.19 Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий) ![](https://i.imgur.com/Z2wIDMM.png) ### 3.20 Итог ![](https://i.imgur.com/w2tdCfk.png) ### 3.21 Применяем на домен новую политику ![](https://i.imgur.com/YVSwQGx.png) ![](https://i.imgur.com/Of4D2tw.png) ### 3.22 Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок и подтвердим автоматическое включение службы >> create subscription ![](https://i.imgur.com/NDTcuIS.png) ### 3.23 Назовём collector-get >> select computer ![](https://i.imgur.com/HQT50SZ.png) ### 3.24 Добавляем PC1 ![](https://i.imgur.com/BTMmLQi.png) ### 3.25 Проверяем доступность ![](https://i.imgur.com/lS1MdBX.png) ### 3.26 Зайдём в меню select events и выберем нужные журналы ![](https://i.imgur.com/dfPxfdV.png) ### 3.27 Зайдём в меню Advanced, укажем для сбора УЗ администратора ![](https://i.imgur.com/kO0tjQd.png) ### 3.28 Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status ![](https://i.imgur.com/3XucsE4.png) ### 3.29 Увидим отсутствие ошибок ![](https://i.imgur.com/aNxZ70v.png) ### 3.30 Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на PC1 ![](https://i.imgur.com/A1kBX6H.png) ### Получается, что мы выдаём доступ NTAUTHORITY\NETWORKSERVICE (SID S-1-5-20) доступ до журнала security ### 3.31 Появились логи! ![](https://i.imgur.com/UnavNZC.png) ## Часть 4 - Настройка сборщика логов при компьютерах-инициаторах ### 4.1 На сервере-коллекторе выполняем команду winrm qc, wecutil qc ![](https://i.imgur.com/Jw6Fnjw.png) ### 4.2 Добавляем новую подписку Source computer inititated >> PC1 + Select events ![](https://i.imgur.com/2fi9avP.png) ![](https://i.imgur.com/SvUFTNL.png) ![](https://i.imgur.com/rlWVUX2.png) ### 4.3 Готово! ![](https://i.imgur.com/iExkpOS.png)