###### tags: `Windows Basic`
# Windows_Basic-Омаров_Джамалутин-Практика-5
*Выполнил Омаров Джамалутин*
## Практическая работа №5.1 Обмен данными в домене и средства мониторинга Windows
### Часть 1. Настройка инстанса обмена данными
1.1 Для начала установим роль DFS на dc1. DFS - компонент Windows, использующийся для упрощения доступа к папкам. Для того, чтобы настроить DFS, необходимо настроить роль сервера. После чего в разделе "Tools" появится "DFS Managment".
Manage -> Add Roles and Features -> Next -> Next -> Next;
1.2 Отмечаем роли "DFS Namespaces" и "DFS Replication". Если появятся особенности (Features), то оставляем по умолчанию "Add Features" -> Next -> Next -> Install;
Аналогично выполним установку для dc2.
Папки доступные по сети можно посмотреть "File and Storage Services" -> Shares
1.3 Зайдем в управление DFS;
1.4 Создаем пространство имен.
ПКМ "Namespaces" -> New Namespace;
1.5 Указываем сервер, являющийся сервером имен для DFS. Это будет dc1;
1.6 Указываем имя создаваемого пространства имен -> Edit Settings.
По пути \\pt.local\pt-dfs будет доступна файловая "share" папка, которую мы создадим позже. Там будут доступны ярлыки;
1.7 Настраиваем кастомные права, указав возможность чтения и записи для всех пользователей -> Apply -> OK -> OK -> Next;
1.8 Оставляем настройки "Domain-based namespace" -> Next;
1.9 Создадим пространство имен "Create";
1.10 Close;
1.11 Проверим инстанс на Windows Server 2016 (ru). А также на нем мы устанавливаем DFS;
DFS работает таким образом, что абстрагирует пользователя от прямого пути до папки. Для начала создадим обычные сетевые папки, а потом соотнесем их с DFS путями.
1.12 Создадим папку "share";
1.13 Внутри ее создадим папку отделов компании, а также папку "all_share";
1.14 Каждую папку необходимо сделать сетевой -> Properties;
1.15 Вкладка "Sharing" -> Advanced Sharing;
1.16 Активируем галочку шаринга, а в конце имени сетевой папки ставим знак "$" -> Permissions;
Знак "$" необходим для скрытия папки от посторонних.
1.17 Выставляем права на чтение и запись для "Buhg-sec", full control для "Domain Admins", а группу "everyone" удаляем -> Apply;
1.18 Показан относительный dc1 путь до папки по сети -> Close;
Аналогичные манипуляции необходимо сделать для остальных папок. Для папки "all_share" необходимо выдать доступ на чтение и запись для группы "everyone".
1.19 Папка "all_share" будет выглядеть так;
1.20 После создания папок они отобразятся в сетевом пути до dc1. Теперь же создадим папки в DFS. Меню DFS -> New Folder;
1.21 Указываем имя папки, оно отобразится в dfs-пути;
1.22 Добавим target. А именно, мы создаем ярлык, который ссылается на папку, которую указываем в target;
1.23 Потверждаем и применяем настройки;
1.24 Теперь видны сетевые папки;
У пользователей все еще нет прав на уровне NTFS на редактирование файлов в них. Если пользователь из группы Buhg-sec расположит в папке Buhg файл, то пользователь будет являться владельцем и сможет сделать с файлом все. Но другие пользователи группы Buhg-sec не смогут.
1.25 Изменим права "Security" у папки "Buhg" -> Edit;
1.26 Add -> Дадим права "Modify"
Аналогично с другими папками. Для папки "all_share" выставить в параметрах доступ для группы "everyone"
### Дополнительное задание
Настроить репликацию DFS на dc2:
* Настроить аналогичные папки
* Расшарить их
* Для каждой существующей на dc1 dfs папки создать резервирование с указанием сетевого пути до аналогичной папки dc2
1st. Папка share;
2nd. Создал только папку "Buhg", на ее примере будет выполняться задание;
3rd. Настройка во вкладке доступ;
4th. Создано пространство имен;
5th. Папка видна на сетевом пути;
6th. Создана репликация. Репликация позволяет эффективно синхронизировать папки между серверами dc1 и dc2;
Показал ход выполнения задания. Необходимо произвести аналогичные действия для других папок.
## Практическая работа №5.2 Средства мониторинга Windows
**Задание**
* Настроить файловый ресурс с целью журналирования событий удаления объектов
* Настроить отправку журналов с помощью инструментария Windows в соответствии с методическими материалами
* Настроить сборщик журналов
### Часть 1. Управления средствами мониторинга Windows
Решим задачу с настройкой логирования удаления файлов с сетевых файловый ресурсов на dc1.
1.1 Заходим в настройки папки "share";
1.2 Security -> Advanced;
1.3 Auditing -> Add;
Ранее мы настраивали политику, позволяющую логировать операции с файлами. Но по умолчанию все папки и файлы не будут подвержены аудиту, поэтому необходимо астроить правила вручную.
1.4 Principal (Объект, действия которого необходимо логировать);
1.5 Отметим группу "Domain Users" -> Type = All (Для мониторинга успеха и отказа) -> Show advanced permissions;
1.6 Отметим оба пункта "Delete" -> OK;
1.7 Правило создано для папки "share", а также для всех ее вложенных папок и файлов;
1.8 Создадим в папке "all_share" папку "folder-for-delete" для тестирования генерации событий;
1.9 На pc1 от имени "Olga" попробуем удалить папку "folder-for-delete";
1.10 Проверим журнал безопасности dc1;
1.11 Событий много, отфильтруем их. В меню "filter current log" введем интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра;
При удалении файла создается набор событий.
4656 - запрос дескриптора объекта. Это проверка прав доступа к файлу. Показывает, что доступ был запрошен и его результаты, но не показывает, что операция была выполнена.
4663 - выполнение определенной операции над объектом. Данный запрос не имеет событий отказа. Право доступа было использовано.
4660 - генерируется при удалении объекта. Оно не содержит имени удаляемого объекта, только "handle id".
4659 - если бы в папке были файлы, то он бы понадобился нам. Событие регистрируется в случае запроса дескриптора объекта с целью его удаления.
События можно связать по "handle id", так как если он одинаковый у нескольких событий, то это события относятся к одному объекту.
1.12 По итогу выйдет множество событий, но нас интересуют только 3 из них:
4656;
4663;
4660;
### Часть 2. Инфраструктура отправки журналов Windows в SIEM
2.1 Включим сервис сборщика логов и подтвердим его автостарт. Wecutil.exe позволяет управлять подписками на события, создаваемые с помощью службы журнала событий Windows.
Cmd -> wecutil qc;
2.2 Настроим новую политику отправки журналов на "logcollector".
GPO -> New GPO;
2.3 Найдем пункт включения службы WinRM. Служба должна подключаться автоматически.
log_delivery -> Edit -> ... WinRM;
2.4 Включим ее -> Apply;
2.5 Найдем пункт настройки менеждера подписок;
2.6 Enabled;
2.7 Настроим путь до логколлектора. Вписал такой путь:
Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=5;
2.8 Сохраним и закроем окно редактирования политики. Применим фильтр безопасности, чтобы политика применилась только к pc1;
log_delivery -> Security Filtering -> Add;
2.9 По имени "pc1" не происходит поиска. Изменим тип объектов для поиска.
Object Types;
2.10 Отметим тип объектов "Computers";
2.11 Произведем поиск еще раз;
2.12 После этого удалим группу аутентифицированных пользователей. Она не приходится;
Для управления компьютерами в домене с помощью WinRM необходимо, чтобы Брандмауэр Windows разрешал подобные подключения. Изменим политику сбора логов так, чтобы правило было прописано на pc1.
2.13 Найдем меню создания правил Брандмауэра и создадим новое правило "Inbound Rules". Порт 5985 мы должны разрешить.
log_delivery -> Edit -> ...Inbound Rules -> New Rule;
2.14 Выбираем преднастроенное правило для WinRM.
Predefined -> Next;
2.15 Создадим это правило только для доменной и частной сети;
... -> Next
2.16 Разрешим подключение.
Allow the connection -> Finish;
После применения порт на pc1 откроется и позволит выполнить WinRM команды, с помощью которых собираются логи с Windows машин. Теперь донастроим политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор.
2.17 Для настройки политики нам понадобится дескриптор безопасности журнала. Найдем его на pc1. Wevtutil.exe - стандартный компонент системы, предназначенный для получения списка имен журналов, управлением их конфигурацией, получения списка источниов событий и тд... gl - получение сведений о конфигурации журнала.
pc1 -> cmd -> wevtutil gl security
2.18 Настроим доступ УЗ до журнала "Security".
...Windows Components -> Event Log Service -> Security -> Configure log access;
2.19 Enabled -> Введем параметр O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20) - channelAccess;
2.20 Добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала.
Preferences -> Control Panel Settings -> Local Users...;
2.21 Local Group -> Event log Readers;
2.22 Add -> ... -> Domain Admins (В реальной ситуации необходимо добавлять пользователя, созданного для чтения журнала событий);
2.23 Apply;
2.24 Применяем политику "log_delivery" на домен.
pt.local -> Link an Exiting GPO -> log_delivery -> OK;
Далее настроим прием логов на коллекторе.
2.25 Создадим новую подписку.
Create Subscription;
2.26 Назовем ее "collector-get" -> Select Computers;
2.27 Add Domain Computers;
2.28 PC1;
2.29 "Test" для проверки сетевой связности. Вначале возникла проблема с настройкой Брандмауэра, на pc1 применил команду "winrm qc";
2.30 Select Events;
2.31 Advanced -> Указываем ADMPetr -> OK;
2.32 Подтвердим настройки, увидим созданную нами подписку. Проверим, нет ли ошибок.
Runtime Status;
2.33 Ошибок нет;
2.34 Дадим доступ сетевой службе до чтения журнала безопасности.
PC1 -> Cmd -> wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20);
Выдаем доступ до журнала "Security".
2.35 Увидим логи в журнале "Forwarded Events". Может понадобиться около 30 минут времени до появляния логов, мне понадобилось 10 минут;
2.36 Есть команда для обновления политик, впишем ее.
PC1 -> Cmd -> gpupdate;
2.37 Проверим результирующую политику.
PC1 -> Cmd -> gpresult /R;
В примененных объектах групповой политики увидим "log_delivery".
Sign in with Wallet
Connect another wallet