№5. Обмен данными в домене и средства мониторинга Windows.

№5. Обмен данными в домене и средства мониторинга Windows. === Практическая работа №5.1 Обмен данными в домене. --- ## Задание: 1) Настроить инстанс обмена данными ### Часть 1. Настройка инстанса обмена данными. 1. Установим роль DFS на WS-en. Отметим DFS Namespases и DFS Replication. Проделаем то же самое на WS-ru. ![](https://i.imgur.com/5miIyhz.png) 2. В управлении DFS создадим новый namespace и укажем сервер, зададим имя pt-dfs. Настроим кастомные права и создадим namespace. ![](https://i.imgur.com/q6G6Ojr.png) 3. Проверяем, что инстанс создан. ![](https://i.imgur.com/eB1Tz52.png) ### Часть 2. Сетевые папки 1. Создадим папку share, папки отделов внутри и папку all_share (права доступа к этой папке у всех пользователей). Распределим права доступа для оставшихся папок ![](https://i.imgur.com/bjsDBRa.png) 3. Изменим права security у папок. ![](https://i.imgur.com/esBGJbO.png) ![](https://i.imgur.com/1LR1e62.png) ![](https://i.imgur.com/KGdJ7jb.png) 4. Проверим настройки через учетную запись Lida ![](https://i.imgur.com/dg9t8Q4.png) ![](https://i.imgur.com/lyscuU5.png) ### Часть 3. Репликация DFS на резервный сервер. 1. Создаем папки на резервном сервере и добавляем в target путь у ним. ![](https://i.imgur.com/ejGOFoz.png) ![](https://i.imgur.com/nryVvWO.png) ![](https://i.imgur.com/35kPhlY.png) Практическая работа №5.2 Средства мониторинга Windows. --- ## Задание: 1) Настроить файловый ресурс с целью журналирования событий удаления объектов 2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами 3) Настроить сборщик журналов ### Часть 1. Управление средствами мониторинга Windows 1. Настроим логирование удаления файлов в сетевый файловых ресурсах ![](https://i.imgur.com/IXCueRu.png) 2. Создаем папку для тестирования, попробуем удалить ее из-под учетной записи Ольги. Проверим журнал безопасности на сервере. ![](https://i.imgur.com/lBDP2sr.png) ![](https://i.imgur.com/lBVzjrm.png) ![](https://i.imgur.com/cCxJpIB.png) ![](https://i.imgur.com/KF3T7XB.png) ### Часть 2. Инфраструктура отправки журналов Windows в SIEM 1. Включим сервис сборщика логов и подтвердим его автостарт. ![](https://i.imgur.com/QpMKKvR.png) 2. Зайдём в редактор групповой политики и создадим новую, log_delivery. Включим службу WinRM. ![](https://i.imgur.com/eKkN4PG.png) 3. Активируем настройки менеджера подписок. Настроим путь до логколлектора. ![](https://i.imgur.com/s8Xdri8.png) 4. Применим фильтр безопасности, чтобы политика применилась только к pc1. ![](https://i.imgur.com/yYqCOh8.png) 5. Создадим новое правило для брендмауэра. Выберем преднастроенное правило для WinRM (только для доменной и частной сети). ![](https://i.imgur.com/QrbkiwK.png) 6. Найдём дескриптор безопасности журнала pc1. ![](https://i.imgur.com/11kPJRB.png) 7. Настроим доступ УЗ до журнала security. Активируем политику и введём параметр channelAccess. ![](https://i.imgur.com/9CXPiSq.png) 8. Добавим учетную запись для чтения журналов. В политике локальных групп добавим правило для локальной группы. Применим правила на домене. ![](https://i.imgur.com/NMLH2t4.png) ![](https://i.imgur.com/LlOtwJx.png) 9. Настроим приём логов на коллекторе. Создадим подписку collector-get и отметим ПК, с которых коллектор будет собирать логи. ![](https://i.imgur.com/KoE1so9.png) 10. Задаем логин и пароль от учетной записи ADMPetr и проверяем на наличие ошибок. ![](https://i.imgur.com/tgqH07Q.png) ![](https://i.imgur.com/0G1D3kD.png) 11. Дадим доступ сетевой службе до чтения журнала безопасности ![](https://i.imgur.com/Qine0bQ.png) 12. Увидим логи в журнале forwarded events ![](https://i.imgur.com/laKvuqS.png) ### Часть 3. Настройка сборщика логов при компьютерах-инициаторах 1. Создать подписку, где инициатором будут компьютеры ![](https://i.imgur.com/3qF0m8O.png)