Занятие 5. Обмен данными в домене и средства мониторинга Windows

# Занятие 5. Обмен данными в домене и средства мониторинга Windows > - [x] Часть 1. Настройка инстанса обмена данными. > > 1. Для начала установим роль DFS на dc1. Перейдём в установку ролей и компонентов > > ![](https://i.imgur.com/uEHuIaj.png) > > 2. Отметим роли DFS Namespases и DFS Replication > > ![](https://i.imgur.com/eKvLTcS.png) > > 3. Установим роли > > 4. Зайдём в управление DFS > > ![](https://i.imgur.com/B8Fvvgl.png) > > 5. Создадим новый namespace > > ![](https://i.imgur.com/tIux8lh.png) > > 6. Укажем сервер, являющийся сервером имён для DFS. Это будет наш dc1 > > ![](https://i.imgur.com/ImJDaaI.png) > > 7. Укажем имя создаваемого пространства и перейдём в edit settings > > ![](https://i.imgur.com/xZjd3CV.png) > > 8. Настроим кастомные права, указав возможность чтения и записи для всех пользователей > > ![](https://i.imgur.com/2pyZuZ5.png) > > 9. Оставим настройки по умолчанию (domain namespase) > > ![](https://i.imgur.com/gFlu8QY.png) > > 10. Создадим пространство имён > > ![](https://i.imgur.com/tZvSaYb.png) > > 11. Успех > > ![](https://i.imgur.com/ERbmZOR.png) > > 12. Можно проверить, что инстанс создан, пройдя по пути > > ![](https://i.imgur.com/wPmEyJz.png) > > 13. Создадим папку share > > ![](https://i.imgur.com/e3Mzi0N.png) > > 14. И папки отделов внутри, + папку all_share > > ![](https://i.imgur.com/rYw4wEt.png) > > 15. Каждую эту папку нужно сделать сетевой. Идём в настройки папки (сделаем на примере buhg) > > ![](https://i.imgur.com/m9oLhaf.png) > > 16. Вкладка sharing, пунк advanced sharing > > ![](https://i.imgur.com/0K6AaaL.png) > > 17. Активируем галочку шаринга, а вконце имени сетевой папки ставим знак . После идём в permissions > > ![](https://i.imgur.com/TFRhMQC.png) > > 18. Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем. После нажимаем apply > > ![](https://i.imgur.com/fpVVgBY.png) > > 19. Нам покажут относительный dc1 путь до папки по сети. Закрываем меню > > ![](https://i.imgur.com/IEQDApi.png) > > 20. Вот так будет выглядеть настройка all_share. Доллар ставить не обязательно, всё равно группа everyone увидит ресурс > > ![](https://i.imgur.com/KkTGhry.png) > > 21. После создания папок они отобразятся в сетевом пути до dc1. Но мы преследуем другую цель. Теперь создадим папки в DFS. В меню DFS нажмём кнопку "new folder" > > ![](https://i.imgur.com/V4L8pCn.png) > > 22. Укажем имя папки (именно с этим именем она отобразится в dfs-пути) > > ![](https://i.imgur.com/txJRv1z.png) > > 23. Добавим target. Имеется ввиду то, что мы по сути создаем всего лишь ярлык, который будет ссылаться на папку, которую мы укажем в target > > ![](https://i.imgur.com/ZoRrELA.png) > > 24. Можно либо сразу указать сетевой путь до папки, либо воспользоваться browse > > ![](https://i.imgur.com/mnrdHL7.png) > > 25. Увидим список всех расшаренных папок на dc1. Выберем нужную > > ![](https://i.imgur.com/jwnJXtd.png) > > 26. Сетевой путь до папки отобразится, можно подтверждать и применять настройки > > ![](https://i.imgur.com/4sHEF24.png) > > 27. Теперь по сетевому пути видны сетевые папки > > ![](https://i.imgur.com/8Pk0qt5.png) > > 28. Изменим права security у папки Buhg. Нажмём кнопку Edit > > ![](https://i.imgur.com/oZO1bOu.png) > > 29. Нажмём кнопку Add, чтобы добавить группу Buhg-sec > > 30. Дадим права в том числе и на modify > > ![](https://i.imgur.com/6F8qBBG.png) > - [x] Часть 2. Управление средствами мониторинга Windows > > > > 1. Зайдём в настройки папки share > > ![](https://i.imgur.com/2qcy6uV.png) > > 2. Security -> Advanced > > ![](https://i.imgur.com/atZ6FJA.png) > > 3. Зайдём во вкладку Аудит и нажмём Add, чтобы добавить правило аудита > > ![](https://i.imgur.com/uDNNQJS.png) > > 4. Выберем Principal -- это объект, действия которого нужно логировать > > ![](https://i.imgur.com/NE3PYjd.png) > > 5. Отметим группу Domain Users > > ![](https://i.imgur.com/w20yWi0.png) > > 6. Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions > > ![](https://i.imgur.com/OLx242s.png) > > 7. Отметим галочкой оба пункта Delete и нажмём ОК > > ![](https://i.imgur.com/U3jf1qf.png) > > 8. Правило создано для папки share, а так же всех её вложенных папок и файлов > > ![](https://i.imgur.com/y7BZGWc.png) > > `Создам в папке all_share папку folder-for-delete для тестирования генерации событий` > > 9. На pc1 от имени пользователя Lida попробуем удалить папку folder-for-delete из папки all_share > > ![](https://i.imgur.com/c50RK7O.png) > > 10. Проверим журнал безопасности dc1 > > ![](https://i.imgur.com/xaP9ogg.png) > > 11. Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра > > ![](https://i.imgur.com/0tlEYIJ.png) > > 12. По итогу вы увидите много подряд идущих событий, из которых 3 явно нас интересуют > > ![](https://i.imgur.com/qwzJZkh.png) > > ![](https://i.imgur.com/28WM2iv.png) > > ![](https://i.imgur.com/CGOiOqV.png) > - [x] Часть 3. Инфраструктура отправки журналов Windows в SIEM > > > > 1. Включим сервис сборщика логов и подтвердим его автостарт > > ![](https://i.imgur.com/5KK5VV3.png) > > 2. Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery > > ![](https://i.imgur.com/wDKzUXR.png) > > 3. Найдём пункт включения службы WinRM > > ![](https://i.imgur.com/NtW8Nb8.png) > > 4. Включим службу > > ![](https://i.imgur.com/kC1tSQR.png) > > 5. Найдём пункт настройки менеджера подписок > > ![](https://i.imgur.com/IjMpt4o.png) > > 6. Активируем его > > ![](https://i.imgur.com/kelUb8j.png) > > 7. Настроим путь до логколлектора > > ![](https://i.imgur.com/GuKoyXg.png) > > 8. Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1. > > ![](https://i.imgur.com/L58vrzF.png) > > 9. По умолчанию поиск не происходит среди компьютеров. Изменим это, выберем типы объектов для поиска > > ![](https://i.imgur.com/sQBDvKj.png) > > 10. Укажем тип объектов -- компьютеры > > ![](https://i.imgur.com/8lQgfW9.png) > > 11. И проведем поиск по имени pc1 (введем имя и нажмём check names) > > ![](https://i.imgur.com/vWFtFE5.png) > > 12. После -- удалим группу аутентифицированных пользователей, она не пригодится > > ![](https://i.imgur.com/MUGo1jR.png) > > 13. Найдём меню создания правил брандмауэра и создадим новое правило inbound > > ![](https://i.imgur.com/h5Bd5UG.png) > > 14. Выберем преднастроенное правило для WinRM > > ![](https://i.imgur.com/esvQQFR.png) > > 15. Создадим это правило только для доменной и частной сети (снимем галочку с public) > > ![](https://i.imgur.com/GrKtGzE.png) > > 16. Разрешим подключение > > ![](https://i.imgur.com/tYIo8R7.png) > > 17. Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1 > > ![](https://i.imgur.com/hXO4EkJ.png) > > 18. Настроим доступ УЗ до журнала security > > ![](https://i.imgur.com/NfzTkT7.png) > > 19. Активируем политику и введём параметр channelAccess > > ![](https://i.imgur.com/E7y1eSq.png) > > 20. И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы > > ![](https://i.imgur.com/yhnSzpG.png) > > 21. Локальная группа -- читатели журнала событий. > > ![](https://i.imgur.com/2U6Rbc0.png) > > 22. Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий > > ![](https://i.imgur.com/7CQA3Nz.png) > > 23. Вот так по итогу, применяем-сохраняем > > ![](https://i.imgur.com/PoIDn2s.png) > > 24. Применим на домен > > ![](https://i.imgur.com/SQGAo3B.png) > > ![](https://i.imgur.com/nfdzHXj.png) > > 25. Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок и подтвердим автоматическое включение службы > > 26. Создадим новую подписку > > ![](https://i.imgur.com/xgCJHtf.png) > > 27. Назовём её collector-get и отметим ПК, с которых коллектор будет собирать логи (select computers) > > ![](https://i.imgur.com/NG9RPLz.png) > > 28. Выберем доменные компьютеры > > ![](https://i.imgur.com/ft2oKwj.png) > > 29. Выберем PC1 > > ![](https://i.imgur.com/Ov4oD9i.png) > > 30. Нажмём кнопку Test чтобы проверить сетевую связность > > ![](https://i.imgur.com/k1TBE9u.png) > > 31. Если возникнут проблемы с настройкой брандмауэра через GPO, то зайдите на PC1 и в CMD, запущенной от имени администратора, примените команду > > ![](https://i.imgur.com/h83xUOa.png) > > 32. Зайдём в меню select events и выберем нужные журналы > > ![](https://i.imgur.com/2P8VB3H.png) > > 33. Зайдём в меню Advanced, укажем для сбора УЗ администратора > > ![](https://i.imgur.com/7vjNVPm.png) > > 34. Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status > > ![](https://i.imgur.com/14DWt1P.png) > > 35. Увидим отсутствие ошибок > > ![](https://i.imgur.com/PDJqs1r.png) > > 36. Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 > > ![](https://i.imgur.com/PJkS121.png) > > 37. После чего увидим логи в журнале forwarded events > > ![](https://i.imgur.com/2rwP7vB.png) > - [x] Часть 4. Настройка сборщика логов при компьютерах-инициаторах > > > > 1. На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса > > ![](https://i.imgur.com/RM4AcnW.png) > > `Уже запущено` > > 2. На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows. > > ![](https://i.imgur.com/PDFF9ho.png) > > 3. На источниках событий следует включить службу WinRM (реализовано политикой в пункте 3.4) > > ![](https://i.imgur.com/aDNTnlP.png) > > 4. Создать подписку, где инициатором будут компьютеры > > ![](https://i.imgur.com/pbswqQw.png) > > ![](https://i.imgur.com/pURTJqu.png) > > Отключил предыдущую подписку > > ![](https://i.imgur.com/fMqAr81.png) > > Пришло событие с новой подписки > > ![](https://i.imgur.com/tesnyXA.png)