OS Windows & AD basic - 5

# OS Windows & AD basic - 5 PT-Start Турлуев Адам ### Занятие 5 ### 5.1 1. Установили роль dfs на dc1 ![](https://i.imgur.com/XmBmas0.png) Аналогично поступаем с dc2 ![](https://i.imgur.com/T82xlI7.png) 2. В управлении DFS создаем новое пространство имен ![](https://i.imgur.com/t1CNiwg.png) 3. Настраиваем права ![](https://i.imgur.com/SeIiIdj.png) 4. Заканчиваем настройку и создаем пространство имен ![](https://i.imgur.com/E1fkAJW.png) 5. Проверяем на dc2. Все работает ![](https://i.imgur.com/T3UPcjR.png) 6. Создаем папки ![](https://i.imgur.com/4gmrCuR.png) 7. Шерим папку и выставляем права для разных групп ![](https://i.imgur.com/Mpz9wjZ.png) 8. Видим относительный путь до папки ![](https://i.imgur.com/DdZTLQH.png) 9. Настраиваем остальные папки ![](https://i.imgur.com/L3ertB0.png) ![](https://i.imgur.com/DdWAHZy.png) ![](https://i.imgur.com/bUEPvW1.png) ![](https://i.imgur.com/ZRsuvHK.png) ![](https://i.imgur.com/gb9uDiV.png) 10. В dfs создаем папку и указываем таргет на нужную сетевую папку. ![](https://i.imgur.com/YVkvyIv.png) 11. Так же делаем и с остальными и проверяем все ли работает с dc2 ![](https://i.imgur.com/wVLKVk3.png) 12. Даем права для остальных членов группы на соответствующие папки ![](https://i.imgur.com/i96RXfI.png) ![](https://i.imgur.com/CceTQk2.png) ### 5.2 #### Управление средствами мониторинга Windows 1. Добавим правило аудита для папки share ![](https://i.imgur.com/lWkbgvN.png) 2. Отметим группу для логирования - Domain Users ![](https://i.imgur.com/Cc6a1x9.png) ![](https://i.imgur.com/M2Lc763.png) 3. Правило создано для папки share, а так же всех её вложенных папок и файлов ![](https://i.imgur.com/Wq7pIHc.png) 4. Создадим папку для проверки правил ![](https://i.imgur.com/g6yKVUh.png) 5. Заходим на pc1 от имени ADMpetr, удаляем созданную папку и смотрим в журнал безопасности ![](https://i.imgur.com/SGGkqQx.png) ![](https://i.imgur.com/2JuDI0V.png) ![](https://i.imgur.com/JTkI7X2.png) #### Инфраструктура отправки журналов Windows в SIEM 1. Включим сервис сборщика логов и подтвердим его автостарт ![](https://i.imgur.com/TnshGZ1.png) 2. Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую ![](https://i.imgur.com/DDLhSy6.png) 3. Найдём пункт включения службы WinRM и включим ее ![](https://i.imgur.com/MXRsy2X.png) 4. Найдём пункт настройки менеджера подписок и активируем его ![](https://i.imgur.com/A3PTjQz.png) ![](https://i.imgur.com/VvgGSb3.png) 5. Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1 ![](https://i.imgur.com/N1YKfuv.png) 6. Найдём меню создания правил брандмауэра и создадим новое правило inbound ![](https://i.imgur.com/t0DdcdD.png) ![](https://i.imgur.com/1SfLLDI.png) ![](https://i.imgur.com/55Rm8X5.png) 7. Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на pc1 ![](https://i.imgur.com/lpxJzNm.png) 8. Настроим доступ УЗ до журнала security ![](https://i.imgur.com/PUwIJJu.png) 9. Активируем политику и введём параметр channelAccess ![](https://i.imgur.com/0FtZBuu.png) 10. И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы ![](https://i.imgur.com/MLDOB03.png) ![](https://i.imgur.com/lb4cDaP.png) 11. Применяем на домен ![](https://i.imgur.com/7R4FNZo.png) 12. Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок и подтвердим автоматическое включение службы ![](https://i.imgur.com/dBlprjy.png) ![](https://i.imgur.com/xKYEnC0.png) ![](https://i.imgur.com/qroNwSD.png) ![](https://i.imgur.com/WfmALSt.png) 13. Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. ![](https://i.imgur.com/twJj6yj.png) 14. Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 ![](https://i.imgur.com/u9s6car.png) ![](https://i.imgur.com/svYFxLF.png) ### Настройка сборщика логов при компьютерах-инициаторах 1. На сервере-коллекторе выполянем команду winrm qc и wecutil qc ![](https://i.imgur.com/d2Xbbof.png) 2. Создать подписку, где инициатором будут компьютеры ![](https://i.imgur.com/zJdq3MV.png) ![](https://i.imgur.com/i2ReBYU.png) ![](https://i.imgur.com/5cop5vH.png)