# Занятие 5. Обмен данными в домене и средства мониторинга Windows
## Практическая работа №5.1 Обмен данными в домене
Задание:
1) Настроить инстанс обмена данными
2) Настроить репликацию DFS на DC2
### Управление средствами мониторинга Windows
#### Настройка инстанса обмена данными
Установка роли DFS (DFS Namespases и DFS Replication) на DC представлена на рисунках 1-3.
Рисунок 1. Выбор ролей
Рисунок 2. Демонстрация успешной установки на DC1
Рисунок 3. Демонстрация успешной установки на DC2
Создание пространства имён DFS представлено на рисунках 4-8.
Рисунок 4. Задание имени пространства
Рисунок 5. Задание возможности чтения и записи на шаре для всех пользователей
Рисунок 6. Итоговые параметры создания пространства DFS
Рисунок 7. Демонстрация успешного создания инстанса DFS
Рисунок 8. Проверка создания инстанса с PC1
Создание сетевых папок для отделов представлено на рисунках 9-15.
Правила:
- сделать папки скрытыми ($ после имени)
- чтение/запись для группы отдела, полный доступ для Domain Admins, группу (Everyone/все) удалить
- в правах NTFS добавить группу отдела, добавить право Modify
Рисунок 9. Задание прав доступа для групп к сетевой папке
Рисунок 10. Создание папки в DFS и привязка к сетевой шаре
Рисунок 11. Созданные и привязанные папки в DFS
Рисунок 12. Сетевые папки DFS
Рисунок 13. Задание NTFS-прав на папки
Рисунок 14. Сетевые ресурсы домена
#### Настройка репликации DFS
Перед репликацией на DC2 были созданы такие же папки с такими же правами, как и на DC1. Доказательство создания папок приведено на рисунке 15.
Рисунок 15. Общие папки на DC2
Шаги мастера репликации представлены на рисунках 16-17.
Рисунок 16. Итоговые параметры создания группы репликации
Рисунок 17. Демонстрация успешного создания группы репликации
Результат настройки репликации представлен на рисунке 18.
Рисунок 18. Созданная группа репликации
Проверка репликации приведена на рисунке 19 (файл был создан на DC2, появился на DC1).
Рисунок 19. Проверка репликации
## Практическая работа №5.2 Средства мониторинга Windows
Задание:
1) Настроить файловый ресурс с целью журналирования событий удаления объектов
2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами
3) Настроить сборщик журналов
#### Настройка аудита удаления объектов
Задание правил аудита для общей папки представлено на рисунках 20-22. Для перехода к настройкам были выполнены команды ПКМ - Security - Advanced - Auditing.
Рисунок 20. Выбор группы пользователей, действия которой нужно логировать
Рисунок 21. Выбор действий, которые нужно логировать
Рисунок 22. Результат настройки логирования
Для тестирования была создана папка folder-for-delete. Генерация событий представлена на рисунке 23.
Рисунок 23. Удаление общей папки
Ключевые события аудита удаления папки представлены на рисунках 24-26 (на DC1).
Рисунок 24. Проверка прав доступа к файлу (4656)
Рисунок 25. Выполнение действия над объектом (4663)
Рисунок 26. Удаление объекта (4660)
### Инфраструктура отправки журналов Windows в SIEM
Общие шаги:
- включить сервис сборщика логов на сервере, куда будут перенаправляться события
- настроить на DC политику отправки логов на коллектор
- применить политику к агентам
- разрешить на компьютерах WinRM
- предоставить УЗ сборщика логов доступ к журналам аудита на агентах
Рисунок 27. Включение сервиса сборщика логов
Рисунок 28. Включение WinRM в GPO (редактирование политики log_delivery)
Рисунок 29. Задание пути до коллектора логов (настройка подписки)
Рисунок 30. Применение политики к PC1
Рисунок 31. Задание правила фаерволла, разрешающего WinRM
Рисунок 32. Созданное правило фаерволла для WinRM
Рисунок 33. Получение дескриптора безопасности журнала PC1
Рисунок 34. Настройка доступа УЗ к журналу Security на PC1
Рисунок 35. Настройка УЗ для сбора логов (добавление администраторов домена в группу Event Log Readers)
После этого необходимо применить политику. Результат применения показан на рисунке 36.
Рисунок 36. Применение политики log_delivery
Создание подписки с инициатором-коллектором приведено на рисунках 37-39.
Рисунок 37. Задание машин для сбора логов
Рисунок 38. Задание собираемых журналов
Рисунок 39. Задание пользователя, от имени которого выполняется подключение
Проверка сбора логов представлена на рисунках 40-42.
Рисунок 40. Проверка соединения с PC1
Рисунок 41. Включение WinRM на PC1
Рисунок 42. Логи, собранные с PC1
### Настройка сборщика логов при компьютерах-инициаторах
Была создана подписка collector-get-dc. Отличие от предыдущего пункта - выбирается второй вариант типа (Source computer initiated). УЗ для подключения не задаётся, т. к. агенты сами подключаются к коллектору. Настройка подписки представлена на рисунках 43-44.
Рисунок 43. Демонстрация параметров подписки
Рисунок 44. Демонстрация работы подписки
Sign in with Wallet
Connect another wallet