Занятие 5. Обмен данными в домене и средства мониторинга Windows
Практическая работа №5.1 Обмен данными в домене
1. Для начала установим роль DFS на ws-en. Перейдём в установку ролей и компонентов. Отметим роли DFS Namespases и DFS Replication. Установим роли. Выполним аналогичную установку на ws-ru.
2. Зайдём в управление DFS. Создадим новый namespace. Укажем сервер, являющийся сервером имён для DFS. Укажем имя создаваемого пространства и перейдём в edit settings. Настроим кастомные права, указав возможность чтения и записи для всех пользователей. Оставим настройки по умолчанию. Создадим пространство имён
3. Создадим папку share. И папки отделов внутри, + папку all_share
4. Каждую эту папку нужно сделать сетевой. Идём в настройки папки (сделаем на примере buhg). Вкладка sharing, пунк advanced sharing. Активируем галочку шаринга, а вконце имени сетевой папки ставим знак . После идём в permissions. Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем. После нажимаем apply. Аналогичные действия нужно сделать для остальных папок, но выдавая права на группы безопасности отделов. Для all_share выдать доступ на read write для группы everyone
5. Теперь создадим папки в DFS. В меню DFS нажмём кнопку "new folder". Укажем имя папки. Добавим target. Теперь по сетевому пути видны сетевые папки
6. Изменим права security у папки Buhg. Нажмём кнопку Edit. Нажмём кнопку Add, чтобы добавить группу Buhg-sec. Дадим права в том числе и на midify. Нужно проделать по аналогии со всем другими папками. Для папки all_share выставить в параметрах доступ для группы everyone (аналогично, в т.ч. и на modify)
Практическая работа №5.2 Средства мониторинга Windows
1. Решим задачу с настройкой логирования удаления файлов с сетевых файловых ресурсов на ws-en. Зайдём в настройки папки share. Security -> Advanced. Зайдём во вкладку Аудит и нажмём Add, чтобы добавить правило аудита. Выберем Principal. Отметим группу Domain Users. Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions. Отметим галочкой оба пункта Delete и нажмём ОК. Правило создано для папки share, а так же всех её вложенных папок и файлов
2. Создадим в папке all_share папку folder-for-delete для тестирования генерации событий. На win10 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share. Проверим журнал безопасности ws-en. Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий в поле фильтра
3. Инфраструктура отправки журналов Windows в SIEM. Включим сервис сборщика логов и подтвердим его автостарт
4. Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery. Найдём пункт включения службы WinRM. Включим службу
5. Найдём пункт настройки менеджера подписок. Активируем его. Настроим путь до логколлектора
6. Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к win10. По умолчанию поиск не происходит среди компьютеров. Изменим это, выберем типы объектов для поиска. Укажем тип объектов. И проведем поиск по имени win10. После удалим группу аутентифицированных пользователей, она не пригодится
7. Найдём меню создания правил брандмауэра и создадим новое правило inbound. Выберем преднастроенное правило для WinRM. Создадим это правило только для доменной и частной сети. Разрешим подключение
8. После применения порт на PC1 откроется и позволит выполнять WinRM команды, с помощью которых собираются логи с windows машин. Теперь нужно донастроить политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор. Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на win10
9. Настроим доступ УЗ до журнала security. Активируем политику и введём параметр channelAccess
10. И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы. Локальная группа - читатели журнала событий. Пользователи - администраторы домена. Применяем-сохраняем
11. Применим на домен
12. Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок и подтвердим автоматическое включение службы. Создадим новую подписку. Назовём её collector-get и отметим ПК, с которых коллектор будет собирать логи. Выберем доменные компьютеры. Выберем WIN10. Нажмём кнопку Test чтобы проверить сетевую связность
13. Зайдём в меню select events и выберем нужные журналы. Зайдём в меню Advanced, укажем для сбора УЗ администратора. Подтвердим настройки, увидим созданую подписку
14. Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду wevtutil set-log security /ca:0:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20) на win10. После чего увидим логи в журнале forwarded events
15. Настройка сборщика логов при компьютерах-инициаторах. На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса
16. На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows
17. На источниках событий следует включить службу WinRM
18. Создать подписку, где инициатором будут компьютеры
Sign in with Wallet
Connect another wallet