###### tags: `Windows` # Windows_Basic-Горбаконь_Кирилл-Практика-5 ## *Обмен данными в домене и средства мониторинга Windows* ### Часть 1. Настройка инстанса обмена данными. * Перехожу в установку ролей и компонентов. Отмечаю роли DFS Namespases и DFS Replication.  * Установка выполнена.  * Те же шаги для dc2.   --- * Захожу в управление DFS. Создаю новый namespace.  * Указываю имя создаваемого пространства.  * Настраиваю кастомные права, указав возможность чтения и записи для всех пользователей.  * Пространство имен успешно создано.  * Проверка: инстанс создан.  --- * Создаю папку share.  * И папки отделов внутри.  * Делаю каждую папку сетевой(для примера показана настройка папки Buhg).     * Настройка папки all_share.   * Теперь создаю папки в DFS(для примера папка Buhg).  * По сетевому пути видны сетевые папки.  * Изменяю права доступа у всех папок(для примера папка Buhg).  --- ### Часть 2. Управление средствами мониторинга Windows. * Захожу в настройки папки share.  * Добавляю правило аудита.  * Правило создано.  * Создаю в папке all_share папку folder-for-delete для тестирования генерации событий.  * На pc1 от имени пользователя Olga пробую удалить папку folder-for-delete из папки all_share.  * Проверяю журнал безопасности dc1, фильтрую события.  * Нахожу искомые события.    --- ### Часть 3. Инфраструктура отправки журналов Windows в SIEM. * Включаю сервис сборщика логов и подтверждаю его автостарт.  * Настраиваю политику отправки журналов на logcollector. Захожу в редактор групповой политики и создаю новую, log_delivery.  * Нахожу пункт включения службы WinRM. Включаю службу.  * Нахожу пункт настройки менеджера подписок. Активирую его.  * Настраиваю путь до логколлектора.  * Сохраняю и закрываю меню редактирование политики. Применяю фильтр безопасности, чтобы политика применилась только к pc1. Выбераю тип объектов для поиска - компьютеры.  * Провожу поиск по имени pc1.  * Удаляю группу аутентифицированных пользователей.  * Нахожу меню создания правил брандмауэра и создаю новое правило inbound. Выбираю преднастроенное правило для WinRM.  * Создаю это правило только для доменной и частной сети (снимаю галочку с public). Разрешаю подключение.  * Нахожу дескриптор безопасности журнала на pc1.  * Настраиваю доступ УЗ до журнала security. Активирую политику и ввожу параметр channelAccess.  * Захожу в политику локальных групп и добавляю правило для локальной группы. Применяю его.  * Применяю на домен.  * Создаю новую подписку.  * Называю её collector-get.  * Выбираю доменный компьютер - PC1.  * Нажимаю кнопку Test, возникла ошибка. На PC1 в CMD, запущенной от имени администратора, применяю команду.  * Теперь все работает корректно.  * Захожу в меню select events и выбираю нужные журналы.  * Захожу в меню Advanced, указываю для сбора УЗ администратора.  * Подтверждаю настройки, появляется созданная подписка. Проверяю, нет ли ошибок.  * Даю доступ сетевой службе до чтения журнала безопасности, выполняю команду на pc1.  * После чего появились логи в журнале forwarded events.  --- ### Часть 4. Настройка сборщика логов при компьютерах-инициаторах. * На сервере-коллекторе выполняю команду winrm qc.  * На сервере-коллекторе выполняю команду wecutil qc, соглашаюсь на включение службы сборщика событий Windows.  * На источниках событий включаю службу WinRM.  * Создаю подписку, где инициатором будут компьютеры.