# Гришанов Матвей Сергеевич -- Windows Basic Практическая работа 5. Обмен данными в домене и средства мониторинга Windows [toc] ## Практическая работа 5.1 Обмен данными в домене ### 1) Настройка инстанса обмена данными 1.1 Сначала необходимо установить роль **DFS** на **dc1**. Переходим в установку ролей и компонентов.  --- 1.2 Отмечаем роли **DFS Namespaces** и **DFS Replication**.  --- 1.3 Устанавливаем роли.  --- 1.4 Выполняем аналогичную установку **DFS** на **dc2**.  --- 1.5 Заходим в управление **DFS** и создаём новый **namespace**. Указываем сервер, являющийся сервером имён для **DFS**. Это будет наш **dc1**.  --- 1.6 Далее указываем имя создаваемого пространства и переходим в ==**Edit Settings**==.  --- 1.7 Настраиваем кастомные права, указывая возможность чтения и записи для всех пользователей.  --- 1.8 Оставляем найстройки по умолчанию (==**Domain-based namespace**==).  --- 1.9 Создаём пространство имён.  :::success :star: Пространство имён успешно создано! ::: --- 1.10 Пространство доступно в проводнике.  :::info :information_source: DFS работает таким образом, что абстрагирует пользователя от прямого пути до папки. Для начала создадим обычные сетевые папки, а потом соотнесём их с DFS путями. ::: --- 1.11 Создаём каталог share и папки отделов внутри, + папку all_share.   --- 1.12 Каждую из созданных папок необходимо сделать сетевой. На примере папки Buhg заходим в её свойства.  --- 1.13 Открываем вкладку "Sharing", пункт "Advanced Sharing...". Активируем галочку "Share this folder", вводим "Share name" и в конце имени ставим знак 💲. После переходим в "Permissions". :::info :information_source: Знак доллара нужен, чтобы скрыть папку от посторонних :::  --- 1.14 Выставляем права на чтение и запись для **Buhg-sec** (права -- ==change==, ==read==) и **Domain Admins** (права -- ==full control==), а группу **Everyone** удаляем. После нажимаем ==Apply==.   --- :::info :information_source: Аналогичные действия нужно сделать для остальных папок, но выдавая права на группы безопасности отделов (папке HR -- группу HR-sec на чтение запись и т.п.). Для all_share выдать доступ на read write для группы Everyone. ::: **HR**  **Progr**  **Sysadmins**  **VIP**  **all_share** Вот так будет выглядеть настройка **all_share**. 💲 ставить не обязательно, всё равно группа Everyone увидит ресурс.  --- 1.15 После создания папок они отобразятся в сетевом пути до dc1.Теперь создаём папки в DFS. В меню нажимаем кнопку "New Folder".  --- 1.16 Указываем имя папки (именно с таким именем она отобразится в dfs-пути) и добавляем target. Имеется ввиду то, что мы по сути создаем всего лишь ярлык, который будет ссылаться на папку, которую мы укажем в target.  --- 1.17 Теперь по сетевому пути видны сетевые папки.  --- :::info :information_source: У пользователей ещё нет прав на уровне NTFS на редактирование файлов в них. Если пользователь из группы Buhg-sec расположит в папке Buhg файл, то пользователь будет являться его владельцем и сможет сделать с файлом всё, что захочет. Но вот другие пользователи группы Buhg-sec не смогут проводить операции с файлом. ::: 1.18 Изменяем права Security у папки Buhg. Нажимаем кнопку Edit.  --- 1.19 Нажимаем кнопку Add, чтобы добавить группу Buhg-sec и даём дополнительные права на modify.  --- :::info :information_source: Проделываем по аналогии со всем другими папками. Для папки all_share выставить в параметрах доступ для группы everyone (аналогично, в т.ч. и на modify). ::: **all_share**  **HR**  **Progr**  **Sysadmins**  **VIP**  --- ### 2) Дополнительное самостоятельное задание. Репликация (Резервная группа) 1.20 На dc2 создаём каталог резервных папок.  --- 1.21 Используя dc1, создаём target в DFS Management (в меню конкретной папки, для которой вы хотите применить репликацию). После этого создаём Replication Group для этой же папки с помощью Replicate Folder Wizard.  1.22 Оставляем все настройки по умолчанию до пункта Primary Member -- в нём выбираем dc1 (машину-хост).   --- 1.23 Далее во всех пункта также оставляем настройки по умолчанию.     :::success :star: Репликация каталога создана успешно! ::: --- 1.24 Резервные каталоги созданы для всё основных каталогов.  --- ## Практическая работа 5.2 Средства мониторинга Windows ### 1) Настройка файлового ресурса с целью журналирования событий удаления объектов 2.1 Заходим в настройки папки share :::info :information_source: Путь: Security-->Advanced :::  --- 2.2 Заходим во вкладку Auditing и нажимаем Add, чтобы добавить правило аудита. Выбираем в появившемся меню Principal -- это объект, действия которого нужно логировать.  --- 2.3 Отмечаем группу Domain Users  --- 2.4 Выставляем Type = All, чтобы мониторить как успех, так и отказ. Нажимаем на кнопку Show advanced permissions.  --- 2.5 Отмечаем галочками пункты **Delete subfolders and files** и **Delete**.  --- 2.6 Применяем правило. Оно будет действовать для папки share, а также для всех её вложенных папок и файлов.  --- :::info :information_source: Для тестирования событий создаём папку folder-for-delete в папке all_share на машине dc1. :::  --- 2.7 Заходим на PC1 от имени пользователя Olga.  --- 2.8 Удаляем папку, которую мы создали на машине dc1.  --- 2.9 Проверяем журнал безопасности dc1.  --- 2.10 В журнале много событий, так что нужно их отфильтровать. Заходим в меню "Filter Current Log" и введём интересующие нас ID событий (4656,4659,4660,4663) в поле фильтра.  :::info :information_source: При удалении файла создается набор событий. :information_source: Сначала идёт 4656 -- запрос дескриптора объекта. Это проверка прав доступа к файлу. Это событие показывает, что доступ был запрошен и результаты запроса, но не показывает, что операция была выполнена. :information_source: Затем 4663 -- это событие указывает на то, что над объектом была выполнена определенная операция. Основное отличие от 4656 является то, что 4663 показывает, что право доступа было использовано вместо только что запрошенного, и 4663 не имеет событий отказа. :information_source: После идёт 4660 -- это событие генерируется при удалении объекта. Оно не содержит имени удаляемого объекта, а только handle id. 4659 понадобилось бы, если бы в папке находились файлы. Событие с кодом 4659 регистрируется, когда дескриптор объекта запрашивается с целью его удаления. :information_source: События можно связать по handle id -- если у нескольких событий он одинаков, то это значит, что события относятся к одному объекту. ::: --- 2.11 Список из трёх событий, которые нас интересуют. **4656**  **4660**  **4663**  --- ## Инфраструктура отправки журналов Windows в SIEM ### 2) Настройка отправки журналов с помощью инструментария Windows. 2.12 Включаем сервис сборщика логов и подтверждаем его автостарт.  --- 2.13 Настраиваем политику отправки журналов на logcollector. Заходим в редактор групповой политики и создаем новую, log_delivery.  --- 2.14 Находим пункт включения службы WinRM. :::info :information_source: Путь: Configuration/Policies/Windows Setting/Security Setting/System Services :::  --- 2.15 Включаем службу.  --- 2.16 Находим пункт настройки менеджера подписок. :::info :information_source: Путь: Configuration/Policies/Administrative Templates:…/Windows Components/Event Forwarding :::  --- 2.17 Активируем этот пункт.  --- 2.18 Настраиваем путь до логколлектора. :::info :information_source: Путь до логколлектора: Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=60 :::  --- 2.19 Сохраняем и закрываем меню редактирования политики. Применяем фильтр безопасности, чтобы политика применилась только к PC1.  --- 2.20 По умолчанию поиск не работает среди компьютеров. Изменяем это, выбрав типы объектов для поиска.  --- 2.21 Указываем тип объектов -- компьютеры.  --- 2.22 Проводим поиск по имени PC1.  --- 2.23 Удаляем группу аутентифицированных пользователей.  :::info :information_source: Для управления компьютерами в домене с помощью WinRM нужно, чтобы брандмауэр windows разрешал подобные подключения. Изменим политику сбора логов так, чтобы правило было прописано на pc1. ::: --- 2.24 Находим меню создания правил брандмауэра и создаём новое правило Inbound. :::info :information_source: Путь до настройки: Configuration/Policies/Windows Setting/Security Setting/Windows Firewall …/Windows Firewall …/Inbound rules :::  --- 2.25 Выбираем преднастроенное правило для WinRM.  --- 2.26 Создём это правило только для доменной и частной сети (снимаем галочку с Public).  --- 2.27 Разрешаем подключение. :::info :information_source: После применения порт на PC1 откроется и позволит выполнять WinRM команды, с помощью которых собираются логи с windows машин. :information_source: Теперь нужно донастроить политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор. :::  --- 2.28 Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на PC1. :::info :information_source: Используем команду:`wevtutil gl security` :::  --- 2.29 Настраиваем доступ УЗ до журнала Security. :::info :information_source: Путь до настройки: Computer Configuration/Policies/Administrative Templates:…/Windows Components/Event Log Service/Security :::  --- 2.30 Активируем политику и введём параметр channelAccess. :::info :information_source: Параметр: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) :information_source: Дополнительный параметр: (A;;0x1;;;S-1-5-20) -- для чтения журнала security службой network. :::  --- 2.31 Отдельно добавляем учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Заходим в политику локальных групп и добавляем правило для локальной группы. :::info :information_source: Путь до настройки: Computer Configuration/Preferences/Control Panel Setting/Local User and Groups :::  --- 2.32 Локальная группа -- читатели журнала событий. Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий).  --- 2.33 Применяем -- сохраняем.  --- 2.34 Применяем на домен.   --- 2.35 Настраиваем приём логов на коллекторе. Пройдя в Event Viewer, зайдём в меню подписок и подтвердим автоматическое включение службы.  --- 2.36 Создаём новую подписку.  --- 2.37 Называем её collector-get и отмечаем ПК, с которых коллектор будет собирать логи (Select Computers...). Выбираем доменные компьютеры. Выбираем PC1.  --- 2.38 Нажимаем кнопку Test, чтобы проверить сетевую связность.  :::warning :warning: В случае ошибки проверяйте параметры брандмауэра и применилась ли политика. ::: --- 2.39 Если возникают проблемы с настройкой брандмауэра через GPO, тогда заходим на PC1 и в CMD, запущенной от имени администратора, применяем команду ==`winrm qc`==.  --- 2.40 Заходим в меню Select Events и выбираем нужные журналы.  --- 2.41 Заходим в меню Advanced, указываем для сбора УЗ администратора.  --- 2.42 Подтверждаем настройки и видим созданую подписку. Проверяем, нет ли ошибок. Нам нужно меню ==Runtime Status==.  --- :::success :star: Ошибки отсутствуют! :::  --- 2.43 Даём доступ сетевой службе для чтения журнала безопасности, выполним команду на **PC1**. :::info :information_source: Используем команду: `wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)` :information_source: Мы выдаём доступ NTAUTHORITY\NETWORKSERVICE (SID S-1-5-20) до журнала **Security**. :::  --- 2.44 Появились логи в журнале **Forwarded events**. :::warning :warning: Это может произойти не сразу, так что придётся подождать. :::  :::success :star: Логи успешно появились. ::: --- ## Настройка сборщика логов при компьютерах-инициаторах ### 3) Настройка сборщика журналов 2.45 На сервере-коллекторе выполняем команду ==`winrm qc`== и понимаем, что служба уже запущена.  --- 2.46 Включаем службу сборщика событий.  --- 2.47 На источнике также включаем службу WinRM.  --- 2.48 Создаём подписку, где инициаторами будут компьютеры. Первым делом указываем Events.  --- 2.49 Далее указываем компьютер и применяем подписку.  --- :::success :star: Подписка успешно работает! :::