# Win. Практическая работа 5.1 Цель работы - настроить обмен данными внутри сети. 1. Установка необходимых ролей. Чтобы настроить обмен данными нам понадобится установить две роли. Одна роль (DFS Namespaces) создаст пространство имен для сервера, а вторая (DFS Replication) позволит делать репликацию между серверами.  2. Настройка ролей (Tools -> DFS Managment) Namespaces Создаем новое пространство имен и в настроках выбираем нужный сервер, даем ему имя и настраиваем права доступа к этому пространству имен  Тип пространства имен оставляем по умолчанию - Domain based. 3. Создаем сетевые папки (sharing) Для нашей работы создаем стурктуру папок на диске C:\\ как показано на фото.  ... и выдадим им права для папки 4-all  для папки buh и HR в конце названия добавляем $ (buh$ и HR$) чтобы скрыть папку от посторонних. Права у Domain Admins на эти папки - Full Control, чтобы администраторы имели полный доступ к этим папкам.  5. Создаем папки в DFS Managment Теперь, в меню DFS нажмём кнопку new folder и создадим папку с любым именем, которое мы хотим, чтобы видели пользователи. Тут же, зададим таргет. Т.е. свяжем нашу созданную папку с реальной папкой на сервере. Например, создаем папку Temp и связываем ее с папкой 4-all  7. Устанавливаем права безопасности на папки Чтобы другие пользователи одной и той же группы имели равные права на созданный кем-то из членов группы файл, зададим права безопасности. ПКМ > Properties > Security > Edit Задаем права уровня Modify для членов группы, а администраторам - Full control   Настройка сетевых папок закончена. 9. Выводы Роль DFS на сервере позволяет создавать общие сетевые ресурсы, не требующие обращения по физическому пути, с произвольнымыми (отличными от "настоящих") именами, а также позволяет реплицировать необходимые ресурсы. На фото ниже приведен пример пути физического расположения ресурса, и как этот путь видит пользователь.  ## Практическая работа 5.2 Цель работы - настройка журналирования файлового ресурса. На прошлом занятии мы уже включили *возможность* журналирования ресурсов. Теперь надо вручную указать настройки для нужных нам папок, чтобы включить аудит. 1. Настройка файлового ресурса Чтобы включить логирование используем Свойства>Безопасность>Аудит>Добавить нужной папки. Укажем следующие параметры: Principal: Domain Users - будем логировать их действия Type: All Applies to: к выбранной папке и все подпапкам и файлам Advanced permission: добавим удаление и удаление подпапок и файлов  2. Тестируем удаление объектов из зоны аудита Создадим несколько файлов и папок внутри папки Shares, после чего, удалим их используя авторизацию пользователем на Win10. Далее, используя оснастку сервера Event Viewer просмотрим список событий в журнале Security. Все события не нужны, используем фильтр по ID события 4660,4663,4656,4659. По этим типам событий мы можем определить, были ли проведены операции над объектом, какие операции, кем проделаны и были ли предоставлены соответствующие доступы.  > Связать пользователя и операцию в разных событиях помогает ***Handle ID*** - номер непрерывно выполняемого действия. Таким образом мы достоверно можем определить, кто и что удалил из нужной папки. 3. Настройка (лог-коллектора) отправки журналов с помощью инструментария windows Лог-коллектор создаем на базе dc1, но исключительно в рамках этой работы. В реальности, сбором логов должна заниматься отдельная машина. Сначала запускаем сервис сборщика логов (через коммандную строку - wecutil qc) и включаем в нем Delay-Start. Создадим и настроим групповую политику lod_delivery со следующими параметрами: Security Filtering: pc1 ПКМ > Edit... Computer Configuration/Policies/Windows Setting/Security Setting/System Services -> Windows Remote Managment Select service startup mode: Automatic Активируем менеджер подписок Computer Configuration/Policies/Administrative Templates:/Windows Components/Event Forwarding -> Configure target Subscription Manager Enabled Show.../Value : Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=10  Теперь нужно разрешить брандмауэру использовать порт 5985. Computer Configuration/Policies/Windows Setting/Security Setting/Windows Firewall …/Windows Firewall …/Inbound Rules Создаем новое правило, выбирая из предустановленных правил - `Windows Remote Managment` Профиль Public лучше не использовать - для нас он не целевой.  > Чтобы корректно получать все события, нужно правильно указать права доступа к журналу безопасности на pc1. Ведь мы будем заходить с dc1, с его правами. Поэтому, надо в нетворк-сервисе dc1 прописать SID от журнала безопасности с pc1. Реализуем: Узнаем channelAccess журнала безопасности. На устройстве, с которого будем собирать логи(Win10) выполним команду:  Далее, настроим учетную запись до журнала безопасности: Computer Configuration/Policies/Administrative Templates:…/Windows Components/Event Log Service/Security -> Configure Log Access -> Log Access вставляем наше значение channelAccess в которое добавляем (A;;0x1;;;S-1-5-20). Это и есть SID нетворк-сервиса. Проверить настройки можно (и нужно) на pc1 введя команды gpupdate и gpresult /R  3. Настраиваем сборщик журналов > В SIEM правильная настройка сборки журналов - это когда аудируемые компьютеры сами инициируют отправку журналов в коллектор. В Event Viewer создаем новую подписку. Назовем ее, выберем компьютер (pc1) который будет инициировать соединение и сразу протестируем это соединение. Если все, что мы делали ранее, сделано правильно, то соединение будет успешным.  Еще надо выбрать отсылаемые журналы и типы событий  ... а также учетную запись для сбора информации.  Либо другой вариант, когда мы настраиваем групповую политику добавляя пользователя по пути: Computer Configuration/Preferences/Control Panel Setting/Local User and Groups  > В реальной среде должна существовать отдельная запись для сбора логов, права которой должны быть расширены с помощью групповой политики на все журналы, всех компьютеров. Последний штрих. Изменим свойства журналов так, чтобы старые журналы не затирались новыми, а архивировались.  Осталось проверить, есть ли соединение, приходят ли журналы. Жмем ПКМ на нашей подписке и выбираем Runtime Status. Все в порядке.  Все работает, работа выполнена!