# Windows_Basic-Остапенко_Владимир-Практика-5
## Практическая работа №5.1 Обмен данными в домене.
### Задание
1) Настроить инстанс обмена данными
---
### Часть 1. Настройка инстанса обмена данными.
#### Устанавливаю роли DFS Namespases и DFS Replication на dc1
> Установка завершена
> 
#### Проделаю ту же операцию на dc2
#### В DFS Manager создам новый namespace (на dc1)
1) 
2) 
3) 
4) 
5) 
> Успех.
#### Проверяю, что инстанс создан
> 
#### Создаю папку share
#### Внутри создаю следующие папки (в т.ч. папку all_share):
#### Делаю каждую папку сетевой:
> В качестве примера приведена папка Buhg
> Завершено
> 
#### Теперь создам папки в DFS.
#### По сетевому пути доступны все папки => задача выполнена
#### Изменю права security у всех папок, в качестве примера рассмотрю папку Buhg
#### Дополнительное задание настроить репликацию DFS на dc2
1) Аналогично с dc1 создаём и настраиваем папки.
2) Добавляю новое пространство имён и вношу туда все папки
> Проверяю, что папки отображаются в сети
> 
3) Настраиваю репликацию для всех папок. Далее пример для папки HR:
* Выбираю папку, через ПКМ открываю меню "Добавить конечный объект папки..."
* Выбираю соответсвующую папку с dc1
* Соглашаюсь и создаю новую группу
* До этапа "Основной член" оставляю всё без изменений и жму далее. А в данном пункте выбираю основной член репликации - dc1
* Топологию оставляю без изменений
* Оставляю постоянную репликацию
* Проверяю настройки
* Репликация успешно создана
> Повторяю процесс для остальных папок
> 
4) Выполню проверку. Создаю текстовый документ в папке HR на dc1
Через небольшой помежуток времени файл появился и на dc2
Успех!
---
### Заключение
По итогу проделанной работы:
1) Был настроен инстанс обмена данными
+настроена репликацая DFS на dc2
---
## Занятие 5 - Обмен данными в домене и средства мониторинга Windows
# Задание:
1) Настроить файловый ресурс с целью журналирования событий удаления объектов
2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами
3) Настроить сборщик журналов
---
### Часть 2. Управление средствами мониторинга Windows
#### Перейду в меню Advenced в свойствах Security папки share (dc1)
#### Добавлю новое правило аудита, выбераю пункт PrincipalDomain и отмечаю группу Domain Users
#### Выставлю type=all, отмечу галочкой оба пункта Delete
> Правило создано
#### В папке all_share создаю папку folder-for-delete
#### На pc1 от имени пользователя Olga удалю папку folder-for-delete из папки all_share
#### Проверю журнал безопасности dc1
#### Отфильтрую по id событий 4656, 4659, 4660, 4663
#### Из множества событий, нас интересуют следующие:
1) 
2) 
3) 
---
### Часть 3. Инфраструктура отправки журналов Windows в SIEM
#### Включу сервис сборщика логов и подтвердим его автостарт
#### Создадам новую груповую политику - log_delivery
#### Нахожу пункт включения службы WinRM
#### Включу службу
#### Нахожу пункт настройки менеджера подписок
#### Активирую его
#### Настроим путь до логколлектора
#### Применю фильтр безопасности, чтобы политика применилась только к pc1
#### Проведу поиск по имени pc1
#### Удалю группу аутентифицированныхпользователей
#### Найду меню создания правил брандмауэра и создам новое правило inbound
1) 
2) 
3) 
#### Теперь найдём дескриптор безопасности журнала на pc1
> Команда:
``` bash
wevtutil gl security
```
#### Настрою доступ УЗ до журнала security
#### Активирую политику и введу параметр channelAccess
> Значение параметра: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
#### Отдельно добавлю учетную запись, которую в дальнейшем буду использовать для чтения журналов, в группу читателей журнала. Зайду в политику локальных групп и добавлю правило для локальной группы
#### Итог:
#### Применяю на домен
#### Перехожу к настройке приёма логов на коллекторе. Прохожу в event viewer, далее в меню подписок и подтверждаю автоматическое включение службы
> Случайно зашёл сюда ранее, от чего оповещение о подтвержении не появилось вновь -> не смог сделать скриншот
#### Создам новую подписку
#### Назову её collector-get и омечу ПК, с которых коллектор будет собирать логи
#### Проверяю сетевую связность. Успех!
#### В меню select events и выбераю нужные журналы
#### В меню Advanced, указываю для сбора УЗ администратора - admpetr
#### Проверю, нет ли ошибок. Отсутствие ошибок - Успех!
#### Предоставлю доступ сетевой службе до чтения журнала безопасности, выполнив команду на pc1
> Команда:
> ```bash
> wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
> ```
#### После чего появляются логи в журнале forwarded events - Успех!
---
### Часть 4. Настройка сборщика логов при компьютерах-инициаторах
#### На сервере-коллекторе (dc1) выполняю команды winrm qc и wecutil qc
#### На источниках событий включаю службу WinRM
#### Подписка, где инициатором будут компьютеры
---
### Заключение
По итогу проделанной работы:
1) Был настроен файловый ресурс с целью журналирования событий удаления объектов
2) Была настроена отправка журналов с помощью инструментария windows в соответствии с методическими материалами
3) Был настроен сборщик журналов
---
Sign in with Wallet
Connect another wallet