Практическая работа №5

Практическая работа №5 == Практическая работа №5.1 == # Часть 1. Настройка инстанса обмена данными. Добавляем роли DFS Namespases и DFS Replication: ![](https://i.imgur.com/kTQlV07.png) Установка закончена: ![](https://i.imgur.com/pZhCvj8.png) Также на сервере dc2: ![](https://i.imgur.com/5G1phhp.png) Создаем новый namespace, указываем сервер имен DFS: ![](https://i.imgur.com/pb1661I.png) Укажем имя пространства: ![](https://i.imgur.com/UerzHCr.png) Дадим всем права на чтение и запись: ![](https://i.imgur.com/aGzp6oy.png) Успешно создано: ![](https://i.imgur.com/Ivm9DEF.png) Доступно в проводнике: ![](https://i.imgur.com/9s3Xhk8.png) Создаем нужные папочки: ![](https://i.imgur.com/RqjEENE.png) Выдаем нужные права на Buhg: ![](https://i.imgur.com/ljKbkDF.png) Для остальные папок проделываем аналогично - для группы безопасности Read&Change, для группы domain admins - Full control Настройки all_share: ![](https://i.imgur.com/yMe9N4k.png) Настройки HR: ![](https://i.imgur.com/IyibA63.png) Настройки Progr: ![](https://i.imgur.com/6eQ0aDw.png) Настройки для Sysadmins: ![](https://i.imgur.com/MHs2kpI.png) Настройки для VIP: ![](https://i.imgur.com/nQxGnuc.png) Добавляем общие папки в DFS: ![](https://i.imgur.com/9DyXMLy.png) Получится так, все папки видны в сети: ![](https://i.imgur.com/zQl44YJ.png) Выдадем buhg-sec права на папку Buhg: ![](https://i.imgur.com/gA94NWH.png) Далее выдаем права для соответствующих групп и на другие папки согласно заданию # Дополнительное задание. Репликация На dc2 создаем точно такую жу структуру папок: ![](https://i.imgur.com/V524XYG.png) Далее делаем их общими, права доступа к ним НЕ меняем НЕ создаем на dc2 никакого пространства имен и ничего туда не добавляем На dc1 в DFS managment в меню конкретной папки выбираем Add Folder Target: ![](https://i.imgur.com/veaAfjW.png) Указываем нужную папку на dc2: ![](https://i.imgur.com/7sotV9m.png) Соглашаемся на создание группы репликации: ![](https://i.imgur.com/RxrQ3Vy.png) Указываем имя группы и папки: ![](https://i.imgur.com/1j5mnXN.png) Указываем dc1 как первичный сервер: ![](https://i.imgur.com/4Yf2brx.png) Выбираем топологию: ![](https://i.imgur.com/UIcHK9P.png) Указываем параметры репликации: ![](https://i.imgur.com/0CxI6DI.png) Создание успешно: ![](https://i.imgur.com/H8XdFUn.png) Папки отображаются на вкладке Replecation: ![](https://i.imgur.com/eCuK3rl.png) Аналогично проделываем для каждой соответствующей пары папок на dc1 и dc2: ![](https://i.imgur.com/5bMZIDg.png) Практическая работа №5.2 == # Часть 2. Управление средствами мониторинга Windows Создаем правило аудита для папки share: ![](https://i.imgur.com/LgQzd7c.png) Оно не наследовалось подпапками (и событий тоже не было): ![](https://i.imgur.com/tiKnza3.png) После нажатия Enable Inheritance все окей: ![](https://i.imgur.com/x7xV4JR.png) После удаления папки отфильтруем события: ![](https://i.imgur.com/nV2dBrJ.png) Увидим три события с нужными ID: ![](https://i.imgur.com/wEJkhjO.png) Событие проверки прав: ![](https://i.imgur.com/xsZyN5S.png) Событие удаления (осуществления доступа): ![](https://i.imgur.com/ImNhbxK.png) Событие аудита, handleID совпадает: ![](https://i.imgur.com/XC2D0El.png) # Часть 3. Инфраструктура отправки журналов Windows в SIEM Включаем сервис сборщика логов: ![](https://i.imgur.com/2jdT5zw.png) Создадим новую групповую политику: ![](https://i.imgur.com/VsC9bvT.png) Вклюючим WinRM: ![](https://i.imgur.com/StFUkrJ.png) Настроим путь до логколлектора: ![](https://i.imgur.com/840MHgK.png) Зададим фильтр безопасности: ![](https://i.imgur.com/u4Kp2WK.png) Создадим правило для брандмауэра: ![](https://i.imgur.com/zbMrKmD.png) Правило только для доменной и частной сети: ![](https://i.imgur.com/CxkV1fL.png) Разрешаем подключение: ![](https://i.imgur.com/Chcj8wY.png) Посмотрим дескриптор безопасности журнала на pc1: ![](https://i.imgur.com/8B2APer.png) Дескриптор: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) Настроим доступ к журналу: ![](https://i.imgur.com/LMLE855.png) Добавим администраторов домена в группу Event Log Readers: ![](https://i.imgur.com/s47f7Kr.png) Применяем политику к домену: ![](https://i.imgur.com/54zyTfB.png) Применяем групповую политику на PC1: ![](https://i.imgur.com/x5McmbS.png) После подключаем его в подписках: ![](https://i.imgur.com/fLd9GfG.png) Укажем нужные журналы: ![](https://i.imgur.com/Iz3gNIQ.png) Укажем ADMPetr как УЗ для сбора логов: ![](https://i.imgur.com/9tmT0G5.png) Ошибок в runtime status нет: ![](https://i.imgur.com/lpZK4Ij.png) Дадим доступ сетевой службе на чтение журналов: ![](https://i.imgur.com/58qxcqH.png) На Win10 зайдем под другим пользователем и увидим логи: ![](https://i.imgur.com/kXW1TqA.png) # Часть 4. Настройка сборщика логов при компьютерах-инициаторах На dc1 winRM уже работает: ![](https://i.imgur.com/wtk6c7F.png) Включаем службу сборщика событий: ![](https://i.imgur.com/DfScvPp.png) Служба winRM на pc1 уже включена групповой политикой Создаем подписку в режиме Source Computer Initiated: ![](https://i.imgur.com/J4y9oFx.png) Указываем компьютер-источник: ![](https://i.imgur.com/4gDtYN6.png) Указываем нужные логи: ![](https://i.imgur.com/CFTLHPB.png) Ошибок нет: ![](https://i.imgur.com/wmAp8R2.png) Пока отключим первую подписку, чтобы проверить работу второй: ![](https://i.imgur.com/8udtwCg.png) Было после отключения первой подписки: ![](https://i.imgur.com/0lBGcGJ.png) Через некоторое время логи возобновляются: ![](https://i.imgur.com/xPnwonm.png)