###### tags: `Windows` # Отчет по заданиям к практической работе №5. Обмен данными в домене и средства мониторинга Windows: ## Практическая работа №5.1. Обмен данными в домене. ### 1) Настроить инстанс обмена данными. + Windows Server 2016 (EN-локализация). | 1. Установим роль `DFS` на `DC1`. Отметим роли `DFS Namespases` и `DFS Replication`. | | :-----------------------------------------: | | | | 2. Роли установлены.| | :-----------------------------------------: | | | + Windows Server 2016 (RU-локализация). | 1. Установим роль `DFS` на `DC2`. Отметим роли `Пространство имен DFS` и `Репликация DFS`. | | :-----------------------------------------: | | | | 2. Роли установлены.| | :-----------------------------------------: | | | + Вернемся на машину DC1. | 1. Зайдём в управление DFS`(DFS Management)` и создадим новый `namespace`.| | :-----------------------------------------: | | | | 2. Укажем имя создаваемого пространства и перейдём в `Edit settings`.| | :-----------------------------------------: | | | | 3. Настроим кастомные права`(Use custom permissions - Customize)`, указав возможность чтения и записи для всех пользователей `(Change,Read)`.| | :-----------------------------------------: | | | | 4. Успешно завершаем создание пространства имен.| | :-----------------------------------------: | | | | 5. Можно проверить, что инстанс создан, пройдя по пути.| | :-----------------------------------------: | | | | `DFS работает таким образом, что абстрагирует пользователя от прямого пути до папки. Для начала создадим обычные сетевые папки, а потом соотнесём их с DFS путями.` | | 6. Создадим папку `share` и папки отделов внутри `(Buhg, HR, Progr, Sysadmins, VIP)` + папку `all_share`.| | :-----------------------------------------: | | | | 7. Каждую из этих папок нужно сделать сетевой. Идём в настройки папки (сделаем на примере `buhg`).| | :-----------------------------------------: | | | | `Вкладка sharing, пунк advanced sharing` | | 8. Активируем галочку шаринга `(Share this folder)`, а в конце имени сетевой папки ставим знак `$`. После идём в `Permissions`.| | :-----------------------------------------: | | | | `Знак доллара нужен, чтобы скрыть папку от посторонних` | | 9. Выставляем права на чтение и запись для `Buhg-sec` `(Change, Read)` и полный доступ для `Domain admins` `(Full Control)`, а группу `Everyone` удаляем. После нажимаем `Apply`.| | :-----------------------------------------: | | | | 10. Нам покажут относительный `DC1` путь до папки по сети. Закрываем меню.| | :-----------------------------------------: | | | | 11. Аналогичные действия для остальных папок, но выдавая права на группы безопасности отделов (папке `HR` - группу `HR-sec` на чтение запись и т.п.). Для `all_shar` выдаем доступ на чтение и запись `(read, change)` для группы `Everyone`.| | :-----------------------------------------: | | | | | | | | | | | | 12. После создания папок они отобразятся в сетевом пути до `DC1`, но мы преследуем другую цель. Теперь создадим папки в `DFS`. В меню `DFS` нажмём кнопку `New folder`.| | :-----------------------------------------: | | | | 13. Укажем имя папки `Buhg` (именно с этим именем она отобразится в `DFC-пути`).| | :-----------------------------------------: | | | | 14. Добавим `target`. Мы создаем ярлык, который будет ссылаться на папку, которую мы укажем в `target`.| | :-----------------------------------------: | | | | 15. Сетевой путь до папки отобразился, можно подтверждать и применять настройки.| | :-----------------------------------------: | | | | 16. Аналогичные действия для остальных папок.| | :-----------------------------------------: | | | | | | | | | | | | 17. Теперь по сетевому пути видны сетевые папки.| | :-----------------------------------------: | | | | `У пользователей ещё нет прав на уровне NTFS на редактирование файлов в них. Если пользователь из группы Buhg-sec расположит в папке Buhg файл, то пользователь будет являться его владельцем и сможет сделать с файлом всё, что захочет. Но вот другие пользователи группы Buhg-sec не смогут проводить операции с файлом.` | | 18. Изменим права `Security` у папки `Buhg`. Нажмём кнопку `Edit`.| | :-----------------------------------------: | | | | 19. Нажмём кнопку `Add`, чтобы добавить группу `Buhg-sec`. Дадим права, в том числе и на `Modify`.| | :-----------------------------------------: | | | | 20. Аналогичные действия для остальных папок. Для папки `all_share` выставим в параметрах доступ для группы `Everyone` (аналогично, в т.ч. и на `Modify`)| | :-----------------------------------------: | | | | | | | | | | | ## Практическая работа №5.2. Средства мониторинга Windows. ### 1) Настроить файловый ресурс с целью журналирования событий удаления объектов. | 1. Решим задачу с настройкой логирования удаления файлов с сетевых файловых ресурсов на `DC1`.| | :-----------------------------------------: | | 2. Зайдём в настройки папки `share` `(Security -> Advanced)`.| | :-----------------------------------------: | | | | 3. Зайдём во вкладку `Auditing` и нажмём `Add`, чтобы добавить правило аудита.| | :-----------------------------------------: | | | | `Ранее мы настроили политику, позволяющую логировать операции с файлами. Но по умолчанию все папки и файлы не будут подвержены аудиту, поэтому нужно настроить правила вручную.` | | 4. Выберем `Principal - Select a principal` - это объект, действия которого нужно логировать. Отметим группу `Domain Users`.| | :-----------------------------------------: | | | | 5. Выставим `Type - All`, чтобы мониторить как успех, так и отказ. Нажмём кнопку `Show advanced permissions` и отметим галочкой оба пункта Delete`(Delete subfolders and files, Delete)`.| | :-----------------------------------------: | | | | 6. Правило создано для папки `share`, а так же всех её вложенных папок и файлов.| | :-----------------------------------------: | | | | 7. Создадим в папке `all_share` папку `folder-for-delete` для тестирования генерации событий.| | :-----------------------------------------: | | | | 8. На `PC1` от имени пользователя `Olga` попробуем удалить папку `folder-for-delete` из папки `all_share`. | | :-----------------------------------------: | | | | 9. Проверим журнал безопасности `DC1`. | | :-----------------------------------------: | | | | 10. Событий много, отфильтруем их. Зайдём в меню `Filter Current Log` и введём интересующие нас `ID` событий `(4656, 4659, 4660, 4663)` в поле фильтра. | | :-----------------------------------------: | | | | `При удалении файла создается набор событий.` | | `Сначала идёт 4656 - запрос дескриптора объекта. Это проверка прав доступа к файлу. Это событие показывает, что доступ был запрошен и результаты запроса, но не показывает, что операция была выполнена.` | | `Затем 4663 - это событие указывает на то, что над объектом была выполнена определенная операция. Основное отличие от 4656 является то, что 4663 показывает, что право доступа было использовано вместо только что запрошенного, и 4663 не имеет событий отказа.` | | `После идёт 4660 - это событие генерируется при удалении объекта. Оно не содержит имени удаляемого объекта, а только Handle ID.` | | `4659 понадобилось бы, если бы в папке находились файлы. Событие с кодом 4659 регистрируется, когда дескриптор объекта запрашивается с целью его удаления.` | `События можно связать по Handle ID - если у нескольких событий он одинаков, то это значит, что события относятся к одному объекту.` | | 11. По итогу видим много подряд идущих событий, из которых 3 явно нас интересуют. | | :-----------------------------------------: | | | | | | | ### 2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами. | 1. Включим сервис сборщика логов и подтвердим его автостарт.| | :-----------------------------------------: | | | |`wecutil qc` | | 2. Настроим политику отправки журналов на `logcollector`. Зайдём в редактор групповой политики и создадим новую, `log_delivery`.| | :-----------------------------------------: | | | | 3. Найдём пункт включения службы WinRM.| | :-----------------------------------------: | | | | 4. Включим службу `(Define this policy settings - Automatic)`.| | :-----------------------------------------: | | | | 5. Найдём пункт настройки менеджера подписок.| | :-----------------------------------------: | | | | `Путь: Policies - Administrative Templates - Windows Components - Event Forwarding`| | 6. Настроим путь до логколлектора. Для примера используется `FQDN DC1`. Если ввести `IP` адрес - не будет работать инициализация со стороны клиента.| | :-----------------------------------------: | | | | `Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=60` | | 7. Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к `PC1`, удалим группу аутентифицированных пользователей, она не пригодится.| | :-----------------------------------------: | | | | `Для управления компьютерами в домене с помощью WinRM нужно, чтобы брандмауэр Windows разрешал подобные подключения. Изменим политику сбора логов так, чтобы правило было прописано на PC1.` | | 8. Найдём меню создания правил брандмауэра и создадим новое правило `Inbound`. | | :-----------------------------------------: | | | | 9. Выберем преднастроенное правило для `WinRM`. | | :-----------------------------------------: | | | | 10. Создадим это правило только для доменной и частной сети `(снимем галочку с Profile - Public)`. | | :-----------------------------------------: | | | | 11. Разрешим подключение. | | :-----------------------------------------: | | | | `После применения порт на PC1 откроется и позволит выполнять WinRM команды, с помощью которых собираются логи с Windows-машин.` | |`Теперь нужно донастроить политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор.` | | 12. Для настройки политики нам понадобится дескриптор безопасности журнала. Найдём его на `PC1`. | | :-----------------------------------------: | | | | `hostname, wevtutil gl security` | | 13. Настроим доступ УЗ до журнала `Security`. | | :-----------------------------------------: | | | | 14. Активируем политику и введём параметр `channelAccess`. | | :-----------------------------------------: | | | |`В примере указан доп параметр (A;;0x1;;;S-1-5-20) - для чтения журнала security службой network. `| |`Итоговый channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)`| | 15. И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы. | | :-----------------------------------------: | | | | 16. `Group Name - Event Log Readers(built-in)`. `Members - Domain Administrators` (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий). | | :-----------------------------------------: | | | | 17. Cохраняем итог. | | :-----------------------------------------: | | | | 18. Применим на домен. | | :-----------------------------------------: | | | | 19. Настроим приём логов на коллекторе. Пройдя в `Event viewer`, зайдём в меню `Subscriptions` и создадим новую подписку. | | :-----------------------------------------: | | | | 20. Назовём её `collector-get` и отметим ПК, с которых коллектор будет собирать логи `(select computers)` - выбираем `PC1`. | | :-----------------------------------------: | | | | 21. Нажмём кнопку `Test` чтобы проверить сетевую связность. | | :-----------------------------------------: | | | |`P.S. Для того, чтобы наша политика применилась на PC1, необходимо в консоль машины ввести gpupdate`| || | 22. Зайдём в меню `Select Events` и выберем нужные журналы. | | :-----------------------------------------: | | | | 23. Зайдём в меню `Advanced`, укажем для сбора УЗ администратора. | | :-----------------------------------------: | | | | `P.S. Обязательно нажать User and Password и ввести пароль от учетной записи, иначе подписка не сможет работать.`| | | | 24. Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню `Runtime Status`. Увидим отсутствие ошибок. | | :-----------------------------------------: | | | | 25. Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на `PC1`. | | :-----------------------------------------: | | | |`Команда: wevtutil set-log security /caO:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)`| | `Получается, что мы выдали доступ NTAUTHORITY\NETWORKSERVICE (SID S-1-5-20) доступ до журнала security` | | 26. Видим логи в журнале `Forwarded Events`. | | :-----------------------------------------: | | | ### 3) Настроить сборщик журналов. | 1. На сервере-коллекторе выполнить команду `winrm qc`, ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта `TCP:5985` для входящих соединений от источников) | | :-----------------------------------------: | | | | 2. На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы сборщика событий Windows.| | :-----------------------------------------: | | | | 3. На источниках событий следует включить службу WinRM (реализовано политикой в пункте 3.4) | | :-----------------------------------------: | | ![]| | 4. Создать подписку, где инициатором будут компьютеры.| | :-----------------------------------------: | | | | | | | | | | |