Windows_Basic-Малышев_Роман-Практика-5

# Windows_Basic-Малышев_Роман-Практика-5 *Выполнил Малышев Роман* ## Занятие 5 - Обмен данными в домене и средства мониторинга Windows ### Часть 1. Настройка инстанса обмена данными 1.1 Для начала установим роль DFS на dc1. Перейдём в установку ролей и компонентов. ![](https://i.imgur.com/FIUXWQ0.png) 1.2 Отметим роли DFS Namespases и DFS Replication. ![](https://i.imgur.com/He2uY6t.png) 1.3 Установим роли. ![](https://i.imgur.com/33Dm2dr.png) Аналогично устрановим на втором сервере (DC2). ![](https://i.imgur.com/uIQmmsv.png) 1.4 Зайдём в управление DFS. ![](https://i.imgur.com/uhRPPh0.png) 1.5 Создадим новый namespace. ![](https://i.imgur.com/jrdl1U3.png) 1.6 Укажем сервер, являющийся сервером имён для DFS. Это будет dc1. ![](https://i.imgur.com/SN4qLlu.png) 1.7 Укажем имя создаваемого пространства и перейдём в edit settings. ![](https://i.imgur.com/vvpduaA.png) 1.8 Настроим кастомные права, указав возможность чтения и записи для всех пользователей.![](https://i.imgur.com/qKGh3jd.png) 1.9 Оставим настройки по умолчанию (domain namespase). ![](https://i.imgur.com/9qDtIpv.png) 1.10 Создадим пространство имён. ![](https://i.imgur.com/kQ2Z76f.png) 1.11 Успех. ![](https://i.imgur.com/FGgHwt7.png) 1.12 Можно проверить, что инстанс создан, пройдя по пути. ![](https://i.imgur.com/TFLFJ07.png) **Теперь сначала создадим обычные сетевые папки, а потом соотнесём их с DFS путями** 1.13 Создадим папку share. ![](https://i.imgur.com/X0mTHEN.png) 1.14 И папки отделов внутри, + папку all_share. ![](https://i.imgur.com/JaRwabf.png) 1.15 Каждую эту папку сделаем сетевой. Идём в настройки папки (сделаем на примере Buhg). ![](https://i.imgur.com/xDMJCOb.png) 1.16 Вкладка sharing, пункт advanced sharing. ![](https://i.imgur.com/au8UKQG.png) 1.17 Активируем галочку шаринга, а вконце имени сетевой папки ставим знак. После идём в permissions. (Значек доллара скрывает папку от посторонних.) ![](https://i.imgur.com/Gdtyqq4.png) 1.18 Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем. После нажимаем apply.![](https://i.imgur.com/SKe3xDL.png) 1.19 Нам покажут относительный dc1 путь до папки по сети. Закрываем меню. ![](https://i.imgur.com/B2ax10g.png) Аналогичные действия сделаем для остальных папок, но выдавая права на группы безопасности отделов (папке HR -- группу HR-sec на чтение запись и т.п.). Для all_share выдать доступ на read write для группы everyone. ![](https://i.imgur.com/w4oCjUT.png) ![](https://i.imgur.com/dpyJuuz.png) ![](https://i.imgur.com/sjA4W9V.png) ![](https://i.imgur.com/DO308iF.png) ![](https://i.imgur.com/PrhNJlF.png) 1.20 После создания папок они отобразятся в сетевом пути до dc1. Но мы преследуем другую цель. Теперь создадим папки в DFS. В меню DFS нажмём кнопку "new folder". ![](https://i.imgur.com/R5VAt7I.png) 1.21 Укажем имя папки (именно с этим именем она отобразится в dfs-пути).![](https://i.imgur.com/sCmhSj5.png) 1.23 Добавим target. Имеется ввиду то, что мы по сути создаем всего лишь ярлык, который будет ссылаться на папку, которую мы укажем в target. Воспользуемся browse для указания сетевого пути. ![](https://i.imgur.com/4qaZZZN.png) 1.24 Сетевой путь до папки отобразится, можно подтверждать и применять настройки.![](https://i.imgur.com/mnsqMDx.png) Аналогично добавим все остальные папки. ![](https://i.imgur.com/JQkLRAU.png) 1.25 Теперь по сетевому пути видны сетевые папки. ![](https://i.imgur.com/IujhGlt.png) 1.26 Изменим права security у папки Buhg. Нажмём кнопку Edit. ![](https://i.imgur.com/mXBzak1.png) 1.27 Нажмём кнопку Add, чтобы добавить группу Buhg-sec. Дадим права в том числе и на midify ![](https://i.imgur.com/KLXtmSF.png) 1.28 Проделаем аналогично со всеми другими папками. Для папки all_share выставить в параметрах доступ для группы everyone (аналогично, в т.ч. и на modify). ![](https://i.imgur.com/1T0PocW.png) ![](https://i.imgur.com/2uJGbxD.png) ![](https://i.imgur.com/21al5KM.png) ![](https://i.imgur.com/R3cY7Hw.png) ![](https://i.imgur.com/QKkPxM4.png) ### Часть 2. Управление средствами мониторинга Windows Решим задачу с настройкой логирования удаления файлов с сетевых файловых ресурсов на dc1. 2.1 Зайдём в настройки папки share.![]![](https://i.imgur.com/2LF0XHB.png) 2.2 Security -> Advanced. ![](https://i.imgur.com/QaEVcqt.png) 2.3 Зайдём во вкладку Аудит и нажмём Add, чтобы добавить правило аудита. ![](https://i.imgur.com/iw79KKC.png) 2.4 Выберем Principal -- это объект, действия которого нужно логировать. Отметим группу Domain Users. ![](https://i.imgur.com/bJKKDJl.png) 2.5 Выставим type=all, чтобы мониторить как успех, так и отказ. Нажмём кнопку show advanced permissions. ![](https://i.imgur.com/bJEceNG.png) 2.6 Отметим галочкой оба пункта Delete и нажмём ОК. ![](https://i.imgur.com/iQLSsIe.png) 2.7 Правило создано для папки share, а так же всех её вложенных папок и файлов. ![](https://i.imgur.com/HXnjy26.png) 2.8 Создадим в папке all_share папку folder-for-delete для тестирования генерации событий. ![](https://i.imgur.com/pzW2YdK.png) 2.9 На pc1 от имени пользователя Olga попробуем удалить папку folder-for-delete из папки all_share. ![](https://i.imgur.com/76Wvozu.png) 2.10 Проверим журнал безопасности dc1. ![](https://i.imgur.com/XXomc3n.png) 2.11 Событий много, отфильтруем их. Зайдём в меню filter current log и введём интересующие нас id событий (4656, 4659, 4660, 4663) в поле фильтра. ![](https://i.imgur.com/849Rceu.png) 2.12 Увидим много подряд идущих собыитй, из которых 3 явно нас интересуют. ![](https://i.imgur.com/qjV3ejF.png) ![](https://i.imgur.com/iQkW0wg.png) ![](https://i.imgur.com/9EJL5is.png) ### Часть 3. Инфраструктура отправки журналов Windows в SIEM 3.1 Включим сервис сборщика логов и подтвердим его автостарт. ![](https://i.imgur.com/JhVcR0O.png) 3.2 Настроим политику отправки журналов на logcollector. Зайдём в редактор групповой политики и создадим новую, log_delivery.![](https://i.imgur.com/fKJKHRd.png) 3.3 Найдём пункт включения службы WinRM. ![](https://i.imgur.com/ysKBztt.png) 3.4 Включим службу. ![](https://i.imgur.com/KJ3vqmj.png) 3.5 Найдём пункт настройки менеджера подписок. ![](https://i.imgur.com/Rk2UioE.png) 3.6 Активируем его. ![](https://i.imgur.com/WMbDSNh.png) 3.7 Настроим путь до логколлектора. ![](https://i.imgur.com/OdDrUxm.png) 3.8 Сохраним и закроем меню редактирование политики. Применим фильтр безопасности, чтобы политика применилась только к pc1. ![](https://i.imgur.com/JTxEOve.png) 3.9 По умолчанию поиск не происходит среди компьютеров. Изменим это, выберем типы объектов для поиска (компьютеры). ![](https://i.imgur.com/0E4NHYM.png) 3.10 И проведем поиск по имени pc1 (введем имя и нажмём check names)![](https://i.imgur.com/oeS3Uyu.png) 3.11 После -- удалим группу аутентифицированных пользователей.![](https://i.imgur.com/WBhqHq5.png) 3.12 Найдём меню создания правил брандмауэра и создадим новое правило inbound.![](https://i.imgur.com/QRh88pP.png) 3.13 Выберем преднастроенное правило для WinRM.![](https://i.imgur.com/UIV4OLg.png) 3.14 Создадим это правило только для доменной и частной сети.![](https://i.imgur.com/neqDbso.png) 3.15 Разрешим подключение.![](https://i.imgur.com/CayM2MV.png) После применения порт на PC1 откроется и позволит выполнять WinRM команды, с помощью которых собираются логи с windows машин. Теперь донастроим политику так, чтобы у учетной записи сборщика были права на доступ к журналам, которые мы собираем в коллектор. 3.16 Для настройки политики понадобится дескриптор безопасности журнала. Найдём его на pc1.![](https://i.imgur.com/szvWUyU.png) 3.17 Настроим доступ УЗ до журнала security. ![](https://i.imgur.com/NgLDD8M.png) 3.18 Активируем политику и введём параметр channelAccess. ![](https://i.imgur.com/LEouBEW.png) 3.19 И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы.![](https://i.imgur.com/tuHEtvp.png) 3.20 Локальная группа -- читатели журнала событий.![](https://i.imgur.com/09e6soZ.png) 3.21 Пользователи -- администраторы домена (в реальной ситуации нужно добавлять пользователя, созданного для чтения журнала событий).![](https://i.imgur.com/gNyeuVq.png) 3.22 Вот так по итогу, применяем-сохраняем. ![](https://i.imgur.com/gMEo7DI.png) 3.23 Применим на домен.![](https://i.imgur.com/n6ygjOv.png) 3.24 Настроим приём логов на коллекторе. Пройдя в event viewer, зайдём в меню подписок. ![](https://i.imgur.com/5H2tLsT.png) 3.25 Создадим новую подписку. ![](https://i.imgur.com/cfr9eKI.png) 3.27 Назовём её collector-get и отметим ПК, с которых коллектор будет собирать логи (select computers).![](https://i.imgur.com/pPjkiaQ.png) 3.28 Выберем доменные компьютеры. Выберем PC1.![](https://i.imgur.com/I2aJXlO.png) 3.29 Нажмём кнопку Test чтобы проверить сетевую связность (Но перед этим пришлось ввести команду на PC1, чтобы включить WinRM).![](https://i.imgur.com/3rH7ur3.png) ![](https://i.imgur.com/FsRfKdU.png) 3.30 Зайдём в меню select events и выберем нужные журналы.![](https://i.imgur.com/5wESp40.png) 3.31 Зайдём в меню Advanced, укажем для сбора УЗ администратора.![](https://i.imgur.com/IP0mcwD.png) 3.32 Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status.![](https://i.imgur.com/i0IYhgG.png) 3.33 Увидим отсутствие ошибок. ![](https://i.imgur.com/YsZIB7z.png) 3.34 Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1 ![](https://i.imgur.com/dDMw9LA.png) 3.35 После чего увидим логи в журнале forwarded events. ![](https://i.imgur.com/Q2q7BSC.png) ### Часть 4. Настройка сборщика логов при компьютерах-инициаторах 4.1 На сервере-коллекторе выполнить команду winrm qc, wecutil qc ![](https://i.imgur.com/QHKL9HY.png) 4.2 На источниках событий следует включить службу WinRM. Была уже включена в предыдущей части. 4.3 Создим подписку, где инициатором будут компьютеры. ![](https://i.imgur.com/x9EQL2x.png) ![](https://i.imgur.com/XKJQcow.png) ![](https://i.imgur.com/bcoUxR9.png)