# Занятие 5. Обмен данными в домене и средства мониторинга Windows
# Практическая работа №5.1 Обмен данными в домене.
# Задание:
1) Настроить инстанс обмена данными
___
## Часть 1. Настройка инстанса обмена данными.
Установим роль DFS на dc1. Перейдём в установку ролей и компонентов
Отметим роли DFS Namespases и DFS Replication
Установим роли
Зайдём в управление DFS на dc1, создадим новый namespace и укажем сервер, являющийся сервером имён для DFS - dc1
Укажем имя создаваемого пространства и перейдём в edit settings
Настроим кастомные права, указав возможность чтения и записи для всех пользователей
Оставим настройки по умолчанию (domain namespase)
Создадим пространство имён
Видим, что всё прошло успешно
Создадим папку share, внутри которой создадим папки отделов + папку all_share
Сделаем каждую папку сетевой .
Выставляем права на чтение и запись для buhg-sec (права -- change, read) и domain admins (права -- full control), а группу everyone удаляем
Выставляем права на чтение и запись для HR-sec (права – change, read) и domain admins (права – full control), а группу everyone удаляем
Выставляем права на чтение и запись для Progr-sec (права – change, read) и domain admins (права – full control), а группу everyone удаляем
Выставляем права на чтение и запись для Sysadmins-sec (права – change, read) и domain admins (права – full control), а группу everyone удаляем
Выставляем права на чтение и запись для VIP-sec (права – change, read) и domain admins (права – full control), а группу everyone удаляем
Для all_share выдадим доступ на read, write для группы everyone
Теперь создадим папки в DFS. В меню DFS нажмём кнопку "new folder"
Теперь по сетевому пути видны сетевые папки
Изменим права security у папки Buhg. Добавим группу Buhg-sec с правами на midify
Изменим права security у папки Progr. Добавим группу Progr-sec с правами на midify
Изменим права security у папки HR. Добавим группу HR-sec с правами на midify
Изменим права security у папки Sysadmins. Добавим группу Sysadmins-sec с правами на midify
Изменим права security у папки VIP. Добавим группу VIP-sec с правами на midify
Изменим права security у папки all_share. Добавим группу Everyone с правами на midify
# Самостоятельное задание
Проделаем аналогичные действия для dc2.
Установим роль DFS на dc2. Перейдём в установку ролей и компонентов
Установим роли
Далее создаем папку share
И в папке share создаем папки,аналогичные dc1 и настраиваем их также по аналогии с dc1
После создаем для каждой существующей на dc1 dfs папки резервирование с указанием сетевого пути до аналогичной папки dc2
Сделаем на примере папки HR. Для этого нажмем ПКМ по папке, выберем "Replicate Folder" и начнем настройку
Видим,что ошибок нет
И видим, как выглядит репликация на примере папок HR и Buhg
____
# Практическая работа №5.2 Средства мониторинга Windows.
# Задание:
1) Настроить файловый ресурс с целью журналирования событий удаления объектов
2) Настроить отправку журналов с помощью инструментария windows в соответствии с методическими материалами
3) Настроить сборщик журналов
___
# Часть 2. Управление средствами мониторинга Windows
Зайдём в настройки папки share,Security -> Advanced,во вкладку Аудит и нажмём Add
Настроим папку share для логирования удаления
Создано правило для папки share
Заранее создаем в папке all_share папку folder-for-delete,которую будем удалять
Зайдем на пк1 под учетной записью Ольги и удалим папку
На dc1 откроем журнал безопасности
Зайдём в меню filter current log и введём id событий 4656, 4659, 4660, 4663
Увидим,что есть событие удаления
# Часть 3. Инфраструктура отправки журналов Windows в SIEM
Включим сервис сборщика логов и подтвердим его автостарт
В редакторе групповой политики и создадим log_delivery
Найдём пункт включения службы WinRM
Включим службу
Найдём пункт настройки менеджера подписок
Активируем его
Настроим путь до логколлектора
Добавим пк1 и удалим группу аутентифицированных пользователей
Найдём меню создания правил брандмауэра и создадим новое правило inbound
Выберем преднастроенное правило для WinRM
Создадим это правило только для доменной и частной сети
Разрешим подключение
Видим правило
Найдём на pc1 дескриптор безопасности журнала
Настроим доступ УЗ до журнала security
Активируем политику и введём параметр channelAccess
И отдельно добавим учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зайдём в политику локальных групп и добавим правило для локальной группы
Локальная группа -- читатели журнала событий.
Пользователи -- администраторы домена
Итог
Применим на домен
Настроим приём логов на коллекторе
Нажмём кнопку Test чтобы проверить сетевую связность
Зайдём в меню select events и выберем нужные журналы
Зайдём в меню Advanced, укажем для сбора УЗ администратора
Подтвердим настройки, увидим созданую подписку. Проверим, нет ли ошибок. Нам нужно меню Runtime Status
Ошибок нет
Дадим доступ сетевой службе до чтения журнала безопасности, выполним команду на pc1
Видим логи
На сервере-коллекторе выполним команды winrm qc и wecutil qc
Включим службу WinRM
# Часть 4.Настройка сборщика логов при компьютерах-инициаторах
Создадим новую подписку аналогично предыдущей
Видим,что все прошло успешно
Сборщик запущен
Видим логи
Sign in with Wallet
Connect another wallet