# Занятие 5. Обмен данными в домене и средства мониторинга Windows ## Модуль: OS Windows & AD basic #### Выполнил: Галлямов Азат _ _ _ ## Практическая работа №5.1 Обмен данными в домене. В данном задании мы настроили инстанс обмена данными. 1. Установили роль DFS на dc01. Добавили роли DFS Namespases и DFS Replication. Также выполнили аналогичную установку на dc02.  _Рис.1 Добавили роли DFS Namespases и DFS Replication для dc01_  _Рис.2 Добавили роли DFS Namespases и DFS Replication для dc02_ 2. Зашли в управление DFS и создали новый namespace. В качестве сервера, являющимся сервером имён для DFS - dc01.  _Рис.3 Создали новый namespace_ 3. Настроили кастомные права, указав возможность чтения и записи для всех пользователей. Завершили настройку.  _Рис.4 Настроили права_  _Рис.5 Успех_ 4. Создадили папку share и папки отделов внутри, + папку all_share. Каждую эту папку сделали сетевой. Пример показан на примере папки VIP. Активировали галочку шаринга, а в конце имени сетевой папки поставили знак $. Далее перешли в параметры permissions и выставили права на чтение и запись для VIP-sec и domain admins.  _Рис.6 Создали папки отделов_  _Рис.7 Активировали галочку шаринга_  _Рис.8 Выставили права на чтение и запись для VIP-sec и domain admins_ 5. Аналогичные действия повторили для остальных папок. 6. После создания папок они отобразились в сетевом пути до dc01. Создадим папки в DFS, указали имя папки. Добавили в target путь до расшаренной папки.  _Рис.9 Создание папки в DFS_ 7. По сетевому пути видны сетевые папки.  _Рис.10 Сетевые папки_ 8. Изменили права security у папки VIP, добавили группу VIP-sec и дали права в том числе на modify. Повторили данные действия для всех папок.  _Рис.11 Изменили права security у папки VIP_ ## Практическая работа №5.2 Средства мониторинга Windows. В данной работе мы выполнили следующее: - настроили файловый ресурс с целью журналирования событий удаления объектов - настроили отправку журналов с помощью инструментария windows в соответствии с методическими материалами - настроили сборщик журналов 1. Зашли в настройки папки share. Во вкладке аудит добавили правило аудита. Ранее мы настроили политику, позволяющую логировать операции с файлами. Но по умолчанию все папки и файлы не будут подвержены аудиту, поэтому нужно настроить правила вручную. Отметили группу Domain Users. Выставили type=all, чтобы мониторить как успех, так и отказ. Нажали кнопку show advanced permissions. Отметили галочкой оба пункта Delete.  _Рис.1 Зашли во вкладку аудит_  _Рис.2 Отметили группу Domain Users_  _Рис.3 Отметили галочкой оба пункта Delete_  _Рис.4 Добавили аудит_ 2. На pc01 от имени пользователя Igor удалили папку folder-for-delete из папки all_share.  _Рис.5 Удалили папку folder-for-delete_ 3. Проверили журнал безопасности на dc01. Отфильтровали по определённым событиям : 4656, 4659, 4660, 4663. По итогу мы увидели много подряд идущих событий, из которых 3 явно нас интересуют.  _Рис.6 Отфильтрованные события_  _Рис.7 Событие 4656_  _Рис.8 Событие 4663_  _Рис.9 Событие 4660_ ### Инфраструктура отправки журналов Windows в SIEM 1. Включили сервис сборщика логов и подтвердили его автостарт. Настроили политику отправки журналов на logcollector. Зашли в редактор групповой политики и создали новую, log_delivery. В подписке включим службу WinRM.  _Рис.10 Включили сервис сборщика логов_  _Рис.11 Редактирование подписки log_delivery_ 2. Перешли в пункт настройки менеджера подписок. Активировали его и прописали путь до коллектора: ```Server=http://dc1.pt.local:5985/wsman/SubscriptionManager/WEC,Refresh=6```. Применили фильтр безопасности, чтобы политика применилась только к pc01.  _Рис.12 Прописали путь до коллектора_  _Рис.13 Политика применилась только к pc01_ 3. Зашли в меню создания правил брандмауэра и создали новое правило inbound. Выбрали преднастроенное правило для WinRM. Настроили это правило только для доменной и частной сети. Разрешили подключение.  _Рис.14 Зашли в меню создания правил брандмауэра_  _Рис.15 Разрешили подключение._ 4. Для настройки политики нам понадобился дескриптор безопасности журнала. Нашли его на pc01 при помощи команды: ```wevtutil gl security```.  _Рис.16 Дескриптор безопасности журнала на pc01_ 5. Далее настроили доступ УЗ до журнала security. Активировали политику и ввели параметр channelAccess.  _Рис.17 Ввели параметр channelAccess_ 6. Отдельно добавили учетную запись, которую в дальнейшем будем использовать для чтения журналов, в группу читателей журнала. Зашли в политику локальных групп и добавили правило для локальной группы. Локальная группа -- читатели журнала событий. Пользователи -- администраторы домена.  _Рис.18 Добавили правило для локальной группы_  _Рис.19 Пользователи -- администраторы домена_ 7. Применили политику на домен.  _Рис.20 Применили политику_ 8. Настроили приём логов на коллекторе. Создали новую подписку. Источниками будут доменные компьютеры - pc01. Проверили сетевую связность. Подтвердили настройки, увидели созданую подписку.  _Рис.21 Источниками будут доменные компьютеры - pc01_  _Рис.22 Проверка_  _Рис.23 Настройка журналов_  _Рис.24 Проверка статуса источника_ 9. Дали доступ сетевой службе до чтения журнала безопасности, выполнили команду на pc01, команда: ```wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)```.  _Рис.25 Дали доступ сетевой службе_ 10. После всего увидели логи хоста pc01 в журнале forwarded events.  _Рис.26 Успешный поток логов_ ### Часть 4. Настройка сборщика логов при компьютерах-инициаторах 1. На сервере-коллекторе выполнили команду winrm qc, ответили согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников).  _Рис.27 Выполнили команду winrm qc_ 2. На сервере-коллекторе выполнили команду wecutil qc, согласились на включение службы сборщика событий Windows.  _Рис.28 Выполнили команду wecutil qc_ 3. На источниках событий включили службу WinRM (реализовано политикой ранее). 4. Создали подписку, где инициатором являются компьютеры.  _Рис.29 Создали подписку_  _Рис.30 Проверили статус источников_