# Занятие 4. Инфраструктурные сервисы в домене ## Практическая работа №4.1 DNS ### Часть 1. DNS Перед началом проверим, что на микротике настроено перенаправление запросов:  Зайдём в оснастку DNS dc1 сервера и просмотрим текущие DNS записи:  Настроим форвард. Перейдём в настройки сервера DNS:  Зайдём в пункт "edit" и введём адрес mikrotik, который будет перенаправлять DNS запросы на внешние сервера:  Применим настройки:  Настроим зону обратного просмотра. Откроется меню создания зоны:  Оставляем пункт "primary zone":  Оставляем по умолчанию параметры репликации:  Настроим IPv4 зону:  Введём идентификатор зоны без последнего ip октета- идентификатора хоста. Это наша сеть, для которой будет создана зона обратного просмотра:  Оставим пункт по умолчанию для динамического обновления зоны:  Сверимся с итоговыми настройками и завершим конфигурацию:  Теперь мы видим созданную обратную зону:  ## Практическая работа №4.2,3 DHCP ### Часть 2. DHCP Откроем оснастку DHCP, развернём меню DHCP и выделим IPv4:  Создадим новую область DHCP:  Введём имя области pool1:  Укажем диапазон выдаваемых адресов:  Не будем указывать исключения из диапазона:  Оставим время аренды по умолчанию:  Сконфигурируем область сейчас:  Добавим адрес роутера:  Добавим адрес резервного контроллера домена, он же будет резервным DNS:  Пропускаем настройку WINS серверов:  Активируем область сейчас:  Завершим работу Визарда:  Новая область появилась в меню, мы видим её параметры:  Настроим Win10 на автоматическое получение параметров сети по DHCP:  Настроим Kali Linux на автоматическое получение параметров сети по DHCP:  Информация об аренде на dc1 видна в меню "address leases":  ### Часть 3. Отказоустойчивый DHCP Настроим резервирование по технологии Hot Standby:  Выберем ip пулы для резервирования. Добавим сервер-партнёр dc2:   Настроим failover:  Подтвердим настройки:  Вывод успешного создания кластера:  Перейдём в dc2 в оснастку dhcp и просмотрим свойства области, которая там появилась:  Перейдём в меню "отработка отказа":  Все настройки применились корректно. ## Практическая работа №4.4 GPO ### Часть 4. Групповые политики #### Политика аудита Зайдём в Group policy management, развернём вложенные меню, увидим две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены:  Отредактируем политику контроллеров домена. Настроим политику компьютера Object Access:  Включим аудит сетевых папок:  Включим аудит файловой системы:  #### Политики защиты от mimikatz #### Запрет Debug Создадим новую политику в папке GPO mimikatz_block_debug:  Найдём политику debug mimikatz_block_debug:  Настроим политику так, чтобы только у администратора и ADMPetr были права отладки:  Применим политику к домену, чтобы она сработала на всех ПК домена:  Пункт для проверки:  С включенным защитником виндовс уже не работает:  #### Отключение WDigest Редактируем существующую политику mimikatz_block_debug:  Создаем новый элемент реестра:  Применяем:  #### Защита LSA от подключения сторонних модулей Добавим в политику mimikatz_block_debug новый параметр реестра и настроим параметр, активирущий защиту LSA:  #### Включение аудита командной строки и powershell Создадим политику аудита audit_services_cmd_posh:  Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов":  Активируем параметр "Включить командную строку в события создания процессов":  Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell" и выберем пункт "Включить ведение журнала и модулей":  Включим этот параметр для содержимого:  Применим политику на домен:  #### Активация журналирования контроллерах домена Отредактируем политику контроллеров домена. Создадим новый объект правки реестра:  Изменим значение на 5:  Создадим 2 новых параметра реестра:   Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп:  Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr:  Настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр: