# Отчет о проделанной работе.
> Автор: Юденков Алексей
## Занятие 1
- [x] Oracle Virtualbox установлен;
- [x] Oracle Virtualbox extentions установлены;
- [x] Windows Server 2016-1 (английская версия) установлен;
- [x] Windows Server 2016-2 (русская или англ версия) установлен;
- [x] Windows 10 установлен;
- [x] Mikrotik импортирован;
- [x] На Mikrotik настроен сетевой адаптер локальной сети;
- [x] На Mikrotik настроен NAT.
## Занятие 2
- [x] Статические адреса настроены на двух WinServer;
DC1:
DC2:
- [x] Имена компьютеров Winserver и Win10 настроены (dc1, dc2, pc1);
DC1:
DC2:
WIN10:
- [x] На оба WinServer установлены роли AD, DHCP, DNS;
WS16-1:
WS16-2:
- [x] WinServer en сконфигурирован как основной контроллер домена cyber-ed.local;
- [x] WinServer ru сконфигурирован как второстепенный контроллер домена;
- [x] Win10 внесён в домен.
- [x] Применён скрипт newadusergroups-cyber-ed.ps1 (созданы OU, пользователи и группы). Скрипт доступен по [ссылке](https://disk.yandex.ru/d/BlGUEOAe3bGAvg)
- [x] По итогу в домене будет такая структура объектов:
VIP:
Sysadmins:
Progr:
HR:
## Занятие 3
- [x] Настроен Forwarder у DNS сервера
* Настроим форвардинг DNS запросов. Форвард будет проходить через микротик.
* Перейдем в dc1 в оснастку DNS, нажмем ПКМ по DC1 и перейдем в настройки. Перейдем во вкладку форвардера и отредатируем настройки. Добавим адрес микротика и применим настройки.
Как видно на скриншоте Validated = OK
- [x] Настроен пул выдачи адресов DHCP
1. Зайдем в оснастку DHCP. Раскроем меню IPv4, после чего нажмем по IPv4 ПКМ. Нажмем New Scope.
1. Введем необходимые параметры создаваемой области в соответствии с используемыми нами сетями
3. Активируем на Win10 получение адреса по DHCP. Проверим, что компьютер арендовал адрес со всеми необходимыми параметрами.
## Занятие 4
- [x] DHCP сервер сконфигурирован на втором контроллере домена;
- [x] Настроить отказоустойчивый DHCP;
* Сконфигурируем отказоустойчивость ведя необходимые параметры. Режим выбираем "Hot standby"
* Получаем сообщение об успешном конфигурировании:
* В DHCP scope видим активный режим отказоустойчивости для выбранного scope1
- [x] Создать, сконфигурировать и применить групповую политику для расширенного файлового аудита контроллеров домена;
* Настройка политики расширенного логирования
1. Создадим политику аудита audit_services_cmd_posh
1. Перейдём в ветку “Административные шаблоны”/“Система”/“Аудит создания процессов”
1. Активируем параметр “Включить командную строку в события создания процессов”
4. Перейдём в ветку “Административные шаблоны”/“Компоненты Windows”/“Windows PowerShell”
5. Выберем пункт “Включить ведение журнала и модулей”
6. Включим этот параметр для содержимого Microsoft.Powershell.*
7. Применим политику на домен
8. Видим логгирование действий пользователя при использовании PowerShell
* Настройка политики журналирования на контроллерах домена
1. Отредактируем политику контроллеров домена (default domain controller policy)
1. Создадим новый объект правки реестра
3. Найдём параметр 15 Field Engineering в ветке реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics. Этот параметр уже существует, его необходимо изменить. Изменим значение на 5. Внимание – изменяем decimal значение.
4. Создадим 2 новых параметра реестра в ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Имена параметров Expensive Search Results Threshold и Inefficient Search Results Threshold, значение DWORD 1. После выполнения этих действий и обновления политики в журнале Directory Service будут создаваться события с идентификатором 1644 для каждого LDAP запроса.
6. Создадим новый параметр в ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Имя параметра RestrictRemoteSamAuditOnlyMode, значение DWORD 1. Это журналирование попыток выгрузки членов доменных групп.
- [x] Настройка сбора логов с помощью sysmon;
* Скачаем [sysmon](https://disk.yandex.ru/d/B7pCj2axBHSQxQ). По данной ссылке расположен файл конфигурации и скрипт развёртывания, который понадобится далее.
* На dc1 пройдем по пути C:\Windows\SYSVOL\sysvol\cyber-ed.local\, создадим там папку с именем Sysmon. В ней расположим файлы, скачанные ранее по ссылке.
* Создадим GPO с именем Sysmon_deploy, отредактируем её, пройдя по пути Computer configuration -> Policies -> Windows Settings -> Scripts -> Startup. Добавим новый скрипт (путь таков: \\cyber-ed.local\SYSVOL\cyber-ed.local\Sysmon), этот скрипт – тот самый SysmonStartup.bat, скачанный ранее.
* Применим GPO для доменных ПК и контроллеров домена.
* после перезагрузки видим, что sysmon присутствует в процессах всех DC и PC домена:
## Занятие 5
[]
## Занятие 6
- [x] Создана папка share
- [x] В ней расположены папки: с названиями отделов, all_share и adm_share.
- [x] Эти ресурсы опубликованы (расшарены) с помощью DFS
1. создадим пространство имен на web-srv:
2. создадим в пространстве имен папки all_share, adm_share:
3. В Computer Management web-srv видим, что папки расшарены в папке share с необходимыми именами:
4. Также это видно при обращении к папкам по сети:
- [x] Корректно настроены права безопасности этих ресурсов
1. Во время создания папок в пространстве имен зададим для них необходимые права доступа:
2. Запустим WIN10, авторизуемся под пользователем Olga и перейдем по сети к созданным папкам:
3. Как видим пользователь без прав администратора не может получить доступ к папке adm_share:
4. К папке all_share у пользователя есть доступ на чтение и запись:
- [x] Создан веб-сайт (произвольного наполнения) на IIS web-srv
1. После установки необходимых компонентов для IIS перейдем в оснастку IIS Manager
2. Подключимся к web-srv с необходимыми учетными данными:
3. После успешного подключения мы видим дефолтный сайт данного веб-сервера и можем на него перейти из WIN10:
- [x] Для сайта выпущен сертификат с SAN
и помещен в папку сайта
- [x] Браузер win10 открывает сайт без предупреждений о нарушении безопасности
## Занятие 7
- [x] Настроен сайт AD
- [x] Создан второй домен hack.local
- [x] Между доменами cyber-ed.local и hack.local настроено доверие
Для построения доверия необходимо, чтобы контроллеры домена видели друг друга. Настроим DNS
Настроим доверительные отношения через AD Domain and Trusts:
Как видим и на машине домена hack.local также появились доверительные отношения:
- [x] На Win10, который находится в домене cyber-ed.local, может авторизоваться УЗ из домена hack.local
# Секция дополнительных заданий
## Админские:
1. Настроить репликацию DFS на обоих домен контроллерах (но лучше развернуть еще 2 вин сервера отдельно, если есть возможность). Почитать подробнее можно [тут](https://winitpro.ru/index.php/2013/09/25/ustanovka-i-nastrojka-dfs-i-replikacii-fajlov-v-windows-server-2012/).
1. Создать групповой политикой ярлык на общую сетевую папку. Ярлык расположить на пк-клиентах.
1. Создать GPO для пользователей, отдельно для каждого отдела. В GPO: выставить время бездействия до блокировки ПК, фон рабочего стола (какой душе угодно).
1. Опубликовать для пользователя софт в формате .msi (например, плеер VLC, [ссылка на FTP VLC](http://download.videolan.org/pub/videolan/vlc/3.0.8/win64/)). Опубликовать, но не устанавливать. Опубликованный софт доступен для установки пользователем, но не устанавливается сам.
5. Создать GPO для доменных ПК: установить на них winlogbeat. [Windows MSI 64-bit (beta)](https://www.elastic.co/downloads/beats/winlogbeat)
6. Импортировать второй роутер микротик. Не забыть при этом сгенерировать для него новый мак адрес (как в настройках виртуалки в программе виртуализации, так и в настройках интерфейса в винбоксе). Настроить VRRP для обеспечения отказоустойчивости.
## ИБшные:
1. Создать с помощью WMI скрипт ([ссылка](https://www.microsoft.com/en-us/download/details.aspx?id=8572) на скачивание инструмента разработки скриптов wmi) , который будет выполняться на пользовательских (или серверных) ОС и выводить им, например, модель процессора (просто задачка для тренировки) (подсказки можно посмотреть по [ссылке](https://habr.com/ru/post/70806/)) .
1. Если захочется посложнее, то создать с помощью WMI скрипт, который соберет следующую информацию (например, в файл. Эти скрипты можно применять удаленно, чтобы собирать информацию и предоставлять для анализа как людям, так и системам):
* Вывод версии BIOS (на биос тоже выходят уязвимости, [да да](https://3dnews.ru/911351). А сбор такой информации может пригодиться для оперативного обновления)
* Вывод процессов, выполняемых на ПК (быстрый анализ виндовыми средствами при подозрении на малварь)
* Получение списка обновлений ПК (банальный мониторинг установленных КБ (патчи microsoft) для проверки применимости уязвимостей)
* Получение версии приложения, например, гуглхром, если установлен на компьютере (Опять же, важная часть патч-менеджмента)
3. Выполнить практику эксплуатации базовых уязвимостей по [ссылке](https://hackmd.io/@UncleVan/S1hZU5wgK).
4. Реализовать атаку ZeroLogon. Перед ней не забыть сделать снапшот обоих DC, иначе данная атака сломает репликацию DC.
5. Реализовать атаку «пинг смерти ipv6». Для поиска информации использовать уязвимости, опубликованные в 2020 году.
Sign in with Wallet
Connect another wallet