# Муханов Матвей. Занятие 4 - Инфраструктурные сервисы в домене ## Практическая работа №4.1 DNS. ### Задание 1) Настроить сервис DNS ### Методический материал: #### Часть 1. DNS Зайдём в оснастку DNS и просмотрим текущие DNS записи ![](https://i.imgur.com/WkuweQe.png) ![](https://i.imgur.com/VJ0NwLk.png) Зайдём в настройки и введём адрес mikrotik, чтобы он перенаправлял DNS запросы на внешние сервера Настройка прошла корректно ![](https://i.imgur.com/X3lreac.png) Закрываю окно, подтвердив настройки ![](https://i.imgur.com/t4JoLH5.png) Создадим NEW Zone ![](https://i.imgur.com/TknvXOX.png) Первые 3 шага иставляем по умолчанию -> NEXT, на 4-м указываю идентификатор зоны без последнего ip октета ![](https://i.imgur.com/w4aGxFF.png) Завершаем настройку и видим добавленную зону ![](https://i.imgur.com/3ZU2JJp.png) ## Практическая работа №4.2,3 DHCP. ### Задание 1) Настроить сервис DHCP 2) Настроить отказоустойчивость DHCP ### Методический материал: #### Часть 2. DHCP Теперь открою оснастку DHCP, развернём меню DHCP и выделим IPv4 ![](https://i.imgur.com/ZWtfLb1.png) Создадим область DHCP ![](https://i.imgur.com/zAs2omO.png) ![](https://i.imgur.com/nOWussT.png) Задаю имя области ![](https://i.imgur.com/NgsiC6G.png) Указываю диапазон выдаваемых адресов ![](https://i.imgur.com/snI3qKm.png) 3 следующие настройки без изменений -> NEXT Здесь введём ip роутера ![](https://i.imgur.com/vThRjQ1.png) Добавим резервный DNS ![](https://i.imgur.com/HUf5uxt.png) Следующие пункты не трогаю и завершаю работу визарда Видим появившуюся в меню область ![](https://i.imgur.com/Fi3xo2L.png) Настроим Win10 и Kali на автоматическое получение параметров сети по DHCP ![](https://i.imgur.com/wrtPPBu.png) ![](https://i.imgur.com/cyPNg2g.png) ![](https://i.imgur.com/6ZXetTq.png) #### Часть 3. Отказоустойчивый DHCP ![](https://i.imgur.com/XHa3CMM.png) Первый шаг оставляем без изменений, далее в меню добавления сервера выберем в качестве резервного dc2 ![](https://i.imgur.com/2qi8jS1.png) ![](https://i.imgur.com/loXJQxV.png) Настраиваю failover ![](https://i.imgur.com/6Fis36F.png) Завершаем ![](https://i.imgur.com/flDjrg8.png) Для проверки перехожу на dc2 в оснастку dhcp и просмотрим свойства области, которая там появилась ![](https://i.imgur.com/k9ugAtP.png) Корректно ![](https://i.imgur.com/EQtAhlB.png) ## Практическая работа №4.4 GPO. ### Задание 1) Создать и настроить политику аудита файловой системы 2) Создать и настроить политики защиты от mimikatz 3) Провести настройки политик для SIEM ### Методический материал: #### Часть 4. Групповые политики С помощью групповых политик решим следующие задачи: - Включим возможность логирования сетевых файловых ресурсов - Настроим набор политик для защиты от mimikatz - Применим политики для генерации событий, необходимых SIEM Захожу в Group policy management ![](https://i.imgur.com/MNepYKG.png) Отредактируем политику контроллеров домена ![](https://i.imgur.com/LqUSDyv.png) Включим аудит сетевых папок и файловой системы ![](https://i.imgur.com/xBacVbv.png) ![](https://i.imgur.com/SAEszlv.png) ##### Запрет Debug Создадим новую политику в GPO ![](https://i.imgur.com/Ubml7O6.png) ![](https://i.imgur.com/cy3kWwa.png) Перехожу в её настройки ![](https://i.imgur.com/W7O2wiv.png) Настроим политику debug ![](https://i.imgur.com/RXMpfy9.png) Настроим политику так, чтобы только у администратора и ADMPetr были права отладки ![](https://i.imgur.com/glNv24S.png) Применим политику к домену, чтобы она сработала на всех ПК домена ![](https://i.imgur.com/pktQp6R.png) ![](https://i.imgur.com/JAV77Un.png) ##### Защита LSA от подключения сторонних модулей Добавим в политику mimikatz_block_debug новый параметр реестра ![](https://i.imgur.com/Yy4sFAq.png) Настроим параметр, активирущий защиту LSA ![](https://i.imgur.com/zY1GB6i.png) ##### Настройки политик для SIEM Cоздал политику аудита ![](https://i.imgur.com/ijgdK1K.png) Включил командную строку ![](https://i.imgur.com/DqjMvhG.png) ![](https://i.imgur.com/puk58Q4.png) PowelShell ![](https://i.imgur.com/ewzylas.png) ![](https://i.imgur.com/DVKt3df.png) Применяем политику на домен ![](https://i.imgur.com/2leE7tO.png) ##### Активация журналирования контроллерах домена Отредактируем политику контроллеров домен ![](https://i.imgur.com/0YE7kyD.png) Изменим параметр реестра . Этот параметр уже существует, мы же его изменяем ![](https://i.imgur.com/e7OEVMn.png) ![](https://i.imgur.com/qd6QL3r.png) И создаю 2 новых параметра ![](https://i.imgur.com/PrbQR1Z.png) ![](https://i.imgur.com/F9DL0aD.png) Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп ![](https://i.imgur.com/OZAa4oX.png) В заключение настраиваю журналирование попыток выгрузки, добавляю ещё один параметр в реестр ![](https://i.imgur.com/YNXQjRx.png)