# Занятие 4. Инфраструктурные сервисы в домене
## Модуль: OS Windows & AD basic
#### Выполнил: Галлямов Азат
_ _ _
## Практическая работа №4.1 DNS
1. Настроили перенаправление запросов DNS, не относящихся к зоне pt.local, на внешний DNS сервер. Для этого зашли в оснастку DNS.  _Рис.1 Оснастка DNS_
2. Настроили форвард. Для этого перешли в настройки сервера DNS и во вкладке "forwarders" добавили адрес mikrotik (192.168.10.254). Он будет перенаправлять DNS запросы на внешние сервера.  _Рис.2 Добавили адрес роутера_
3. Далее мы настроили зону обратного просмотра. Для этого создали "new zone", в качестве zone type оставили "primary zone". В параметре идентификатора зоны прописали адрес нашей сети без последнего ip - это 192.168.10 . _Рис.3 Прописали адрес нашей сети без последнего_
4. Проверили итоговые настройки и завершили конфигурацию обратного просмотра.  _Рис.4 Итоговые значения настроек_
5. Увидили успешно созданную обратную зону.  _Рис.5 Обратная зона_
## Практическая работа №4.2 DHCP.
Настроили сервис DHCP.
1. Открыли оснастку DHCP. Для IPv4 создали "new scope". Ввели имя области и указали диапазон выдаваемых адресов. Оставили время аренды по умолчанию, 8 дней. В качестве адреса роутера ввели 192.168.10.254. Далее ввели адрес резервного контроллера домена, он же будет резервным DNS. После завершения настройки новая область появилась в меню.  _Рис.6 Оснастнка DHCP_  _Рис.7 Диапазон выдаваемых адресов_  _Рис.8 Ввели адреса роутера_  _Рис.9 ввели адрес резервного DNS_  _Рис.10 Завершение настройки_
2. Переёдем к pc01. Настроили хост pc01 на автоматическое получение параметров сети по DHCP.  _Рис.11 Получение параметров сети по DHCP_  _Рис.12 Полученные настройки_
3. Аналогично pc01 настроили хост kali linux на автоматическое получение параметров сети по DHCP.  _Рис.13 Получение параметров сети по DHCP_  _Рис.14 Полученные настройки_
4. Итоговая информация об аренде на dc1.  _Рис.15 Информация об аренде на dc1_
## Практическая работа №4.3 DHCP.
Настроили отказоустойчивость DHCP. Настроили резервирование по технологии Hot Standby.
1. На текущем scope выбрали "configure failover". Добавили сервер-партнёр в качестве резервного dc2. Настроили failover: выбрали режим Hot Standby и сняли галочку с пункта аутентификации.  _Рис.16 Указали в качестве резервного dc2_  _Рис.17 Настроили failover_  _Рис.18 Завершим настройку_
2. Перешли в dc2 в оснастку dhcp и просмотрели свойства области, которая там появилась. Настройки применились корректно.  _Рис.19 Свойста области_
## Практическая работа №4.4 GPO.
В данном пункте мы создали и настроили политику аудита файловой системы, политики защиты от mimikatz, политик для SIEM.
1. Перешли в Group policy management и увидили две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены.  _Рис.20 Политики_
2. Отредактировали политику контроллеров домена. Настроили политику компьютера Object Access (путь: ```Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access```). Включили аудит сетевых папок и аудит файловой системы.  _Рис.21 Политика компьютера Object Access_  _Рис.22 Включили аудит сетевых папок и аудит файловой системы._
3. Настроили политику защиты от mimikatz. Создали новую политику в папке GPO. Настроили политику debug (путь: ``` Computer Configuration/Policies/Windows Settings/Security Settings/User rights Assignment```). Теперь только у администратора и ADMIgor есть права отладки. Применили политику к домену.  _Рис.23 Новая политика_  _Рис.24 Определили пользователей с правами отладки_
4. На pc1 проверили, срабатывает ли mimikatz.  _Рис.25 Запуск mimikatz на pc01_
5. Отредактировали существующую политику mimikatz_block, для отключения WDigest на всех ПК. В векту реестра: ```HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest ``` добавили параметр ```UseLogonCredential``` значение 0.  _Рис.26 Изменили ветку реестра_
6. Настроили защиту LSA от подключения сторонних модулей. Добавили в политику mimikatz_block_debug новый параметр реестра. Ветка: ``` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA``` , имя параметра: ```RunAsPPL``` значение 1.  _Рис.27 Настроили защиту LSA_
7. Настроили политики для SIEM. Создали политику аудита audit_services_cmd_posh. Перешли в ветку ```"Административные шаблоны"/"Система"/"Аудит создания процессов"``` и активировали параметр ```"Включить командную строку в события создания процессов"```.  _Рис.28 Активация параметра_
8. Далее перешли в ветку ```"Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell"``` и включили ведение журнала и модулей для содержимого ```Microsoft.Powershell.*```. Применили политику на домен.  _Рис.29 Включили ведение журнала и модулей_  _Рис.30 Применили политику на домен_
9. Настроили журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп через протокол SAMRPC. В политике контроллеров домена создадили 3 новых объекта правки реестра.  _Рис.31 Новый объект реестра 1_  _Рис.32 Новый объект реестра 2_  _Рис.33 Новый объект реестра 3_
10. Настроили параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп. Параметр расположен по пути ```Computer Configuration\Policies\Windows Settings\Security Settings\Local Settings\Security Options```. Дали доступ на выгрузку для группы пользователей Administrators и пользователю ADMIgor.  _Рис.34 Доступ на выгрузку для группы пользователей Administrators и пользователя ADMIgor_
11. В заключение настроили журналирование попыток выгрузки, добавили ещё один параметр в реестр. Ветка реестра: ```SYSTEM\CurrentControlSet\Control\Lsa```. Имя параметра ```RestrictRemoteSamAuditOnlyMode```, Decimal-значение REG_DWORD 1.  _Рис.35 Настройка журналирования попыток выгрузки_
Sign in with Wallet
Connect another wallet