# **Windows_Basic-Яртыбаш_Дмитрий-Практика-4** # *Практическая работа №4.1 DNS.* * На машине WS16-1 зайдем в оснастку DNS и проверим имеющиеся DNS-записи:  * Добавим в Forwarders адрес микротика для перенаправления DNS-запросов на внешние сервера, убедимся, что добавление произошло корректно, затем применим настройки:  * Настроим Reverse Lookup Zone с помощью визарда:  * Проверим, что обратная зона создалась:  --- # *Практическая работа №4.2 DHCP.* * Из оснастки DHCP с помощью визарда создадим новую область DHCP, укажем диапазон выдаваемых адресов и маску:  * Затем добавим адрес микротика в качестве шлюза:  * Добавим адрес резервного домена (он же будет выполнять функции резервного DNS):  * Завершим создание области, после чего она появляется в меню:  * Настроим Win10 на автоматическое получение параметров сети по DHCP:  * ...и проверим, что параметры получены:  * Аналогично настроим kali:  * Проверим факт аренды на dc1 в меню "address leases":  --- # *Практическая работа №4.3 Отказоустойчивый DHCP.* * С помощью пункта Configure failover в меню созданной нами DHCP-области, настроим резервирование, укажем в качестве сервера-партнера сервер dc2:  * Выставим необходимые настройки резервирования:  * Увидим сообщение об успешном создании кластера:  * Перейдем в dc2 и посмотрим свойства области, пункт "Отработка отказа", убедимся, что все настроилось корректно:  --- # *Практическая работа №4.4 GPO.* 1. Политика аудита * Увидим базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены:  * Отредактируем политику контроллеров домена. Конкретнее - настроим политику компьютера Object Access:  * Включим аудит сетевых папок:  * ...и аудит файловой системы:  2. Политики защиты от mimikatz 1. Запрет Debug * Создадим в папке GPO новую политику "mimikatz_block_debug", перейдем в ее настройки, найдем политику debug, позволяющую обращаться с особыми правами к памяти процесса lsass. Отредактируем политику так, чтобы указанные права отладки были только у аккаунтов Администратора и ADMPetr:  * Применим политику ко всему домену:  3. Защита LSA от подключения сторонних модулей. Добавим в политику mimikatz_block_debug новый параметр реестра и настроим параметр, активирущий защиту LSA:  3. Настройки политик для SIEM 1. Включение аудита командной строки и powershell * Создадим новый объект групповой политики:  * Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов" и активируем параметр "Включить командную строку в события создания процессов":  * Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell" и выберем пункт "Включить ведение журнала и модулей". Выберем пункт "Включить ведение журнала и модулей" и пропишем нужный параметр:  * Применим политику:  2. Активация журналирования на контроллерах домена. Настройка журналирования LDAP-запросов и неудачных попыток выгрузки членов доменных групп * В политике контроллеров домена изменим параметр реестра:  * Также создадим 2 новых параметра реестра:   * Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп. Выдадим разрешения группе Администраторы и пользователю ADMPetr:  * Настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр: