# Windows_Basic-Криворученко_Савелий-Практика_4.1,2,3,4 ***4.1*** Задание: Настроить перенаправление запросов DNS, не относящихся к зоне pt.local, на внешний DNS сервер. В дополнение -- сконфигурировать зону обратного просмотра. *1.1 DNS.* Зайдем в оснаску dns и dns записи  Для настройки forwarders перейдем настройки сервера dns  Перейдем в forwarders -> edit , добавим сеть микротика:  После чего применим настройку (apply)  Настроим зону обратного просмотра (ЛКМ+reverse lookup zone --> new zone)  Оставив по умолчанию пункты: 1. параметры репликации 2. Тип zone. и перейдем в настройку IP4:  Оставим динамическое обновление зоны  **ИТОГОВЫЕ НАСТРОЙКИ**  *созданная обратная зона*  ***4.2,3*** Задание: 1) Настроить сервис DHCP 2) Настроить отказоустойчивость DHCP Откроем оснастку DHCP, развернем меню DHCP и выберем IPv4  Добавим новый scope (IPv4 --> ПКМ)  создаем имя бассейна  выбираем диапазон адресов, не изменяя маску сети  не указываем исключения, а также по умолч. время аренды (8 дней) + сконфигурируем сейчас    Введем адрес роутера  Добавим резервный DNS  Не добавляя win server, активирую область  Параметры scope:  Перейдем к настройке DHCP в win 10, зайдя под учеткой админа  Теперь в Kali:  информация об аренде:  **ОТКАЗОУСТОЙЧИВЫЙ DHCP** Задача: настроить резервирование по технологии Hot Standby Выберем на нашем scope (пкм --> configure failover) + выберем pool по умолчанию  Добавим резервный сервер партнер  Настроим failover // с первого раза не получилось, пришлось обновлять DHCP  подтвердим настройку  Перейдем в dc2 для сверки правильности процесса  *Все получилось верно* показаны отношения между серверами # ***4.4 - Групповые политики*** **Политика аудита** Зайдем в групповую политику и перейдем по лесу:  Отредактируем политику контроллеров доменна  Настроим политику компьютера Object Access ( аудит сетевых папок,аудит файловой системы)   **Политики защиты от mimikatz** **Запрет Debug** Создаем новую политику в папке GPO  Выберем крутое название ಥ_ಥ  Перейдем в настройки политики и найдем политику debug и добавим права отладки Петру и Админу   Применим политику домена на всех устройствах   Проверяем на win 10 **Отключение WDigest** редактируем реестр   //Данная настройка применится ко всем компьютерам домена и пропишет в реестр нужный параметр, отключающий хранение в открытом виде пароля для авторизации в IIS// **Защита LSA от подключения сторонних модулей** Добавим в политику mimikatz_block_debug новый параметр реестра и настроим:  **политик для SIEM** **Включение аудита командной строки и powershell** Создадим политику аудита audit_services_cmd_posh После чего Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов"  Активируем параметр "Включить командную строку в события создания процессов"  Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell" и включаем ведение журнала и модулей  Применим политику на домен  **Активация журналирования контроллерах домена** Отредактируем политику контроллеров домена  Создадим новый объект правки реестра  # **скоро конец ༼ つ ಥ_ಥ ༽つ ** **Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп**  Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr  **В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр**