# Windows_Basic-Фадеев_Александр-Практика-4
## Практическая работа №4.1
### Часть 1. DNS
Зайдём в оснастку DNS.
ПКМ по dc1, properties.
Откроем вкладку "forwarders".
Зайдём в пункт "edit.
Введём адрес mikrotik. Именно он будет перенаправлять DNS запросы на внешние сервера.
Увидим, что настройка прошла корректно.
Закроем окно и применим настройки, после чего закроем окно свойств DNS.
---
Настроим зону обратного просмотра. Нажмём ЛКМ на "reverse lookup zone", а после нажмём на неё ПКМ
Нажмём "new zone". Откроется меню создания зоны. NEXT
Оставляем пункт "primary zone". NEXT
Аналогично оставляем по умолчанию параметры репликации. NEXT
Настроим IPv4 зону. NEXT
Введём идентификатор зоны без последнего ip октета. Это наша сеть, для которой будет создана зона обратного просмотра. NEXT
Сверимся с итоговыми настройками и завершим конфигурацию
Увидим созданную обратную зону
## Практическая работа №4.2,3 DHCP.
### Часть 2. DHCP
Откроем оснастку DHCP
Развернём меню DHCP и выделим IPv4
Нажмём на IPv4 ПКМ и выберем "new scope"=
Приступим к созданию области DHCP. NEXT
Введём имя области, например pool1. NEXT
Укажем диапазон выдаваемых адресов. NEXT
Не будем указывать исключения из диапазона.
Оставим время аренды по умолчанию, 8 дней. NEXT
Сконфигурируем область сейчас. NEXT
Введём адрес роутера и нажмём "add". NEXT
Введём адрес резервного контроллера домена, он же будет резервным DNS. Нажмём "add"
WINS серверов у нас не будет. NEXT
Активируем область сейчас
Завершим работу визарда
Новая область появится в меню, можно будет просмотреть её параметры
Настроим Win10 на автоматическое получение параметров сети по DHCP
Настроим Kali Linux на автоматическое получение параметров сети по DHCP
Вы увидите информацию об аренде на dc1 в меню "address leases"
### Часть 3. Отказоустойчивый DHCP
Нажмём ПКМ на scope и выберем "configure failover"
Выберем ip пулы для резервирования (он у нас один и будет выбран по умолчанию, так что NEXT)
После добавления идём дальше. NEXT
Настроим failover. Выберем режим Hot Standby и снимем галочку с пункта аутентификации. Хоть это и не безопасно, но в рамках нашей работы не принципиально
Подтвердим настройки
Увидим вывод успешного создания кластера и закроем меню
Проверим, что всё работает хорошо. Перейдём в dc2 в оснастку dhcp и просмотрим свойства области, которая там появилась
Перейдём в меню "отработка отказа" и увидим, что все настройки применились корректно
## Практическая работа №4.4 GPO.
### Часть 4. Групповые политики
Зайдём в Group policy management
Развернём вложенные меню, увидим две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены
Отредактируем политику контроллеров домена
Настроим политику компьютера Object Access
`Путь до политики выглядит следующим образом: Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access`
Включим аудит сетевых папок
Включим аудит файловой системы
### Политики защиты от mimikatz
### Запрет Debug
Создадим новую политику в папке GPO
Назовём её mimikatz_block_debug
Перейдём в настройки политики
Найдём политику debug
`Путь до политики выглядит следующим образом: Computer Configuration/Policies/Windows Settings/Security Settings/User rights Assignment`
Настроим политику так, чтобы только у администратора и ADMPetr были права отладки
Применим политику к домену, чтобы она сработала на всех ПК домена
Защита LSA от подключения сторонних модулей
`Чтобы включить эту защиту, вам необходимо создать параметр RunAsPPL со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.`
`имя параметра: RunAsPPL`
### Настройки политик для SIEM
### Включение аудита командной строки и powershell
Создадим политику аудита audit_services_cmd_posh
Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов
Активируем параметр "Включить командную строку в события создания процессов"
Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell"
Выберем пункт "Включить ведение журнала и модулей"
Включим этот параметр для содержимого
Применим политику на домен
### Активация журналирования контроллерах домена
Настроим журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп через протокол SAMRPC
Отредактируем политику контроллеров домена
Создадим новый объект правки реестра
Изменим параметр реестра . Этот параметр уже существует, мы же его изменяем
```
ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
имя параметра: 15 Field Engineering
```
Изменим значение на 5. Внимание -- изменяем decimal значение
Создадим еще 2 новых параметра реестра
```
Имена параметров **Expensive Search Results Threshold** и Inefficient Search Result Threshold, Decimal-значение REG_DWORD 1
Ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
```
Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп
`Параметр расположен по пути
"Computer Configuration\Policies\Windows Settings\Security Settings\Local Settings\Security Options"`
Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr
В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр
```
Ветка реестра: SYSTEM\CurrentControlSet\Control\Lsa
Имя параметра RestrictRemoteSamAuditOnlyMode, Decimal-значение REG_DWORD 1
```
Sign in with Wallet
Connect another wallet