Практическая работа №4 Инфраструктурные сервисы в домене

# Практическая работа №4 Инфраструктурные сервисы в домене # # Часть 1. Настройка DNS # ## 1.1 Зайдём в оснастку DNS и просмотрим текущие DNS записи ## ![](https://i.imgur.com/qjbSfXz.png) ## 1.2 Настроим форвард. Перейдём в настройки сервера DNS ## ![](https://i.imgur.com/P5NR7lf.png) ## 1.3 Откроем вкладку "forwarders", зайдём в пункт edit и добавим адрес 192.168.10.254 (mikrotik) ## ![](https://i.imgur.com/cHtyQmk.png) Теперь mikrotik будет перенаправлять DNS запросы на внешние сервера. Появилась зелёная галочка значит настройка прошла коректно. ## 1.4 Настроим зону обратного просмотра ## Нажмём ЛКМ на "reverse lookup zone", а после нажмём на неё ПКМ. Выберем "new zone". Откроется меню создания зоны. ## 1.5 Процесс настройки зоны ## ![](https://i.imgur.com/4995fRK.png) ![](https://i.imgur.com/oj5F0dC.png) ![](https://i.imgur.com/MSkRCE8.png) ![](https://i.imgur.com/PnCFEzL.png) ![](https://i.imgur.com/17saJXm.png "Это сеть, для которой будет создана зона обратного просмотра") ![](https://i.imgur.com/ynpAyjB.png) ![](https://i.imgur.com/CSqZNu5.png) ## 1.6 Увидим созданную обратную зону ## ![](https://i.imgur.com/9USsgPq.png) # Часть 2. Настройка DHCP # ## 2.1 Зайдём в оснастку DHCP в дереве выберем IPv4 ## ![](https://i.imgur.com/wSDS5If.png) ## 2.2 Нажмём на IPv4 ПКМ и выберем "new scope" ## ![](https://i.imgur.com/wO9d3vj.png) ## 2.3 Процесс создания области DHCP ## ![](https://i.imgur.com/Wruwli9.png) В поле name можно ввести любое название. Поле description оставляем пустым. ![](https://i.imgur.com/i1iquq7.png) На первой панели задаём диапазон раздаваемых адресов. На второй панели указывается маска подсети. ![](https://i.imgur.com/Z8KgPCx.png) Exclusion позволяет исключить из ранее введённого пула диапазоны адресов. Можно пропустить. ![](https://i.imgur.com/AMBzhk3.png) Lease duration это время аренды ip адреса. Указывается в дни часы минуты. Оставим аренду по умолчанию. ![](https://i.imgur.com/AAk9nFH.png) Далее следует окно, в котором можно согласия на продвинутую конфигурацию. ![](https://i.imgur.com/rqeNxoy.png) Добавляем ip адрес интерфейса mikrotik (шлюз по умолчанию). ![](https://i.imgur.com/4So3XKd.png) Далее указываем имя домена и DNS сервера. Все данные уже были заполнены добавим резервный адрес dc2 в качестве DNS. В поле слева можно ввести доменное имя и получить соответствующий ip адрес. ![](https://i.imgur.com/WqgWqCx.png) Далее идёт настройка WINS сервера. В данное время не используется. WINS это реализация DNS которая была в windows. Служба уже устарела. Пропускаем эту настройку нажимаем next. ![](https://i.imgur.com/hPQFDUE.png) Далее можно поставить галочку (стоит по умолчанию) на согласие активации scope прямо сейчас. ![](https://i.imgur.com/71OCs4U.png) Завершение создание оласти. ![](https://i.imgur.com/LjtKRPJ.png) ## 2.4 Настроим Win10 на автоматическое получение параметров сети по DHCP ## ![](https://i.imgur.com/wZsL9QM.png) ## 2.5 Настроим Kali Linux на автоматическое получение параметров сети по DHCP ## ![](https://i.imgur.com/xlKWqXQ.png) ![](https://i.imgur.com/C8tf4Ah.png) ## 2.6 Можно увидеть информацию о аренде на dc1 ## ![](https://i.imgur.com/BsZ15pq.png) # Часть 3 Отказоустойчивость DHCP # ## 3.1 Нажмём ПКМ на scope и выберем "configure failover" ## ![](https://i.imgur.com/PIbPjIu.png) ## 3.2 Выберем ip пулы для резервирования ## ![](https://i.imgur.com/pILhtnc.png) ## 3.3 Выберем сервер-партнёр. Нажмём "add server" ## ![](https://i.imgur.com/CKUUzHJ.png) ## 3.4 В меню добавления сервера выберем в качестве резервного dc2 ## ![](https://i.imgur.com/k8VK9h9.png) ## 3.5 После добавления идём дальше. NEXT ## ![](https://i.imgur.com/cItUhA4.png) ## 3.6 Настроим failover ## Выберем режим Hot Standby и снимем галочку с пункта аутентификации. Хоть это и не безопасно, но в рамках нашей работы не принципиально. Сервер dc2 нужно включить. ![](https://i.imgur.com/cs6RXZd.png) ## 3.7 Подтвердим настройки ## ![](https://i.imgur.com/P8IFGsy.png) ## 3.8 Увидим вывод успешного создания кластера и закроем меню ## ![](https://i.imgur.com/P3k6MAR.png) ## 3.9 Проверим, что всё работает хорошо ## Перейдём в dc2 в оснастку DHCP и просмотрим свойства области, которая там появилась. ![](https://i.imgur.com/9AmN8qj.png) # Часть 4. Настройка груповой политики # ## 4.1 Зайдём в Group policy managemen ## По умолчанию созданы две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены. ![](https://i.imgur.com/Momf7mK.png) ## 4.2 Отредактируем политику контроллеров домена ## ![](https://i.imgur.com/1XKMNcE.png) ## 4.3 Настроим политику компьютера Object Access ## ![](https://i.imgur.com/p3xJ8Ha.png) ## 4.4 Включим аудит сетевых папок ## ![](https://i.imgur.com/AixptSG.png) ## 4.5 Включим аудит файловой системы ## ![](https://i.imgur.com/vUo14wQ.png) Можно посмотреть внесённые изменения в политики домен контролера. ![](https://i.imgur.com/C1anyCi.png) ## 4.6 Настройка политики защиты от mimikatz. Запрет Debug ## ### 4.6.1 Создадим новую политику в папке GPO ### ![](https://i.imgur.com/82xvqRW.png) ### 4.6.2 Назовём её mimikatz_block ### ![](https://i.imgur.com/dDgxdts.png) ### 4.6.3 Перейдём в настройки политики ### ![](https://i.imgur.com/d8BhZmM.png) ### 4.6.4 Найдём политику debug ### ![](https://i.imgur.com/WbjF8FY.png) ### 4.6.5 Настроим политику так, чтобы только у администратора и ADMPetr были права отладки ### ![](https://i.imgur.com/4wP8yUa.png) ![](https://i.imgur.com/bxJlFC7.png) ![](https://i.imgur.com/16oOer6.png) Аналагично был добавлен administrator. ### 4.6.6 Применим политику к домену, чтобы она сработала на всех ПК домена ### ![](https://i.imgur.com/ncSoQzb.png) ![](https://i.imgur.com/lLl6KbL.png) ### 4.6.7 Проверка ### Перейдём на хост win 10 rpo и запустим командную строку от имени администратора. Просмотреть политику компьютера нужно запустить консоль от имени администратора. Просмотреть политики можно командой gpresult /R. ![](https://i.imgur.com/ThmUZoL.png) ![](https://i.imgur.com/hQ8iaw1.png) Как видно групповая политика не была применена поскольку не наступило событие её применения. Командой Gpupdate обновим груповые полтики на хосте. ![](https://i.imgur.com/TTnSGCZ.png) Теперь политика была применена. ![](https://i.imgur.com/qA5Lr3X.png) Откроем командную строку от имени администратора под учётной записью ADMPetr. Откроем mimikatz. Командой privilege:: можно проверить привилегии пользователя. ![](https://i.imgur.com/tHtLrhK.png) ![](https://i.imgur.com/GN68fbY.png) ![](https://i.imgur.com/XEznWYv.png) Как видно у данного пользователя есть привилегия debug program. Зайдём под учётной записью ADMIgor и выполним аналогичные действия. ![](https://i.imgur.com/BKp1CYt.png) У данного пользователя таких прав нет. # Часть 5. Отключение WDigest # ## 5.1 Редактируем существующую политику mimikatz_block ## Перейдём к редактированию реестра ![](https://i.imgur.com/jTY5WBD.png) ## 5.2 Создаем новый элемент реестра ## ![](https://i.imgur.com/J0kcplT.png) ## 5.3 Добавим новое значение ## В ветке реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest добавим параметр UseLogonCredential = 0 отключающий хранение в открытом виде пароля для авторизации в IIS. ![](https://i.imgur.com/gIKMTRl.png) # Часть 6. Защита LSA от подключения сторонних модулей # ## 6.1 Добавим в политику mimikatz_block новый параметр реестра ## ![](https://i.imgur.com/lrO3MC6.png) ## 6.2 Настроим параметр, активирущий защиту LSA ## ![](https://i.imgur.com/HaBkFJr.png) # Часть 7. Настройки политик для SIEM # ## 7.1 Создадим политику аудита audit_cmd_posh ## ![](https://i.imgur.com/ZUt11wA.png) ## 7.2 Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов ## ![](https://i.imgur.com/nwYTVbQ.png) ## 7.3 Активируем параметр "Включить командную строку в события создания процессов" ## ![](https://i.imgur.com/gFhZRgU.png) ## 7.4 Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell" ## ![](https://i.imgur.com/qja3faw.png) ## 7.5 Выберем пункт "Включить ведение журнала и модулей" ## ![](https://i.imgur.com/GtyzQxj.png) ## 7.6 Включим этот параметр для содержимого ## ![](https://i.imgur.com/rhpYG4r.png) ![](https://i.imgur.com/dhKj4QV.png) ## 7.8 Можно посмотреть внесённые изменения в политики домен контролера ## ![](https://i.imgur.com/zdbGJCQ.png) ## 7.9 Применим политику ко всему домен ## ![](https://i.imgur.com/wjltMO5.png) ![](https://i.imgur.com/ILeKWqg.png) ![](https://i.imgur.com/BuGrE25.png) # Часть 8. Активация журналирования контроллерах домена # ## 8.1 Отредактируем политику контроллеров домена ## ![](https://i.imgur.com/acGaZJd.png) ## 8.2 Создадим новый объект правки реестра ## ![](https://i.imgur.com/1ruUuax.png) ## 8.3 Изменим параметр реестра ## ![](https://i.imgur.com/sNy8Czp.png) ## 8.4 Создадим 2 новых параметра реестра ## Параметры добавляются в ветку: SYSTEM\CurrentControlSet\Services\NTDS\Parameters ### 8.4.1 Добавим параметр Expensive Search Results Threshold = 1 ### ![](https://i.imgur.com/wFp85Nb.png) ### 8.4.2 Добавим параметр Inefficient Search Results Threshold = 1 ### ![](https://i.imgur.com/zbr0z1E.png) ## 8.5 Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп ## ![](https://i.imgur.com/wrEHBfc.png) ## 8.6 Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr ## ![](https://i.imgur.com/jb3P6Jv.png) ## 8.7 Добавим ещё один параметр в реестр RestrictRemoteSamAuditOnlyMode = 1 ## ![](https://i.imgur.com/D83CtHt.png)