# Занятие 4. Инфраструктурные сервисы в домене ## Модуль: OS Windows & AD basic #### Выполнил: Галлямов Айрат _ _ _ ## Практическая работа №4.1 DNS 1. Настроили перенаправление запросов DNS, не относящихся к зоне pt.local, на внешний DNS сервер. Для этого зашли в оснастку DNS. ![](https://i.imgur.com/rakHuG7.png) _Рис.1 Сервис DNS_ ![](https://i.imgur.com/s9oYYgF.png) _Рис.2 Оснастка DNS_ 2. Настроили форвард. Для этого перешли в настройки сервера DNS и во вкладке "forwarders" добавили адрес mikrotik (192.168.10.254). Он будет перенаправлять DNS запросы на внешние сервера. ![](https://i.imgur.com/rhOyfbv.png) _Рис.3 Добавили адрес роутера_ 3. Далее мы настроили зону обратного просмотра. Для этого создали "new zone", в качестве zone type оставили "primary zone". В параметре идентификатора зоны прописали адрес нашей сети без последнего ip - это 192.168.10 . ![](https://i.imgur.com/uiZ2TVN.png) _Рис.4 Прописали адрес нашей сети без последнего_ 4. Проверили итоговые настройки и завершили конфигурацию обратного просмотра. Увидили успешно созданную обратную зону. ![](https://i.imgur.com/4U9cNHX.png) _Рис.5 Обратная зона_ ## Практическая работа №4.2 DHCP. Настроили сервис DHCP. 1. Открыли оснастку DHCP. Для IPv4 создали "new scope". Ввели имя области и указали диапазон выдаваемых адресов. Оставили время аренды по умолчанию, 8 дней. В качестве адреса роутера ввели 192.168.10.254. Далее ввели адрес резервного контроллера домена, он же будет резервным DNS. После завершения настройки новая область появилась в меню. ![](https://i.imgur.com/flF5m0i.png) _Рис.6 Сервис DHCP_ ![](https://i.imgur.com/QBnmhiB.png) _Рис.7 Создание новой области DHCP и задание диапазона для пула адресов pool1_ ![](https://i.imgur.com/tfUqZe9.png) _Рис.8 Добавление резервного DNS сервера_ ![](https://i.imgur.com/xYnk8KL.png) _Рис.9 Завершение настройки_ 2. Настроили хост pc1 на автоматическое получение параметров сети по DHCP. ![](https://i.imgur.com/po9RZaS.png) _Рис.10 Получение параметров сети по DHCP на pc1_ ![](https://i.imgur.com/bsUADZL.png) _Рис.11 Полученные настройки для pc1_ 3. Аналогично pc1 настроили хост kali linux на автоматическое получение параметров сети по DHCP. ![](https://i.imgur.com/6at1cQp.png) _Рис.12 Настройка на получение параметров сети по DHCP_ ![](https://i.imgur.com/6Cnoyxg.png) _Рис.13 Полученные параметры сети по DHCP_ 4. Итоговая информация об аренде на dc1. ![](https://i.imgur.com/qssLsW3.png) _Рис.15 Информация об аренде на dc1_ ## Практическая работа №4.3 DHCP. Настроили отказоустойчивость DHCP. Настроили резервирование по технологии Hot Standby. 1. На текущем scope выбрали "configure failover". Добавили сервер-партнёр в качестве резервного dc2. Настроили failover: выбрали режим Hot Standby и сняли галочку с пункта аутентификации. ![](https://i.imgur.com/bRjkegJ.png) _Рис.16 Настройка отказоустойчивости DHCP на dc1_ ![](https://i.imgur.com/dpodJYh.png) _Рис.17 Указали в качестве резервного dc2_ ![](https://i.imgur.com/yudYlhU.png) _Рис.18 Настроили mode на Hot Standby_ ![](https://i.imgur.com/8vZ3Bbr.png) _Рис.18 Завершили настройку_ 2. Перешли в dc2 в оснастку dhcp и просмотрели свойства области, которая там появилась. Настройки применились корректно. ![](https://i.imgur.com/PNW0PDC.png) _Рис.19 Проверим успешность применной настройки на dc2_ ![](https://i.imgur.com/7MA5TA9.png) _Рис.20 Все настройки успешно применены на dc2_ ## Практическая работа №4.4 GPO. В данном пункте мы создали и настроили политику аудита файловой системы, политики защиты от mimikatz, политик для SIEM. 1. Перешли в Group policy management и увидили две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены. ![](https://i.imgur.com/LvakUv9.png) _Рис.21 Управление политиками_ ![](https://i.imgur.com/K25cFDY.png) _Рис.22 Установленные политики_ 2. Отредактировали политику контроллеров домена. Настроили политику компьютера Object Access (путь: Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access). Включили аудит сетевых папок и аудит файловой системы. ![](https://i.imgur.com/9oJAojP.png) _Рис.23 Политика компьютера Object Access. Включили аудит сетевых папок_ ![](https://i.imgur.com/A01hOgz.png) _Рис.24 Включили аудит файловой системы._ 3. Настроили политику защиты от mimikatz. Создали новую политику в папке GPO. Настроили политику debug (путь: Computer Configuration/Policies/Windows Settings/Security Settings/User rights Assignment). Теперь только у Администратора и ADMIgor есть права отладки. Применили политику к домену. ![](https://i.imgur.com/Fjnu6Tk.png) _Рис.25 Новая политика_ ![](https://i.imgur.com/S4QNhGa.png) _Рис.26 Настройка созданной политики_ ![](https://i.imgur.com/g3RH8Sh.png) _Рис.27 Определили пользователей с правами отладки_ ![](https://i.imgur.com/FevKBZh.png) _Рис.28 Применение политики на домен pt.local_ 4. На pc1 проверили, срабатывает ли mimikatz. ![](https://i.imgur.com/q76k7uZ.png) _Рис.29 Запуск mimikatz на pc1 от УЗ ADMPetr_ ![](https://i.imgur.com/BlNl9nZ.png) _Рис.30 Запуск mimikatz на pc1 от УЗ ADMIgor_ 5. Отредактировали существующую политику mimikatz_block, для отключения WDigest на всех ПК. В векту реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest добавили параметр UseLogonCredential, значение 0. ![](https://i.imgur.com/nfjQMuJ.png) _Рис.31 Добавили новый элемент реестра и изменили ветку реестра_ ![](https://i.imgur.com/PUH3XkU.png) _Рис.32 Применили настройку_ 6. Настроили защиту LSA от подключения сторонних модулей. Добавили в политику mimikatz_block_debug новый параметр реестра. Ветка: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA, имя параметра: RunAsPPL, значение 1. ![](https://i.imgur.com/hcqc20I.png) _Рис.33 Добавили новый элемент реестра и yастроили защиту LSA_ 7. Настроили политики для SIEM. Создали политику аудита audit_services_cmd_posh. Перешли в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов" и активировали параметр "Включить командную строку в события создания процессов". ![](https://i.imgur.com/dEeaTcQ.png) _Рис.33 Создание новой политики_ ![](https://i.imgur.com/yMj9xB6.png) _Рис.34 Настройка новой политики и активация параметра_ 8. Далее перешли в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell" и включили ведение журнала и модулей для содержимого Microsoft.Powershell.* . Применили политику на домен. ![](https://i.imgur.com/Dr88UrD.png) _Рис.35 Включили ведение журнала и модулей_ ![](https://i.imgur.com/d2YBpCG.png) _Рис.36 Применили политику на домен_ ![](https://i.imgur.com/ae8bmSc.png) _Рис.37 Результат применения политики на домен_ 9. Настроили журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп через протокол SAMRPC. В политике контроллеров домена создадили 3 новых объекта правки реестра. ![](https://i.imgur.com/B1uT8eq.png) _Рис.38 Создание нового объекта реестра 1_ ![](https://i.imgur.com/xvw17a5.png) _Рис.39 Новый объект реестра 1_ ![](https://i.imgur.com/xfE3IlN.png) _Рис.40 Новый объект реестра 2_ ![](https://i.imgur.com/Gz01l2c.png) _Рис.41 Новый объект реестра 3_ 10. Настроили параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп. Параметр расположен по пути Computer Configuration\Policies\Windows Settings\Security Settings\Local Settings\Security Options. Дали доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr. ![](https://i.imgur.com/HIbJujV.png) _Рис.42 Доступ на выгрузку для группы пользователей Administrators и пользователя ADMPetr_ 11. В заключение настроили журналирование попыток выгрузки, добавили ещё один параметр в реестр. Ветка реестра: SYSTEM\CurrentControlSet\Control\Lsa. Имя параметра RestrictRemoteSamAuditOnlyMode, Decimal-значение REG_DWORD 1. ![](https://i.imgur.com/xKWZEne.png) _Рис.43 Настройка журналирования попыток выгрузки_