Windows basics 4

# Windows basics 4 # Практика 4 - Инфраструктурные сервисы в домене *Выполнил Андреев Игорь Константинович* ## Часть 1 - DNS ### 1.1 Заходим в оснастку DNS ![](https://i.imgur.com/OmAhUhX.png) ### 1.2 Текущие DNS записи ![](https://i.imgur.com/npgQSpa.png) ### 1.3 Заходим в свойства, настроим форвард ![](https://i.imgur.com/DAcrlkG.png) ### 1.4 Добавляем адрес миркотика и видим, что настройка прошла корректно ![](https://i.imgur.com/nrUyqyb.png) ### 1.5 Настроим зону обратного просмотра ![](https://i.imgur.com/cjya1P0.png) ### 1.6 Поэтапная настройка ![](https://i.imgur.com/TYGgL8A.png) ![](https://i.imgur.com/COSr9mZ.png) ![](https://i.imgur.com/6w3Mt62.png) ![](https://i.imgur.com/CAxfMWq.png) ![](https://i.imgur.com/qVQ7nuQ.png) ![](https://i.imgur.com/SyI8eTl.png) ### 1.7 Зона создана ![](https://i.imgur.com/TEvPu5p.png) ## Часть 2 - DHCP ### 2.1 Заходим в оснастку DHCP ![](https://i.imgur.com/eANRNNg.png) ### 2.2 Развернём меню DHCP и выделим IPv4 ![](https://i.imgur.com/IJjk4Ud.png) ### 2.3 Создаём новый scope ![](https://i.imgur.com/WS2yLsK.png) ### 2.4 Поэтапная настройка ![](https://i.imgur.com/N9zLgEc.png) ![](https://i.imgur.com/vw6jOi8.png) ### Задаём диапозон ![](https://i.imgur.com/2BT4mXe.png) ### Ничего не исключаем ![](https://i.imgur.com/ktgziPp.png) ![](https://i.imgur.com/7x71Nci.png) ![](https://i.imgur.com/rhrOM8f.png) ![](https://i.imgur.com/LSqygSs.png) ![](https://i.imgur.com/Ie2VagZ.png) ![](https://i.imgur.com/TpYtHvK.png) ![](https://i.imgur.com/1at6eQq.png) ![](https://i.imgur.com/rxYRTco.png) ### 2.5 Настройка завершена ![](https://i.imgur.com/jcs4UNY.png) ### 2.6 Ставим автоматическое получение параметров сети по DHCP на win 10 ![](https://i.imgur.com/NjHpsi9.png) ### 2.7 Ставим автоматическое получение параметров сети по DHCP на linux ![](https://i.imgur.com/fYUhVTv.png) ### 2.8 Адреса были выданы ![](https://i.imgur.com/WNat2Yu.png) ## Часть 3 - Hot Standby ### 3.1 Настроим резервирование по технологии Hot Standby ![](https://i.imgur.com/aqhLgQa.png) ### 3.2 Поэтапная настройка ![](https://i.imgur.com/pryGIna.png) ### Нажимаем add server и выбираем dc2 ![](https://i.imgur.com/TVEZayE.png) ### Снимаем галочку Enable Message Auth и выбимраем hot standby в Mode ![](https://i.imgur.com/tv4n8Nb.png) ![](https://i.imgur.com/2F6LTfy.png) ### 3.3 Готово! ![](https://i.imgur.com/IW9sUdi.png) ### 3.4 Переходим в свойства области на DC2 ![](https://i.imgur.com/xIp4iwz.png) ### 3.5 увидим, что все настройки применились корректно ![](https://i.imgur.com/ynMpsbU.png) ## Часть 4 - Групповые политики ### 4.1 Заходим в Group policy management ![](https://i.imgur.com/DQv6Mx5.png) ### 4.2 Разворачиваем вложенные меню, и увидим две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены ![](https://i.imgur.com/48tlSjZ.png) ### 4.3 Отредактируем политику контроллеров домена ![](https://i.imgur.com/EwYaOgD.png) ### 4.4 Настроим политику компьютера Object Access ![](https://i.imgur.com/yTah2Gh.png) ### 4.5 Включаем аудит сетевых папок ![](https://i.imgur.com/Kl7A3hu.png) ### 4.6 Включаем аудит файловой системы ![](https://i.imgur.com/JToTyhk.png) ### 4.7 Создаём новую политику в папке GPO ![](https://i.imgur.com/0Z0hDTC.png) ### 4.8 Назоваем её mimikatz_block_debug ![](https://i.imgur.com/jCUF0Ms.jpg) ### 4.9 Переходим в настройки политики ![](https://i.imgur.com/Ck9zyZv.png) ### 4.10 Находим политику debug ![](https://i.imgur.com/a4vgUMQ.png) ### 4.11 Настраиваем политику так, чтобы только у администратора и ADMPetr были права отладки ![](https://i.imgur.com/r1R1GAs.png) ### 4.12 Применим политику к домену, чтобы она сработала на всех ПК домена ![](https://i.imgur.com/2fPIATE.png) ![](https://i.imgur.com/gRnchPD.png) ## Часть 5 - Защита LSA от подключения сторонних модулей ### 5.1 Добавим в политику Mimikatz block debug новый параметр реестра ![](https://i.imgur.com/NxnRTN1.png) ### 5.2 Настроим параметр, активирущий защиту LSA ![](https://i.imgur.com/pnl2ujx.png) ## Часть 6 - Включение аудита командной строки и powershell ### 6.1 Создадим политику аудита Audit Services cmd PowerShell ![](https://i.imgur.com/W0wJqHt.png) ### 6.2 Перейдём в ветку Audit Process Creation ![](https://i.imgur.com/SqRwyN0.png) ### 6.3 Активируем параметр 'Include command line in process creation events' ![](https://i.imgur.com/uPujGii.png) ### 6.4 Перейдём в ветку Windows PowerShell ![](https://i.imgur.com/YvmARbs.png) ### 6.5 Включим этот параметр для содержимого ![](https://i.imgur.com/fmIKbeG.png) ### 6.6 Применим политику на домен ![](https://i.imgur.com/K700pnb.png) ![](https://i.imgur.com/G2NduaB.png) ## Часть 7 - Активация журналирования контроллерах домена ### 7.1 Отредактируем политику контроллеров домена ![](https://i.imgur.com/22nQpPv.png) ### 7.2 Создадим новый объект правки реестра ![](https://i.imgur.com/boogh9D.png) ### 7.3 Изменим параметр реестра . Этот параметр уже существует, мы же его изменяем ![](https://i.imgur.com/vwKoy92.png) ### 7.4 Изменим значение на 5 ![](https://i.imgur.com/PRPDRvE.png) ### 7.5 Создадим 2 новых параметра реестра ![](https://i.imgur.com/hHUilqu.png) ![](https://i.imgur.com/Lh9lJe4.png) > После выполнения этих действий в журнале Directory Service будут создаваться события с идентификатором 1644 для каждого LDAP запроса ### 7.6 Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп ![](https://i.imgur.com/kB0NQDE.png) ### 7.7 Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr ![](https://i.imgur.com/9RLkxSH.png) ### 7.8 Настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр ![](https://i.imgur.com/bqK5Isr.png)