Отчет по модулю Операционная система Windows и Active Directory. <br /> CYB4 - Востриков Кирилл

# Отчет по модулю Операционная система Windows и Active Directory. <br /> CYB4 - Востриков Кирилл ## Занятие 1 ### Oracle Virtualbox установлен ![](https://i.imgur.com/rbQD2ed.jpg) ### Oracle Virtualbox extentions установлены ![](https://i.imgur.com/EYtz32P.jpg) ### Windows Server 2016-1 (английская версия) установлен ![](https://i.imgur.com/gdhGCRm.jpg) ### Windows Server 2016-2 (русская или англ версия) установлен ![](https://i.imgur.com/GdjEV8y.jpg) ### Windows 10 установлен ![](https://i.imgur.com/OVsQJMT.jpg) ### Mikrotik импортирован ![](https://i.imgur.com/JLEfy5L.jpg) ### На Mikrotik настроен сетевой адаптер локальной сети ![](https://i.imgur.com/JF7R0Nl.jpg) ### На Mikrotik настроен NAT ![](https://i.imgur.com/wl4qsy1.jpg) --- ## Занятие 2 ### Статические адреса настроены на двух WinServer ![](https://i.imgur.com/oX7TNto.jpg) ![](https://i.imgur.com/Fz7faAN.jpg) ### Имена компьютеров Winserver и Win10 настроены (dc1, dc2, pc1) ![](https://i.imgur.com/DukvsnP.jpg) ![](https://i.imgur.com/fISJd7T.jpg) ![](https://i.imgur.com/ZVqFIWY.jpg) ### На оба WinServer установлены роли AD, DHCP, DNS ![](https://i.imgur.com/GYlChQf.jpg) ![](https://i.imgur.com/jYMZQDJ.jpg) ### WinServer en сконфигурирован как основной контроллер домена cyber-ed.local ![](https://i.imgur.com/o14eKKs.jpg) ### WinServer ru сконфигурирован как второстепенный контроллер домена ![](https://i.imgur.com/PP8D32g.jpg) ### Win10 внесён в домен ![](https://i.imgur.com/Opl8bM7.jpg) --- ## Занятие 3 ### Применён скрипт newadusergroups.ps1 (созданы OU, пользователи и группы). Так как для отчета я запускал скрипт повторно, для всех записей выдавалась ошибка already exists (уже есть) ![](https://i.imgur.com/BEKOpbx.jpg) ### По итогу в домене будет такая структура объектов (Так как настроена репликация, показываю на Win Srv 2016 - RU) ![](https://i.imgur.com/3xD7lTP.jpg) --- ## Занятие 4 ### DHCP сервер сконфигурирован на одном из контроллеров домена ![](https://i.imgur.com/UkPFXpt.jpg) ![](https://i.imgur.com/EuII2KZ.jpg) ![](https://i.imgur.com/MrLa30x.jpg) ### Создана групповая политика расширенного логирования ![](https://i.imgur.com/QuCZU6r.jpg) ![](https://i.imgur.com/tgbz5My.jpg) ### Политика применена на контроллеры домена ![](https://i.imgur.com/L2kgVBB.jpg) --- ## Занятие 5 ### Создана сетевая папка на одном из контроллеров домена ![](https://i.imgur.com/TCKzDnJ.jpg) ### К сетевой папке примены настройки аудита удаления файлов ![](https://i.imgur.com/TB1zi5i.jpg) ### От имени любого пользователя, работающего на Win10, проведено удаление вложенных файлов/папок из сетевой папки ![](https://i.imgur.com/5qGBUFY.jpg) ### В журнале событий найдены события удаления ![](https://i.imgur.com/jZqnrj9.jpg) ![](https://i.imgur.com/9HTVfUT.jpg) --- ## Занятие 6 ### Проведён бэкап файла NTDS ![](https://i.imgur.com/gMbttmu.jpg) ### Бэкап перекинут на Kali linux ![](https://i.imgur.com/vwcGVsq.jpg) ### Просмотрено содержимое файла с помощью secrestdump ![](https://i.imgur.com/OL7bRnB.jpg) ![](https://i.imgur.com/u90WYrb.jpg) ### Загружен .exe или .msi файл с Kali Linux на рабочий стол одного из пользователей win10 (были проблемы с SMB1) ![](https://i.imgur.com/RmfA38T.jpg) ![](https://i.imgur.com/6TplTEo.jpg) ![](https://i.imgur.com/shO7oOp.jpg) ![](https://i.imgur.com/TJSRDhW.jpg) ![](https://i.imgur.com/HjNMtcX.jpg) ![](https://i.imgur.com/Lb1Oewp.jpg) ![](https://i.imgur.com/bvTcOA7.jpg) ![](https://i.imgur.com/gd3bVAi.jpg) ### Удалось подключиться с Kali по RDP на Win10 ![](https://i.imgur.com/qMea5A3.jpg) ![](https://i.imgur.com/KOnVTN0.jpg) ![](https://i.imgur.com/9jMN9F2.jpg) ![](https://i.imgur.com/RjEP7pa.jpg) ![](https://i.imgur.com/n3fPpC5.jpg) ![](https://i.imgur.com/B4UGrxF.jpg) ![](https://i.imgur.com/0AGhnHB.jpg) ### С помощью mitm6 перехвачена аутентификация трёх пользователей домена #### Responder ![](https://i.imgur.com/iR591Cz.jpg) ![](https://i.imgur.com/jhfifFE.jpg) ![](https://i.imgur.com/e2dpUIG.jpg) --- #### MITM6 ![](https://i.imgur.com/l9wE7GP.jpg) ![](https://i.imgur.com/pDq5Wb8.jpg) ![](https://i.imgur.com/9r0mGpG.jpg) --- ## Занятие 7 ### Проведена атака zerologon ![](https://i.imgur.com/UeZIVjo.jpg) ### Просмотрено содержимое файла NTDS удалённо ![](https://i.imgur.com/UtB5k5a.jpg) ### Найдены события, подтверждающие факт компрометации домена ![](https://i.imgur.com/L5LbMcU.jpg) ![](https://i.imgur.com/5Kknm1T.jpg) --- ![](https://i.imgur.com/TDnYxlg.jpg)