Занятие 4. Инфраструктурные сервисы в домене

# Занятие 4. Инфраструктурные сервисы в домене > - [x] Часть 1. DNS > > 1. Зайдём в оснастку DNS > > ![](https://i.imgur.com/SgUlJZu.png) > > 2. Просмотрим текущие DNS записи > ![](https://i.imgur.com/CHj9eBQ.png) > > 3. Настроим форвард. Перейдём в настройки сервера DNS > > ![](https://i.imgur.com/n8XxH5Y.png) > > 4. Откроем вкладку "forwarders" > > ![](https://i.imgur.com/7bAr3lM.png) > > 5. Зайдём в пункт "edit" > > ![](https://i.imgur.com/3WsRp6n.png) > > 6. Введём адрес mikrotik. Именно он будет перенаправлять DNS запросы на внешние сервера > > 7. Увидим, что настройка прошла корректно > > ![](https://i.imgur.com/VtlnzXl.png) > > 8. Закроем окно и применим настройки, после чего закроем окно свойств DNS > > 9. Настроим зону обратного просмотра. Нажмём ЛКМ на "reverse lookup zone", а после нажмём на неё ПКМ > > ![](https://i.imgur.com/ZJftPgp.png) > > 10. Нажмём "new zone". Откроется меню создания зоны. NEXT > > ![](https://i.imgur.com/cdcLQgW.png) > > 11. Оставляем пункт "primary zone". NEXT > > ![](https://i.imgur.com/nXY8dFm.png) > > 12. Аналогично оставляем по умолчанию параметры репликации. NEXT > > ![](https://i.imgur.com/SKi6sTx.png) > > 13. Настроим IPv4 зону. NEXT > > ![](https://i.imgur.com/Ybr4VUU.png) > > 14. Введём идентификатор зоны без последнего ip октета. Это наша сеть, для которой будет создана зона обратного просмотра. NEXT > > ![](https://i.imgur.com/v4DajLF.png) > > 15. Оставим пункт по умолчанию для динамического обновления зоны. > > ![](https://i.imgur.com/c3853WR.png) > > 16. Сверимся с итоговыми настройками и завершим конфигурацию > > ![](https://i.imgur.com/2jBKR2A.png) > > 17. Увидим созданную обратную зону > > ![](https://i.imgur.com/cScLXQu.png) > - [x] Часть 2. DHCP > > 1. Откроем оснастку DHCP > > ![](https://i.imgur.com/JYUvXPi.png) > > 2. Развернём меню DHCP и выделим IPv4 > > ![](https://i.imgur.com/p04wR9o.png) > > 3. Нажмём на IPv4 ПКМ и выберем "new scope" > > ![](https://i.imgur.com/VFeBvdd.png) > > 4. Приступим к созданию области DHCP. NEXT > > ![](https://i.imgur.com/ITBYdlv.png) > > 5. Введём имя области, например pool1. NEXT > > ![](https://i.imgur.com/4zCbDXk.png) > > 6. Укажем диапазон выдаваемых адресов. NEXT > > ![](https://i.imgur.com/QKoA0EA.png) > > 7. Не будем указывать исключения из диапазона. NEXT > > ![](https://i.imgur.com/2W2oeIa.png) > > 8. Оставим время аренды по умолчанию, 8 дней. NEXT > > ![](https://i.imgur.com/56kedgl.png) > > 9. Сконфигурируем область сейчас. NEXT > > ![](https://i.imgur.com/zxBAe4I.png) > > 10. Введём адрес роутера и нажмём "add". NEXT > > ![](https://i.imgur.com/MVmTlnC.png) > > 11. Введём адрес резервного контроллера домена, он же будет резервным DNS. Нажмём "add" > > ![](https://i.imgur.com/CW7gLEQ.png) > > 12. WINS серверов у нас не будет. NEXT > > ![](https://i.imgur.com/qBOkb61.png) > > 13. Активируем область сейчас > > ![](https://i.imgur.com/QVz8sJy.png) > > 14. Завершим работу визарда > > ![](https://i.imgur.com/G5fCDt5.png) > > 15. Новая область появится в меню, можно будет просмотреть её параметры > > ![](https://i.imgur.com/MGFKUVl.png) > > 16. Настроим Win10 на автоматическое получение параметров сети по DHCP > > ![](https://i.imgur.com/SnmdlZ0.png) > > 17. Настроим Kali Linux на автоматическое получение параметров сети по DHCP > > ![](https://i.imgur.com/5MDyKDa.png) > > 18. Вы увидите информацию об аренде на dc1 в меню "address leases" > > ![](https://i.imgur.com/jPnVUPf.png) > - [x] Часть 3. Отказоустойчивый DHCP > > 1. Нажмём ПКМ на scope и выберем "configure failover" > > ![](https://i.imgur.com/YCg3oPK.png) > > 2. Выберем ip пулы для резервирования (он у нас один и будет выбран по умолчанию, так что NEXT) > > ![](https://i.imgur.com/88ZOZr8.png) > > 3. Выберем сервер-партнёр.Нажмём "add server" > > ![](https://i.imgur.com/o6lVCd4.png) > > 4. В меню добавления сервера выберем в качестве резервного dc2 > > ![](https://i.imgur.com/Ogzo7vw.png) > > 5. После добавления идём дальше. NEXT > > ![](https://i.imgur.com/oIrWHlq.png) > > 6. Настроим failover. Выберем режим Hot Standby и снимем галочку с пункта аутентификации. Хоть это и не безопасно, но в рамках нашей работы не принципиально > > ![](https://i.imgur.com/5Db8m21.png) > > 7. Подтвердим настройки > > ![](https://i.imgur.com/K7derIA.png) > > 8. Увидим вывод успешного создания кластера и закроем меню > > ![](https://i.imgur.com/cm9Th5M.png) > > 9. Проверим, что всё работает хорошо. Перейдём в dc2 в оснастку dhcp и просмотрим свойства области, которая там появилась > > ![](https://i.imgur.com/37JtN0q.png) > > 10. Перейдём в меню "отработка отказа" и увидим, что все настройки применились корректно > > ![](https://i.imgur.com/BqeUgIX.png) > - [x] Часть 4. Групповые политики > > 1. Зайдём в Group policy management > > ![](https://i.imgur.com/ihD9tJg.png) > > 2. Развернём вложенные меню, увидим две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены > > ![](https://i.imgur.com/T9XPZaC.png) > > 3. Отредактируем политику контроллеров домена > > ![](https://i.imgur.com/nJBtEpg.png) > > 4. Настроим политику компьютера Object Access > > ![](https://i.imgur.com/YgJEMHJ.png) > > 5. Включим аудит сетевых папок > > ![](https://i.imgur.com/4GNcmnf.png) > > 6. Включим аудит файловой системы > > ![](https://i.imgur.com/2aqvxTh.png) > > 7. Создадим новую политику в папке GPO > > ![](https://i.imgur.com/Iq6YtBN.png) > > 8. Назовём её mimikatz_block_debug > > ![](https://i.imgur.com/6DBMGxF.png) > > 9. Перейдём в настройки политики > > ![](https://i.imgur.com/pFN5V95.png) > > 10. Найдём политику debug > > ![](https://i.imgur.com/GJXSy8n.png) > > 11. Настроим политику так, чтобы только у администратора и ADMPetr были права отладки > > ![](https://i.imgur.com/R9k3P7M.png) > > 12. Применим политику к домену, чтобы она сработала на всех ПК домена > > ![](https://i.imgur.com/VdmL1Se.png) > > ![](https://i.imgur.com/Nvqccob.png) > > 13. Пункт для проверки(выполнять не обязательно): На pc1 можно проверить, срабатывает ли mimikatz. Скачать его можно с github, но на pc1 нужно выключить защитник windows > > ADMPetr: > > ![](https://i.imgur.com/e2s8693.png) > > ADMIgor: > > ![](https://i.imgur.com/Mu3enWs.png) > > > > **Отключение WDigest** > > > > 14. Редактируем существующую политику mimikatz_block_debug, так как WDigest нужно аналогично отключить на всех ПК. Находим пункт правки реестра > > ![](https://i.imgur.com/PqUfQF3.png) > > 15. Создаем новый элемент реестра > > ![](https://i.imgur.com/neixzOc.png) > > 16. > > ![](https://i.imgur.com/827QyWV.png) > > 17. Применяем. Данная настройка применится ко всем компьютерам домена и пропишет в реестр нужный параметр, отключающий хранение в открытом виде пароля для авторизации в IIS > > ![](https://i.imgur.com/QneFOct.png) > > > > **Защита LSA от подключения сторонних модулей** > > > > 18. Добавим в политику mimikatz_block_debug новый параметр реестра > > ![](https://i.imgur.com/bRd18Ku.png) > > 19. Настроим параметр, активирущий защиту LSA > > ![](https://i.imgur.com/Vpxwl5L.png) > > > > **Настройки политик для SIEM** > > > > Для полноценного логирования домена необходимо провести настройки политик. Без этих логов SIEM не сможет обнаружить множество атак на домен. > > > > **Включение аудита командной строки и powershell** > > > > 20. Создадим политику аудита audit_services_cmd_posh > > ![](https://i.imgur.com/qy83mRW.png) > > 21. Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов" > > ![](https://i.imgur.com/fPhCYqI.png) > > 22. Активируем параметр "Включить командную строку в события создания процессов" > > ![](https://i.imgur.com/vCImOkQ.png) > > 23. Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell" > > ![](https://i.imgur.com/qIKgEeW.png) > > 24. Выберем пункт "Включить ведение журнала и модулей" > > ![](https://i.imgur.com/3sa5fba.png) > > 25. Включим этот параметр для содержимого > > ![](https://i.imgur.com/qqfNMT1.png) > > 26. Применим политику на домен > > ![](https://i.imgur.com/EUuReRY.png) > > ![](https://i.imgur.com/cCBs4GK.png) > > > > **Активация журналирования контроллерах домена** > > > > 27. Отредактируем политику контроллеров домена > > ![](https://i.imgur.com/1gKSYsF.png) > > 28. Создадим новый объект правки реестра > > ![](https://i.imgur.com/s76yhjK.png) > > 29. Изменим параметр реестра . Этот параметр уже существует, мы же его изменяем > > ![](https://i.imgur.com/senZCHL.png) > > 30. Изменим значение на 5. Внимание -- изменяем decimal значение > > ![](https://i.imgur.com/uBx5VIA.png) > > 31. Создадим 2 новых параметра реестра > > ![](https://i.imgur.com/CNN6UeR.png) > > ![](https://i.imgur.com/Z70jXqF.png) > > 32. Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп > > ![](https://i.imgur.com/0utjCdy.png) > > 33. Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr > > ![](https://i.imgur.com/a44Iwgr.png) > > 34. В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр > > ![](https://i.imgur.com/2VMTXOw.png)