Windows Server and Active Directory / Операционная система Windows и Active Directory

# Windows Server and Active Directory / Операционная система Windows и Active Directory ## Занятие 1 Oracle Virtualbox установлен ![](https://i.imgur.com/n0zhwik.png) Windows Server 2016-1 (английская версия), Windows Server 2016-2 (англ версия), Windows 10 установлены и Mikrotik импортирован ![](https://i.imgur.com/sLMJ9JS.png) На Mikrotik настроен сетевой адаптер локальной сети ![](https://i.imgur.com/NarF7lL.png) На Mikrotik настроен NAT ![](https://i.imgur.com/ND0vsYv.png) ## Занятие 2 Статические адреса настроены на двух WinServer; Статический адрес 192.168.10.200 на DC1 ![](https://i.imgur.com/EruSpW3.png) Статический адрес 192.168.10.201 на DC2 ![](https://i.imgur.com/0xcu1JH.png) Имена компьютеров Winserver и Win10 настроены (dc1, dc2, pc1); Настройка имени на сервере DC1 ![](https://i.imgur.com/MVH27e2.png) Настройка имени на сервере DC2 ![](https://i.imgur.com/g7FHORi.png) Настройка имени на сервере РС1 ![](https://i.imgur.com/hyUmAV3.png) На оба WinServer установлены роли AD, DHCP, DNS; Роли на сервера DC1 ![](https://i.imgur.com/bBwzzZW.png) Роли на сервера DC2 ![](https://i.imgur.com/LE4deQ4.png) WinServer en сконфигурирован как основной контроллер домена hackeru.local; WinServer ru сконфигурирован как второстепенный контроллер домена; Win10 внесён в домен. ![](https://i.imgur.com/cqjxR2x.png) ![](https://i.imgur.com/5HKabhf.png) ## Занятие 3 Применён скрипт newadusergroups.ps1 (созданы OU, пользователи и группы). По итогу в домене будет такая структура объектов: ![](https://i.imgur.com/BCdbxhx.png) ## Занятие 4 DHCP сервер сконфигурирован на DC1; ![](https://i.imgur.com/AlbrQAi.png) DHCP сервер сконфигурирован на DC2 (отказоустойчивость); ![](https://i.imgur.com/YokYQUu.png) Создана групповая политики расширенного логирования; ![](https://i.imgur.com/qgN8q2g.png) ![](https://i.imgur.com/g4bN3fk.png) ![](https://i.imgur.com/RpyfWlg.png) Политика применена на контейнер контроллеров домена; ![](https://i.imgur.com/KsdN73D.png) Политика применена на контроллеры домена. ![](https://i.imgur.com/PcFVVkO.png) ## Занятие 5 Создана сетевая папка "Share" на контроллере домена DC1; ![](https://i.imgur.com/fM32eUQ.png) Папка видна с DC2 ![](https://i.imgur.com/4bKpJ2K.png) К сетевой папке примены настройки аудита удаления файлов; ![](https://i.imgur.com/aDXfJ8T.png) От имени любого пользователя, работающего на Win10, проведено удаление вложенных файлов/папок из сетевой папки; ![](https://i.imgur.com/9z00Wgp.png) В журнале событий найдены события удаления. ![](https://i.imgur.com/cNRMkp0.png) В домене развернута роль DFS. Создана папка \\cyber-ed.local\DFS ![](https://i.imgur.com/ikMrLqp.png) Внутри папки \\cyber-ed.local\DFS созданы папки отделов ![](https://i.imgur.com/pafe5Z6.png) ![](https://i.imgur.com/3hUc7C6.png) Настроено распределение прав работников. Работники HR могут заходить и вносить изменение только в свою папку, а другие папки доступа нет. ![](https://i.imgur.com/Dc4tpaN.png) ![](https://i.imgur.com/Mrog6Io.png) Администратор имеет доступ на изменение во все папки. ![](https://i.imgur.com/r1ZkRG5.png) Пример настроки прав доступа на примере папки Buhg ![](https://i.imgur.com/VDtFwEb.png) ![](https://i.imgur.com/SEJSrQr.png) ![](https://i.imgur.com/CQnoTPj.png) ![](https://i.imgur.com/JClsEpp.png) ![](https://i.imgur.com/qQ4crYg.png) Создание различнх политик безопасности: Создание политики защиты от Mimikatz ![](https://i.imgur.com/aAwGrdJ.png) Настроим политику так, чтобы только у администратора и ADMPetr были права отладки ![](https://i.imgur.com/nqEZCOo.png) Отключение WDigest ![](https://i.imgur.com/iYhsZGx.png) Защита LSA от подключения сторонних модулей ![](https://i.imgur.com/BLTZFNl.png) Включение аудита командной строки и powershell Активируем параметр “Включить командную строку в события создания процессов” ![](https://i.imgur.com/lCdCdui.png) Выберем пункт “Включить ведение журнала и модулей” и включим этот параметр для содержимого Microsoft.Powershell.* ![](https://i.imgur.com/8Bl5h91.png) ## Занятие 6 Проведён бэкап файла NTDS; ![](https://i.imgur.com/UQLOHpA.png) Бэкап перекинут на Kali linux; ![](https://i.imgur.com/hooEPUo.png) Просмотрено содержимое файла с помощью secrestdump; ![](https://i.imgur.com/6YnTEl2.png) ![](https://i.imgur.com/ODqWb0n.png) ![](https://i.imgur.com/9yCwS25.png) Быстрое сканирование сети и обнаружение хостов, как либо взаимодействующих с протоколом smb; ![](https://i.imgur.com/JNUfiQU.png) Выполнение команды "whoami" от имени пользователя на удаленной машине посредством командной строки; ![](https://i.imgur.com/wo418Fx.png) Выполнение команды "ping 8.8.8.8" от имени пользователя на удаленной машине посредством командной строки; ![](https://i.imgur.com/j0lDtAH.png) Выполнение команды "shutdown -P" от имени пользователя на удаленной машине посредством командной строки; ![](https://i.imgur.com/928z542.png) //После этой команды сервер выключился, чего и мы и ожидали. Просмотр списка сетевых папок, доступных пользователю ADMPetr; ![](https://i.imgur.com/jT0tF8B.png) Запуск cmd windows для удаленной передачи команд на удаленный хост; ![](https://i.imgur.com/17NQsp4.png) Загружен .exe или .msi файл с Kali Linux на рабочий стол одного из пользователей win10; Подключились к Win10 использую HASH пароля ![](https://i.imgur.com/0MzMrLg.png) На Kali была расшарена папка Desktop ![](https://i.imgur.com/UdjmHks.png) Подключившись к Win10 используя HASH пароль, проверяем расшаренную папку и видим там файл .exe ![](https://i.imgur.com/tHW9oN6.png) Скачиваем файл ![](https://i.imgur.com/V5rTwI9.png) ![](https://i.imgur.com/oJ92LCY.png) Удалось подключиться с Kali по RDP на Win10; Изменение реестра на Win10 ![](https://i.imgur.com/UrleHhj.png) ![](https://i.imgur.com/ESIriq6.png) Подключение ![](https://i.imgur.com/QQtTgzX.png) ![](https://i.imgur.com/ktf5NzL.png) Responder Атаки на базовые протоколы Windows Проведем сканиерование сети (всех доступных нам хостов, для понимания, где мы находимся) ![](https://i.imgur.com/ajybt89.png) Проводим анализ трафика в сети ![](https://i.imgur.com/KLMcdmQ.png) ![](https://i.imgur.com/WGQzDKk.png) Начало атаки ![](https://i.imgur.com/LDzn23L.png) ![](https://i.imgur.com/6g8F4PR.png) Произведен перехват логина и HASH пароля учетной записи ADMPetr ![](https://i.imgur.com/tlJCqTN.png) Произведен перехват логина и HASH пароля учетной записи ADMIgor ![](https://i.imgur.com/AqSP58s.png) Произведен перехват логина и HASH пароля учетной записи Olga ![](https://i.imgur.com/gAEGFR0.png) Mitm6 Запущена атака ![](https://i.imgur.com/eh3ZeeQ.png) На Win10 изменился адрес DNS сервера ![](https://i.imgur.com/RchdeUA.png) Разворачиваем на kali smbserver ![](https://i.imgur.com/YMlBxRs.png) Заходим с Win10 на расшаренный ресурс ![](https://i.imgur.com/8t76SeJ.png) Произведен перехват логина и HASH пароля учетной записи Olga ![](https://i.imgur.com/6Sk6mlk.png) Произведен перехват логина и HASH пароля учетной записи ADMIgor ![](https://i.imgur.com/4ftDMyW.png) Произведен перехват логина и HASH пароля учетной записи ADMPetr ![](https://i.imgur.com/LEoTJT9.png) ## Занятие 7 Проведена атака zerologon; С сайта github скачали код, спозволяющий провести атаку ![](https://i.imgur.com/RIRdQWo.png) Провели сканирование сети, с целью обнаружения домен-контроллера ![](https://i.imgur.com/8vtBAIK.png) Аутентификация проведена ![](https://i.imgur.com/hBwGbSM.png) Копия NTDS базы получена и просмотренна удаленно ![](https://i.imgur.com/n7W4FmG.png) ![](https://i.imgur.com/scx0oG1.png) ![](https://i.imgur.com/rWmtM3w.png) Найдены события, подтверждающие факт компрометации домена. Событие 5805 ![](https://i.imgur.com/HNCt7Wq.png) Событие 4742 ![](https://i.imgur.com/fdEHiq6.png)