Занятие 4. Инфраструктурные сервисы в домене Практическая работа №4.1 DNS 1. Настроим форвард. Перейдём в настройки сервера DNS. Откроем вкладку "forwarders". Зайдём в пункт "edit". Введём адрес mikrotik. Увидим, что настройка прошла корректно. Закроем окно и применим настройки, после чего закроем окно свойств DNS  2. Настроим зону обратного просмотра. Нажмём ЛКМ на "reverse lookup zone", а после нажмём на неё ПКМ. Нажмём "new zone". Откроется меню создания зоны. Оставляем пункт "primary zone". Аналогично оставляем по умолчанию параметры репликации. Настроим IPv4 зону. Введём идентификатор зоны без последнего ip октета. Оставим пункт по умолчанию для динамического обновления зоны. Сверимся с итоговыми настройками и завершим конфигурацию  Практическая работа №4.2 DHCP 1. Откроем оснастку DHCP. Развернём меню DHCP и выделим IPv4. Нажмём на IPv4 ПКМ и выберем "new scope". Приступим к созданию области DHCP. Введём имя области. Укажем диапазон выдаваемых адресов. Не будем указывать исключения из диапазона. Оставим время аренды по умолчанию. Сконфигурируем область сейчас. Введём адрес роутера и нажмём "add". Введём адрес резервного контроллера домена, он же будет резервным DNS. WINS серверов у нас не будет. Активируем область сейчас. Завершим работу визарда  2. Настроим Win10 на автоматическое получение параметров сети по DHCP. Настроим Kali Linux на автоматическое получение параметров сети по DHCP  3. Настроим резервирование по технологии Hot Standby. Нажмём ПКМ на scope и выберем "configure failover". Выберем ip пулы для резервирования. Выберем сервер-партнёр. В меню добавления сервера выберем в качестве резервного ws-ru. После добавления идём дальше. Настроим failover. Выберем режим Hot Standby и снимем галочку с пункта аутентификации. Подтвердим настройки  Практическая работа №4.3 GPO 1. Зайдём в Group policy management. Отредактируем политику контроллеров домена. Настроим политику компьютера Object Access. Включим аудит сетевых папок. Включим аудит файловой системы  2. Создадим новую политику в папке GPO. Назовём её mimikatz_block_debug. Перейдём в настройки политики. Найдём политику debug. Настроим политику так, чтобы только у администратора и ADMPetr были права отладки  3. Применим политику к домену, чтобы она сработала на всех ПК домена  4. Добавим в политику mimikatz_block_debug новый параметр реестра. Настроим параметр, активирущий защиту LSA  5. Создадим политику аудита audit_services_cmd_posh. Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов". Активируем параметр "Включить командную строку в события создания процессов"  6. Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell". Выберем пункт "Включить ведение журнала и модулей"  7. Включим этот параметр для содержимого  8. Применим политику на домен  9. Отредактируем политику контроллеров домена. Создадим новый объект правки реестра 15 Field Engineering. Изменим параметр реестра. Изменим значение на 5  10. Создадим 2 новых параметра реестра: Expensive Search Results Threshold и Inefficient Search Result Threshold  11. Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп. Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr  12. В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр - RestrictRemoteSamAuditOnlyMode