# Практическая работа № 4 ## 4.1 Конфигурирование DNS. ### 4.1.1 Конфигурирование перенаправления запросов. Небходимо настроить перенаправление запросов DNS, не относящихся к зоне нашего домена pt.local на внешний DNS сервер. Конфигурацию будем производить средствами Powershell. Проверим текущие настройки серверов пересылки выполнив следующий командлент на сервере dc1. ```powershell= Get-DnsServerForvarder ``` Мы видим что есть только соседний DNS на сервере dc2  ```powershell= Set-DnsServerForwarder -IPAddress "192.168.10.254" -PassThru ``` Настроим пересылку на роутер  На сервере dc2 тоже настроим пересылку  ### 4.1.2 Создание зоны обратного просмотра. Для корректной работы DNS необходимо настроить обратную зону для нашей сети 192.168.10.0/24. Сначала проверим текущие обратные зоны. ```powershell= Get-DnsServerZone ``` Нашей зоны там нет  Создадим зону следующим командлетом и установим область репликации зоны "Домен", разрешим только безопасные динамические обновления ```powershell= Add-DnsServerPrimaryZone -NetworkId "192.168.10.0/24" -ReplicationScope Domain -DynamicUpdate Secure ``` Зона успешно создана  ## 4.2 Конфигурирование DHCP ### 4.2.1 Настройка областей выдачи адресов Необходимо сконфигурировать область выдачи адресов с 192.168.10.50 по 192.168.10.99. Конфигурировать будем средсвами Powershell. Просмотрим текущие области ```powershell= Get-DhcpServerv4Scope ``` Сконфигурированных областей нет  Создадим область с именем "pool1" ```powershell= Add-DhcpServerv4Scope -Name "pool1" -StartRange 192.168.10.50 -EndRange 192.168.10.99 -SubnetMask 255.255.255.0 -LeaseDuration 8.00:00:00 -State Active ``` Область создана  Установим для нашей области значения роутера, домена и DNS ```powershell= Set-DhcpServerv4OptionValue -ScopeId 192.168.10.0 -Router 192.168.10.254 -DnsDomain "pt.local" -DnsServer 192.168.10.200,192.168.10.201 Get-DhcpServerv4Scope -ScopeId 192.168.10.0 ``` Опции установлены  ### 4.2.2 Настройка отказоустойчивости DHCP Резервирование DHCP настроим по схеме Hot Standby Проверим текущее резервирование ```powershell= Get-DhcpServerv4Failover ``` Резервирования нет  Настроим резервирование и проверим результат ```powershell= Add-DhcpServerv4Failover -Name "dc1.pt.local-dc2.pt.local" -ComputerName "dc1.pt.local" -PartnerServer "dc2.pt.local" -ServerRole Active -ScopeId 192.168.10.0 -MaxClientLeadTime 1:00:00 -ReservePercent 5 -Force Get-DhcpServerv4Failover ``` Резервирование настроено  ## 4.3 Конфигурирование машин на динамическое получение адресов ### 4.3.1 Конфигурирование Windows 10 Проверим текущие настройки ```powershell= Get-NetIPConfiguration -InterfaceIndex (Get-NetAdapter).InterfaceIndex ``` Настроена статика  Сбросим настройки DNS и установим динамическое получение адресов ```powersell= Set-DnsClientServerAddress -InterfaceIndex (Get-NetAdapter).InterfaceIndex -ResetServerAddresses Set-NetIpInterface -InterfaceIndex (Get-NetAdapter).InterfaceIndex -Dhcp Enabled ```  Обновим и проверим конфигурацию ```powershell= ipconfig /renew Get-NetIPConfiguration -InterfaceIndex (Get-NetAdapter).InterfaceIndex ``` Аренда успешно получена  ### 4.3.2 Конфигурирование Kali Linux Kali Linux по умолчанию получает адреса динамически  Аренда успешно получена ### 4.3.3 Проверка аренды на DHCP сервере Просмотрим аренду на сервере ```powershell! Get-DhcpServerv4Lease -ScopeId 192.168.10.0 ``` Видим, что две машины получили аренду, это pc1 - Windows10 и kali - Kali Linux  ## 4.4. Использование GPO для настройки в среде Active Directory ### 4.4.1 Настройка контроллеров домена Настроим политики аудита на контроллерах домена. Будем править дефолтную политику.   Настроим аудит файловых шар  Аудит файловой системы  Аудит управления учетными записями машин  Аудит настроен  Настроим журналирование LDAP запросов через протокол SAMRPC Для этого по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics изменим параметр реестра 15 Field Engineering на 5  По тому же пути установим еще два параметра Expensive Search Results Threshold и Inefficient Search Result Threshold оба со значением 1   Разрешим только администраторам домена и ADMPetr просматривать членов доменных груп   Настроим также журналирование попыток выгрузки, изменив по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa параметр RestrictRemoteSamAuditOnlyMode в 1  На этом настройка контроллеров домена в данной работе закончена ### 4.4.2. Создание GPO для защиты от mimikzatz Создадим GPO для защиты от mimikatz  Ограничим право отладки только двумя пользователями: Administrator, ADMPetr  Право отладки установлено   Отключим WDigest для этого через GPP параметр реестра UseLogonCredential в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest установим в 0   Включим защиту LSA от подключения сторонних модулей Для этого через GPP установим параметр реестра RunAsPPL в 1 по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  Прилинкуем данное GPO к домену Политика прилинкована  ### 4.4.3 Настройка GPO аудита Настроим политику аудита для поддержки отправки логов в SIEM Создадим GPO audit_services_cmd_posh  Через данное GPO включим командную строку в события создания процессов  Включим ведение журнала powershell и укажем модули  Прилинкуем данную политику к домену  На этом данная работа закончена