# Win. Практическая работа №4.1 Цель - Настроить перенаправление запросов DNS, не относящихся к зоне pt.local, на внешний DNS сервер. А также сконфигурировать зону обратного просмотра. 1. Настройка Forward lookup Zone Укажем ip-адрес объекта, который будет перенаправлять DNS запросы. Для нас это будет Микротик с адресом 192.168.10.254. Настройку делаем в свойствах DC1, вкладка Forwards.  ВАЖНО! На самом Микротике должен быть указан сервер, куда перенаправляются запросы и разрешены обратные запросы. 3. Настройка Reverse lookup Zone Создаем новую зону Reverse lookup Zone, нажав ПКМ. Все шаги проходим по умолчанию, ничего не меня. Идентификатор сети, в рамках которой работает наш реверс, указываем `192.168.10`  4. Тестирование. Создадим несколько записей и протестируем работу DNS. Например, создадим алиас для pc1 назовем его pc10. Теперь, если пинговать pc10, то на самом деле пингуется pc1.  При создании pointer-записи с именем pc50 для ip 192.168.10.50 в реверс-зоне команда nslookup 192.168.10.50 теперь будет находить два dns имени pc1 и pc50. Значит, наша конфигурация рабочая.  ## Практическая работа 4.2 Цель работы - настроить сервис DHCP и сделать его отказоустойчивым. 1. Настраиваем сервис DHCP Открываем оснастку DHCP и развернув меню dc1.pt.local, выделим IPv4. ПКМ выберем пункт Новая область. Далее, по шагам заполняем следующие данные: Название: pool1 Диапазон выдаваемых адресов: 192.168.10.50 -- 192.168.10.99 Исключения из диапазона: пропускаем Время аренды адресов: оставляем 8 дней Конфигурировать доп. опции: сейчас Адрес роутера: 192.168.10.254 Адрес резервного контроллера домена: 192.168.10.201 или dc2 WINS серверы: пропускаем Активировать облать: да Область создана, можем посмотреть ее опции  2. Тестирование работы DHCP Настроим параметры адаптера на Win10 и Kali на автоматическое получение ip адреса. После этого заходим в оснастку DHCP и в Address Leases видим, что выданы два адреса. Как раз для Win10 и Kali.  3. Настройка отказоустойчивости DHCP Чтобы обеспечить отказоустойчивость, необходимо добавить в настройки DHCP резервный сервер-партнер, которым у нас будет являться сервер dc2. Для добавления сервера, нажмём ПКМ на scope и выберем Configure Failover. Резервирование настраиваем по технологии Hot Standby. Далее по шагам выбираем следующие настройки: Доступные пулы: 192.168.10.0 (он там один) Партнерский сервер: dc2.pt.local Create a new failover: Mode: Hot Standby Enable Message Authentification: снять галку 4. Проверка применения настроек На DC2 открываем оснастку DHCP и видим, что наши настройки передались на резервный сервер  Перейдем на закладку Отработка отказа через Область > ПКМ > Свойства и убедимся, что все настройки применились корректно.  ## Практическая работа 4.3 Цель работы - получить навыки создания и настройки политики аудита ФС, защиты от mimikatz и провести настройку политики для SIEM. 1. Создаем и настраиваем политику аудита ФС. Включим возможность логирования сетевых файловых ресурсов с помощью групповых политик. Для этого запустим оснастку Group policy Managment и настроим политику компьютера Object Access через редактирование политики контроллера домена. В Object Access мы включаем Аудит сетевых папок и Аудит файловой системы. Включаем как успешные, так и неуспешные попытки.  2. Создаем и настраиваем политики защиты от mimikatz Создадим новую политику в папке GPO и назовем ее mimkatz_block. Далее перейдем к ее настройке в редакторе. Для чего найдем политику debug и изменим ее так, чтобы админ ADMPetr имел право на отладку.  После, применим политику ко всем ПК домена с помощью ПКМ на pt.local и пункта Link an Existing GPO... 3. Тестируем политику mimkatz_block Обновим политики на ПК Win10 с помощь команды gpupdate и проверим, применились ли они.  Зайдем в Win10 сначала под ADMIgor и запустим mimkatz. Мы видим, что работа программы блокируется нашей политикой.  Теперь, зайдем под ADMPetr, у которого есть права на debug и также сделаем провеку привилегий пользователя. Привилегии дебага есть.  Также, добавим к нашей политике защиту LSA от загрузки сторонних модулей, создав новый параметр реестра  Теперь, модули не имеющие подписи Майкрософт и подключаемые модули без подписи не будут загружаться в LSA. 4. Провести настройки политик для SIEM Чтобы полноценно логировать домен, необходимо провести настройки соответствующих политик, без которых SIEM не сможет получить логи и обнаружить большое количество атак на домен. Для начала включим аудит командной строки и powershell, для чего создадим политику аудита audit_cmd_powsh. После, активируем параметр "Включить командную строку в события создания процессов"  Далее, аналогичным образом включим "ведение журнала и модулей", перейдя в ветку Административные шаблоны/Компоненты Windows/Windows PowerShell. И добавив имя модуля Microsoft.Powershell.*  После всего этого, применим политику ко всему домену. Теперь, настроим журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп. Для этого нужно отредактировать политику контроллеров домена, создав новые параметры как на фото ниже  Создав и отредактировав первые три параметра у нас, в журнале Directory Service будут создаваться события с идентификатором 1644 для каждого LDAP запроса. Четвертый параметр настраивает журналирование попыток выгрузки. И в конце включим параметр, разрешающий только определенным пользователям выгружать членов доменных групп. Разрешим это делалать пользователю ADMPetr.