# Windows_Basic-Остапенко_Владимир-Практика-4 ## Практическая работа №4.1 DNS. ### Задание 1) Настроить сервис DNS --- ### Часть 1. DNS > Провяю, что на микротике настроено перенаправление запросов > > ![](https://i.imgur.com/D62Tbgu.png) #### Зайдём в оснастку DNS и просмотрим текущие DNS записи ![](https://i.imgur.com/eso6PEd.png) #### Настроим форвард. Добавляю адрес mikrotik. Т.к. именно он будет перенаправлять DNS запросы на внешние сервера ![](https://i.imgur.com/spdGiUL.png) #### Настройка прошла успешно ![](https://i.imgur.com/Bmkic7v.png) #### Настройка зоны обратного просмотра 1) ![](https://i.imgur.com/V1O0gsF.png) > Начало создания зоны 2) ![](https://i.imgur.com/lbmlYLt.png) > Оставляю пункт "primary zone", и в дальнейших оставляю без изменений 3) ![](https://i.imgur.com/eUjguS5.png) > Ввожу идентификатор зоны для обратного просмотра 4) ![](https://i.imgur.com/5Z3J4WO.png) > Сверяюсь с итоговыми настройками и завершаю конфигурацию --- ### Заключение #### По итогу проделанной работы: 1) Был настроен сервис DNS --- ## Практическая работа №4.2,3 DHCP. ### Задание: 1) Настроить сервис DHCP 2) Настроить отказоустойчивость DHCP --- ### Часть 2. DHCP #### Открываю оснастку DHCP и в меню DHCP и выделю IPv4 ![](https://i.imgur.com/yH7tUok.png) #### Приступаю к созданию области DHCP ![](https://i.imgur.com/mTy9Owy.png) #### Называю область pool1 (как в примере из практики) ![](https://i.imgur.com/RNiZimV.png) #### Указываю диапазон выдаваемых адресов ![](https://i.imgur.com/rkgfRpd.png) #### Исключение не указываю ![](https://i.imgur.com/2k0rTWB.png) #### Оставляю время аренды по умолчанию - 8 дней. ![](https://i.imgur.com/rAQqdBD.png) #### Добавляю адресс роутера ![](https://i.imgur.com/gv9mLNB.png) #### Добавляю адрес резервного контроллера домена ![](https://i.imgur.com/lZRSlNw.png) #### Активирую область сразу ![](https://i.imgur.com/olbesh5.png) #### Завершаю работу Визарда ![](https://i.imgur.com/aUxniqi.png) > Область добавлена в меню > > ![](https://i.imgur.com/aUva5g9.png) > Настраиваю Win10 на автоматическое получение параметров сети по DHCP > > ![](https://i.imgur.com/Cf0Kxr3.png) > Настроим Kali Linux на автоматическое получение параметров сети по DHCP > > ![](https://i.imgur.com/14kwFZQ.png) > В меню "address leases" появились Win10 и kali > > ![](https://i.imgur.com/J8k0a0I.png) --- ### Часть 3. Отказоустойчивый DHCP Настроим резервирование по технологии Hot Standby #### ip пул для резервирования выбран по умолчанию ![](https://i.imgur.com/1FtpPjR.png) #### В качестве резервного сервера выбираю dc2 ![](https://i.imgur.com/qNinJ4r.png) #### Настройка failover. ![](https://i.imgur.com/XxtNHxf.png) #### Подтверждаю настройки ![](https://i.imgur.com/PEziyoo.png) > Успешное создания кластера > ![](https://i.imgur.com/XDdeRRs.png) #### В оснастке DHCP dc2, в меню "отработка отказа" видно, что все настройки применились корректно ![](https://i.imgur.com/BUcxsLG.png) --- ### Заключение #### По итогу проделанной работы: 1) Был настроен сервис DHCP 2) Была настроена отказоустойчивость DHCP --- ## Практическая работа №4.4 GPO. ### Задание 1) Создать и настроить политику аудита файловой системы 2) Создать и настроить политики защиты от mimikatz 3) Провести настройки политик для SIEM --- ### Часть 4. Групповые политики #### Политика аудита #### Перешёл в Group policy management ![](https://i.imgur.com/5qPgX7j.png) > Перехожу по пути: Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access > > ![](https://i.imgur.com/9jqjCLD.png) #### Включаю: 1) Аудит сетевых папок ![](https://i.imgur.com/boVyM0L.png) 2) Аудит файловой системы ![](https://i.imgur.com/gpWPt3q.png) #### Политики защиты от mimikatz, запрет Debug #### Создадаю политику mimikatz_block_debug в папке GPO ![](https://i.imgur.com/wlxWeeG.png) > Перехожу по пути: Computer Configuration/Policies/Windows Settings/Security Settings/User rights Assignment > > ![](https://i.imgur.com/P1MWL6W.png) #### Настраиваю политику так, чтобы только у администратора и ADMPetr были права отладки ![](https://i.imgur.com/DJSYVgI.png) --- ### Пункт для проверки №1 mimikatz #### После отключения защитника windows, передал с основной системы на PC1 репозиторий с mimikatz. Попытка выполнить команду от имени ADMPetr: ```bash! privilege::debug ``` Успешна: ``` Privilege '20' OK ``` ![](https://i.imgur.com/qc7hLDx.png) В то же время, выполнение данной команды от учётной записи ADMIgor привела к ошибке: ```bash! ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061 ``` ![](https://i.imgur.com/WcuYdSd.png) Следовательно, настройки были выполнены верно. (Возможный обход настроек дан на сомостоятельное изучение, в данном отсчёте опущу этот момент) --- ### Отключение WDigest #### Редактирую существующую политику mimikatz_block_debug. Находим пункт правки реестра ![](https://i.imgur.com/JfCIG7o.png) #### Создаем новый элемент реестра ![](https://i.imgur.com/3ZvQAyq.png) >ветка реестра: [color=#3b75c6] >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest >имя параметра: [color=#3b75c6] >UseLogonCredential > Значение выставляю в 0. [color=#3b75c6] #### Данная настройка применится ко всем компьютерам домена и пропишет в реестр нужный параметр, отключающий хранение в открытом виде пароля для авторизации в IIS --- ### Защита LSA от подключения сторонних модулей #### Добавлю в политику mimikatz_block_debug новый параметр реестра, активирущий защиту LSA ![](https://i.imgur.com/otA5aAD.png) >Ветка реестра: [color=#3b75c6] >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA >Имя параметра: [color=#3b75c6] >RunAsPPL > Значение выставляю в 1. [color=#3b75c6] --- ### Настройки политик для SIEM ### Включение аудита командной строки и powershell #### Создадаю политику аудита audit_services_cmd_posh ![](https://i.imgur.com/cVzmMac.png) #### Перехожу в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов" и активирую параметр "Включить командную строку в события создания процессов" ![](https://i.imgur.com/o66dbwX.png) #### Перехожу в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell". В пункте "Включить ведение журнала и модулей", включаю этот параметр для содержимого ![](https://i.imgur.com/vohvoBM.png) #### Применяю политику на домен ![](https://i.imgur.com/tBFgjRE.png) ![](https://i.imgur.com/lNhixvq.png) --- ### Активация журналирования контроллерах домена #### Отредактирую политику контроллеров домена ![](https://i.imgur.com/73qU8wz.png) #### Создам новый объект правки реестра ![](https://i.imgur.com/F4sER4b.png) >Ветка реестра: [color=#3b75c6] >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics >Имя параметра: [color=#3b75c6] >15 Field Engineering > Значение изменю в 5. [color=#3b75c6] #### Создам 2 новых параметра реестра 1) ![](https://i.imgur.com/ctZXEFp.png) 2) ![](https://i.imgur.com/HRw4NeV.png) >Ветка реестра: [color=#3b75c6] >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics >Имя параметров: [color=#3b75c6] >Expensive Search Results Threshold и Inefficient Search Result Threshold > Значение изменю в 1. [color=#3b75c6] :::info Теперь, после выполнения этих действий, в журнале Directory Service будут создаваться события с идентификатором 1644 для каждого LDAP запроса ::: #### Настрою параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп ![](https://i.imgur.com/6VuOzzL.png) > Параметр расположен по пути 'Computer Configuration\Policies\Windows Settings\Security Settings\Local Settings\Security Options' #### Предоставляю доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr ![](https://i.imgur.com/4VLa4qo.png) #### В заключение настрою журналирование попыток выгрузки, добавлю ещё один параметр в реестр ![](https://i.imgur.com/3vc5Wgg.png) >Ветка реестра: [color=#3b75c6] >SYSTEM\CurrentControlSet\Control\Lsa >Имя параметра: [color=#3b75c6] >RestrictRemoteSamAuditOnlyMode > Значение изменю в 1. [color=#3b75c6] --- ### Заключение #### По итогу проделанной работы: 1) Создана и настроена политика аудита файловой системы 2) Созданы и настроены политики защиты от mimikatz 3) Проведены настройки политик для SIEM ---