###### tags: `Windows`
# Отчет по заданиям к практической работе №4. Инфраструктурные сервисы в домене:
## Практическая работа №4.1. DNS.
### 1) Настроить сервис DNS.
| 1. Зайдём и просмотрим текущие DNS-записи. |
| :-----------------------------------------: |
| |
| 2. Настроим перенаправление DNS-запрососов на внешние сервера через Mikrotik. |
| :-----------------------------------------: |
| |
| 3. Настроим зону обратного просмотра. |
| :-----------------------------------------: |
| |
| 4. Параметры репликации оставляем по умолчанию. |
| :-----------------------------------------: |
| |
| 5. Введем ID сети без последнего октета. Это наша сеть, для которой будет создана зона обратного просмотра. |
| :-----------------------------------------: |
| |
| 6. Заканчиваем настройку и видим нашу созданную обратную зону. |
| :-----------------------------------------: |
| |
## Практическая работа №4.2,3. DHCP.
### 1) Настроить сервис DHCP.
| 1. Открываем оснастку DHCP и, развернув список, выбираем IPv4. |
| :-----------------------------------------: |
| 
|
| 2. Нажмём на IPv4 `ПКМ - New scope.` |
| :-----------------------------------------: |
|  |
| 3. Приступим к созданию области DHCP. Для начала введем имя области `pool1`. |
| :-----------------------------------------: |
|  |
| 4. Укажем диапазон выдаваемых адресов `192.168.10.50 - 192.168.10.99` |
| :-----------------------------------------: |
| |
| 5. Не будем добавлять исключения из диапазона, это не требуется.|
| :-----------------------------------------: |
| |
| 6. Оставляем время аренды по умолчанию, `8 дней` |
| :-----------------------------------------: |
| |
| 7. Вводим адрес роутера и нажимаем `Add`. |
| :-----------------------------------------: |
|  |
| 8. Введём адрес резервного контроллера домена, он же будет резервным DNS. Нажмём `Add`. |
| :-----------------------------------------: |
|  |
| ```Если DC2 включен, то IP-адрес добавится без предупреждений. Если выключен, то вам высветится предупреждение о недоступности введённого адреса. Выберите YES, чтобы всё равно добавить его.``` |
| 9. WINS-серверов не будет. |
| :-----------------------------------------: |
|  |
| 10. Завершаем установку и видим новую область `Также можно просмотреть её параметры.` |
| :-----------------------------------------: |
|  |
| 11. Также отключаем DHCP на Mikrotik |
| :-----------------------------------------: |
| |
| 12. Настроим Win10 на автоматическое получение параметров сети по DHCP.|
| :-----------------------------------------: |
|  |
| 13. Настроим Kali Linux на автоматическое получение параметров сети по DHCP. |
| :-----------------------------------------: |
|  |
| 14. Видим информацию об аренде на DC1 в меню `address leases`. |
| :-----------------------------------------: |
|  |
### 2) Настроить отказоустойчивость DHCP.
| 1. Нажмём `ПКМ` на `scope` и выберем `configure failover`. Первым шагом нужно выбрать IP-пул. У нас он уже указан по умолчанию. |
| :-----------------------------------------: |
|  |
| 2. В меню добавления сервера выберем в качестве резервного `DC2`. |
| :-----------------------------------------: |
|  |
|```DC2 не отображался, хотя был авторизован как сервер DHCP. Исправить ситуацию помогло ПКМ по DHCP - Manage AS - Refresh.```|
||
| 3. Настроим `Failover`. Выберем режим `Hot Standby` и снимем галочку с пункта `Enable Message Authentication`. Хоть это и не безопасно, но в рамках нашей работы не принципиально. |
| :-----------------------------------------: |
| |
| 4. Подтверждаем настройки и видим вывод успешного создания кластера. Закроем меню. |
| :-----------------------------------------: |
| |
| 5. Проверим, что всё работает хорошо. Перейдём в `DC2` в оснастку `DHCP` и просмотрим свойства области, которая там появилась.Перейдем в меню `Отработка отказа` и увидим, что все настройки применились корректно |
| :-----------------------------------------: |
| |
## Практическая работа №4.4. GPO.
### 1) Создать и настроить политику аудита файловой системы.
| 1. Зайдём в `Group Policy Management`. Развернём вложенные меню, увидим две базовые политики в папке `Group Policy Object` и ссылки на них в `OU`, куда они были применены |
| :-----------------------------------------: |
|  |
| 2. Отредактируем `Политику контроллеров домена`. |
| :-----------------------------------------: |
|  |
| 3. Настроим политику компьютера `Object Access`. |
| :-----------------------------------------: |
|  |
| 4. Включим аудит сетевых папок, файловой системы. |
| :-----------------------------------------: |
|  |
|  |
### 2) Создать и настроить политики защиты от mimikatz.
| 1. Создадим новую политику в папке `GPO` под названием `mimikatz_block_debug`. |
| :-----------------------------------------: |
|  |
| 2. Перейдём в настройки политики и найдём политику `debug`. |
| :-----------------------------------------: |
|  |
| 3. Настроим политику так, чтобы только у `Administrator` и `ADMPetr` были права отладки. |
| :-----------------------------------------: |
|  |
| 4. Применим политику к домену, чтобы она сработала на всех `ПК` домена. |
| :-----------------------------------------: |
|  |
| 5. Отключим `WDigest`. |
| :-----------------------------------------: |
| |
| ``` Чтобы отключить WDigest, нам необходимо создать параметр UseLogonCredential со значением 0 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest ``` |
| 6. Добавим в политику `mimikatz_block_debug` новый параметр реестра, активирующий защиту `LSA`. |
| :-----------------------------------------: |
|  |
| ``` Чтобы включить эту защиту, нам необходимо создать параметр RunAsPPL со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA. Теперь подключаемые модули без подписи, а также модули, не имеющие подписи Майкрософт, не будут загружаться в LSA``` |
### 3) Провести настройки политик для SIEM.
| 1. Создадим политику аудита `audit_services_cmd_posh`. |
| :-----------------------------------------: |
|  |
| 2. Перейдём в ветку `"Administrative Templates/System/Audit Process Creation"`. |
| :-----------------------------------------: |
|  |
| 3. Активируем параметр `"Include command line in process creation events"`. |
| :-----------------------------------------: |
|  |
| 4. Перейдём в ветку `"Administrative Templates/Windows Components/Windows PowerShell"`. |
| :-----------------------------------------: |
|  |
| 5. Выберем пункт `"Turn on Module Logging"`, включим параметр `"Microsoft.Powershell.*"` для содержимого. |
| :-----------------------------------------: |
| |
| 6. Применим политику на домен. |
| :-----------------------------------------: |
| |
| 7. Настроим журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп через протокол SAMRPC. |
| :-----------------------------------------: |
| 8. Отредактируем политику контроллеров домена. |
| :-----------------------------------------: |
|  |
| 9. Изменим параметр реестра . Этот параметр уже существует, мы его изменяем. |
| :-----------------------------------------: |
|  |
| ``` Нам необходимо вызвать параметр 15 Field Engineering в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics и изменить его Decimal-значение на 5``` |
| 10. Создадим 2 новых параметра реестра. |
| :-----------------------------------------: |
|  |
| ``` Необходимо создать параметр Expensive Search Results Threshold со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.``` |
|  |
| ``` Необходимо создать параметр Inefficient Search Result Threshold со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.``` |
| 11. Теперь в журнале `Directory Service` будут создаваться события с идентификатором `1644` для каждого `LDAP` запроса. |
| :-----------------------------------------: |
| 12. Настроим параметр для контроллеров домена, разрешающий только пользователям `Administrator` и `ADMPetr` выгружать членов доменных групп. |
| :-----------------------------------------: |
|  |
| 13. В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр. |
| :-----------------------------------------: |
|  |
| ``` Необходимо создать параметр RestrictRemoteSamAuditOnlyMode со значением 1 в разделе реестра SYSTEM\CurrentControlSet\Control\Lsa.``` |
Sign in with Wallet
Connect another wallet