# Катенин Владимир - Windows Basic. Занятие 4. Инфраструктурные сервисы в домене [toc] ## Практическая работа №4.1 DNS ### Часть 1. DNS Задача - настроить перенаправление запросов DNS, не относящихся к зоне pt.local, на внешний DNS сервер. В дополнение - сконфигурировать зону обратного просмотра. Предварительно проверено, что на микротике настроено перенаправление запросов. 1.1 Зайдём в оснастку DNS  --- 1.2 Просмотрим текущие DNS записи  --- 1.3 Настроим форвард. Перейдём в настройки сервера DNS  --- 1.4 Откроем вкладку "forwarders"  --- 1.5 Зайдём в пункт "edit"  --- 1.6 Введём адрес mikrotik. Именно он будет перенаправлять DNS запросы на внешние сервера. Видим, что настройка прошла корректно  --- 1.7 Закроем окно и применим настройки, после чего закроем окно свойств DNS  --- 1.8 Настроим зону обратного просмотра. Нажмём ЛКМ на "reverse lookup zone", а после нажмём на неё ПКМ  --- 1.9 Нажмём "new zone". Откроется меню создания зоны  --- 1.10 Оставляем пункт "primary zone"  --- 1.11 Аналогично оставляем по умолчанию параметры репликации  --- 1.12 Настроим IPv4 зону  --- 1.13 Введём идентификатор зоны без последнего ip октета. Это наша сеть, для которой будет создана зона обратного просмотра  --- 1.14 Оставим пункт по умолчанию для динамического обновления зоны  --- 1.15 Сверимся с итоговыми настройками и завершим конфигурацию  --- 1.16 Увидим созданную обратную зону  --- ## Практическая работа №4.2,3 DHCP ### Часть 2. DHCP 2.1 Зайдём в оснастку DHCP  --- 2.2 Развернём меню DHCP и выделим IPv4  --- 2.3 Нажмём на IPv4 ПКМ и выберем "new scope"  --- 2.4 Приступим к созданию области DHCP  --- 2.5 Введём имя области, например, pool1  --- 2.6 Укажем диапазон выдаваемых адресов  --- 2.7 Не будем указывать исключения из диапазона  --- 2.8 Оставим время аренды по умолчанию (8 дней)  --- 2.9 Сконфигурируем область сейчас  --- 2.10 Введём адрес роутера и нажмём "add"  --- 2.11 Введём адрес резервного контроллера домена, он же будет резервным DNS. Нажмём "add"  --- 2.12 WINS сервера не указываем, идем дальше  --- 2.13 Активируем область сейчас  --- 2.14 Завершаем работу визарда  --- 2.15 Новая область появилась в меню, можно просмотреть её параметры  --- 2.16 Настроим Win10 на автоматическое получение параметров сети по DHCP  --- 2.17 Настроим Kali Linux на автоматическое получение параметров сети по DHCP  --- 2.18 Видим информацию об аренде на dc1 в меню "address leases"  --- ### Часть 3. Отказоустойчивый DHCP Настроим резервирование по технологии Hot Standby 3.1 Нажмём ПКМ на scope и выберем "configure failover"  --- 3.2 Выберем ip пулы для резервирования. Он у нас один и будет выбран по умолчанию, так что идем дальше  --- 3.3 Выберем сервер-партнёр. Нажмём "add server"  --- 3.4 В меню добавления сервера выберем в качестве резервного dc2  --- 3.5 После добавления идём дальше  --- 3.6 Настроим failover. Выберем режим Hot Standby и снимем галочку с пункта аутентификации. Хоть это и не безопасно, но в рамках нашей работы не принципиально  --- 3.7 Подтвердим настройки  --- 3.8 Увидим вывод успешного создания кластера и закроем меню  --- 3.9 Проверим, что всё работает хорошо. Перейдём в dc2 в оснастку dhcp и просмотрим свойства области, которая там появилась  --- 3.10 Перейдём в меню "отработка отказа". Настройки применились корректно  --- ## Практическая работа №4.4 GPO ### Часть 4. Групповые политики С помощью групповых политик решим следующие задачи: - Включим возможность логирования сетевых файловых ресурсов - Настроим набор политик для защиты от mimikatz - Применим политики для генерации событий, необходимых SIEM 4.1 Зайдём в Group policy management  --- 4.2 Развернём вложенные меню, увидим две базовые политики в папке "Group policy object" и ссылки на них в OU, куда они были применены  --- 4.3 Отредактируем политику контроллеров домена  --- 4.4 Настроим политику компьютера Object Access  Путь до политики выглядит следующим образом: Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access --- 4.5 Включим аудит сетевых папок  --- 4.6 Включим аудит файловой системы  Данная политика применима к dc1 и dc2. В дальнейшем мы создадим на них файловый сетевой ресурс и сможем увидеть, например, события удаления файлов --- **Политики защиты от mimikatz** **Запрет Debug** 4.7 Создадим новую политику в папке GPO  --- 4.8 Назовём её mimikatz_block_debug  --- 4.9 Перейдём в настройки политики  --- 4.10 Найдём политику debug  Путь до политики выглядит следующим образом: Computer Configuration/Policies/Windows Settings/Security Settings/User Rights Assignment --- 4.11 Настроим политику так, чтобы только у администратора и ADMpetr были права отладки  --- 4.12 Применим политику к домену, чтобы она сработала на всех ПК домена   --- 4.13 Для проверки скачаем mimikatz на pc1. Предварительно выключим защитник Windows Сначала проверим, запустив консоль от имени администратоа ADMPetr  --- 4.14 Теперь от имени администратора ADMIgor  --- **Защита LSA от подключения сторонних модулей** В Windows 8.1 и Windows Server 2012 R2 появилась возможность включить защиту LSA, которая защищает память LSA и предотвращает подключение к ней незащищенных процессов. Чтобы включить эту защиту, вам необходимо создать параметр RunAsPPL со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA. 4.15 Добавим в политику mimikatz_block_debug новый параметр реестра  --- 4.16 Настроим параметр, активирущий защиту LSA  ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA имя параметра: RunAsPPL Значение выставляем в 1, изменяем decimal значение Теперь подключаемые модули без подписи, а также модули, не имеющие подписи Майкрософт, не будут загружаться в LSA --- **Настройки политик для SIEM** Для полноценного логирования домена необходимо провести настройки политик. Без этих логов SIEM не сможет обнаружить множество атак на домен. **Включение аудита командной строки и powershell** 4.17 Создадим политику аудита audit_services_cmd_posh  --- 4.18 Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов"  --- 4.19 Активируем параметр "Включить командную строку в события создания процессов"  --- 4.20 Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell"  --- 4.21 Выберем пункт "Включить ведение журнала и модулей" и включим параметр для содержимого  --- 4.22 Применяем политику на домен  --- **Активация журналирования контроллеров домена** Настроим журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп через протокол SAMRPC 4.23 Отредактируем политику контроллеров домена  --- 4.24 Создаём новый объект правки реестра  --- 4.25 Изменим параметр реестра. Этот параметр уже существует, мы же его изменяем  ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics имя параметра: 15 Field Engineering --- 4.26 Изменяем значение на 5, изменяем decimal значение  --- 4.27 Создаем 2 новых параметра реестра   Имена параметров Expensive Search Results Threshold и Inefficient Search Results Threshold, Decimal-значение REG_DWORD 1 Ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters После выполнения этих действий в журнале Directory Service будут создаваться события с идентификатором 1644 для каждого LDAP запроса --- 4.28 Настроим параметр для контроллеров домена, разрешающий только определенным пользователям выгружать членов доменных групп  Параметр расположен по пути "Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options" --- 4.29 Дадим доступ на выгрузку для группы пользователей Administrators и пользователю ADMPetr  --- 4.30 Настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр  Ветка реестра: SYSTEM\CurrentControlSet\Control\Lsa Имя параметра RestrictRemoteSamAuditOnlyMode, Decimal-значение REG_DWORD 1 ---