--- title: 'Практическая работа №4 ААА в Windows' disqus: xthr0 --- Практическая работа №4. === [TOC] ## Практическая работа №4.1 DNS. ### 4.1.1 Настройка DNS 1. Зайдем в настройки DNS 2. Откроем свойства нашего сервера  3. Переход во вкладку сервера пересылки -> кнопка изменить  4. Затем вписываем в поле наш адрес Mikrotik и видим успешное подключение в виде галочки  ### 4.1.2 Настройка зоны обратного просмотра 1. ПКМ по "Зоны обратного просмотра" -> Создать новую зону  2. Нажимаем "далее" пока не появится окошко для ввода адреса -> вводим наш адрес без последнего октета  3. Так же оставляем всё по умолчанию и нажимаем "далее" 4. Зона обратного просмотра добавилась  ## Практическая работа №4.2,3 DHCP. ### 4.2 DHCP 1. Откроем меню DHCP -> Развернем и ПКМ по IPv4 -> Создать область  2. Приступаем к созданию области и задаём имя  3. Указываем диапазон выдаваемых адресов  4. Пропускаем "добавление исключений и задержка"  5. Задаем время аренды по умолчанию - 8 дней  6. Сконфигурируем область сейчас  7. Введём адрес роутера и нажмём "Добавить"  8. Введём адрес резервного контроллера домена, он же будет резервным DNS - 192.168.10.201 (второй WinServer должен быть включен)  9. Настройку WINS-сервера пропускаем  10. Активируем область сейчас  11. Завершаем работу мастера  12. Настраиваем Win10 на автоматическое получение параметров сети по DHCP и смотрим на результат  ### 4.3 Отказоустойчивый DHCP 1. ПКМ по области -> Настройка области отказа  2. Далее и выбираем сервер-партнёр -> Добавить сервер  3. Настройка отношения обработки заказа -> выбираем режим "Горячая замена" и снимаем галочку с проверки  4. Подтверждаем настройки  5. У нас всё успешно  6. Проверяем работу области DHCP на втором сервере  7. Все настройки применились корректно  ## Практическая работа №4.4 GPO (Настройка групповых политик). С помощью групповых политик решим следующие задачи: - Включим возможность логирования сетевых файловых ресурсов - Настроим набор политик для защиты от mimikatz - Применим политики для генерации событий, необходимых SIEM ### 4.4.1 Политика аудита 1. Зайдем управление групповой политикой  2. Развернём вложенные меню, увидимо две базовые политики в папке "Объекты групповой политики" и ссылки на них 3. Отредактируем политику контроллеров домена  4. Настроим политику комьютера "Доступ к объектам"  5. Включим аудит общего файлового ресурса  6. Включим аудит файловой системы  7. В итоге у нас должно получиться вот так  8. Пункты выше надо повторить и на втором сервере ### 4.4.2 Политика защиты от mimikatz 1. Создадим новую политику в папке "Объекты групповой политики"  2. Назовём её mimilatz_block_debug  3. Перейдём в настройки политики  4. Найдём политику "Отладка программы"  5. Настроим политику так, чтобы только у администратора и ADMPetr были права отладки  6. Применим политику к домену, чтобы она сработала на всех ПК домена   7. Проверяем на защиту от mimikatz на нашей Win10 и видим, что политика работает прекрасно  ### 4.4.3 Защита LSA от подключения сторонних модулей 1. Добавим в политику mimikatz_block_debug новый параметр реестра  2. Настроим параметр, активирующий защиту LSA  ### 4.4.4 Включение аудита командной строки и PowerShell 1. Создадим политику аудита audit_services_cmd_posh  2. Перейдём в ветку "Административные шаблоны"/"Система"/"Аудит создания процессов"  3. Активируем параметр "Включить командную строку в события создания процессов"   4. Перейдём в ветку "Административные шаблоны"/"Компоненты Windows"/"Windows PowerShell"  5. Выберем пункт "Включить ведение журнала и модулей"  6. Применим политику на домен   ### 4.4.5 Активация журналирования на контроллерах домена 1. Отредактируем политику контроллеров домена  2. Создадим новый объект правки реестра  3. Изменим параметр реестра. Этот параметра уже существует, поэтому мы его изменим  4. Изменим значение на 5 (десятичное)  5. Создадим 2 новых параметра реестра **Expensive Search Results Threshold** и **Inefficient Search Result Threshold**   6. Настроим параметр для контроллеров домена, разрещающий только определённым пользователям выгружать членов доменных групп  7. Дадим доступ на выгрузку для группы пользователей Администраторы и пользователю ADMPetr  8. В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр  9. К концу практического получится такая картина  --- :::success **Конец** :::