HackMD - Collaborative Markdown Knowledge Base

1) Я настроил сервис DNS Tools -> DNS DNS -> DC1(ПКМ) -> Properties -> Forwarders -> Edit Здесь я ввел ip микротика, т.к. он будет перенаправлять DNS запросы ![](https://i.imgur.com/on47Idi.png) После ПКМ по папке на скрине ниже и New Zone. Там я настроил обратную зону ![](https://i.imgur.com/3ZgvQjU.png) 2) я настроил сервис DHCP Tools -> DHCP ПКМ по IPv4 слева -> New Scope там ввел имя области, указал диапазон ip адрессов, адрес роутера и адрес резервного контроллера ![](https://i.imgur.com/VU0mxzz.png) После поставил автоматическое получение ip адресса на windows 10 и linux ![](https://i.imgur.com/PHzX3IO.png) ![](https://i.imgur.com/kelCSOD.png) ![](https://i.imgur.com/uj6RGIi.png) 3. Я настроил отказоустойчивость DHCP Tools -> DHCP ПКМ по созданному диапазону и configure failover ![](https://i.imgur.com/N9czi3r.png) ![](https://i.imgur.com/yZJpQra.png) 4. GPO Tools -> Group policy management чтобы отредактировать политику контроллеров домена ПКМ по Default Domain Cont... (Forest -> Domains -> домен -> Group Policy Objects) и нажать Edit После перешел и переделал: ![](https://i.imgur.com/EUGhpZU.png) После ПКМ по Group Policy Objects и New, чтобы создать новую политику В ней: ![](https://i.imgur.com/jRfSovh.png) И после ПКМ по домену, Link an Exiting GPO..., чтобы применить политику ![](https://i.imgur.com/FrVETdJ.png) В Registry в новой политике отключу WDigest (по ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest имя параметра UseLogonCredential значение 0) и сделаю защиту для LSA от сторонних модулей (по ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA имя параметра RunAsPPL значение 1) ![](https://i.imgur.com/ANEV9s8.png) После создал новую политику для SIEM. В ней активирую параметр "Включить командную строку в события создания процессов" (Policies -> Administrative Temp... -> System -> Audit Process Creation) А также включил ведение журнала и модулей (System -> Windows PowerShell) ![](https://i.imgur.com/vad2b9a.png) И применил данную политику Далее активировал журналирование контроллеров домена. В политике Default Domain Controllers... в Registry: изменил параметр реестра (ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics параметр 15 Field Engineering значение 5) (ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters параметр Inefficient Search Result Threshold значение 1) (ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters параметр Expensive Search Results Threshold значение 1) После дал доступ на выгрузку данных Administrator и пользователю ADMPetr (Policies -> Windows Settings -> Security Settings -> Local Settings -> Security Options) в параметре Network access: Restrict clients allowed to... ![](https://i.imgur.com/THRD1mY.png) и установил журналирование попыток выгрузки в Registry (ветка SYSTEM\CurrentControlSet\Control\Lsa параметр RestrictRemoteSamAuditOnlyMode значение 1) ![](https://i.imgur.com/JzyBysN.png)