---
# System prepended metadata

title: 'Отчет по заданиям к практической работе №4. Инфраструктурные сервисы в домене:'
tags: [Windows]

---

###### tags: `Windows`
# Отчет по заданиям к практической работе №4. Инфраструктурные сервисы в домене:

## Практическая работа №4.1. DNS.

### 1) Настроить сервис DNS.

| 1. Зайдём и просмотрим текущие DNS-записи.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/d9aFm61.png =500x)|

| 2. Настроим перенаправление DNS-запрососов на внешние сервера через Mikrotik.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/7X8waDd.png =700x)|

| 3. Настроим зону обратного просмотра.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/Bg7xfI4.png =500x)|

| 4. Параметры репликации оставляем по умолчанию.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/bQc5ySA.png =500x)|

| 5. Введем ID сети без последнего октета. Это наша сеть, для которой будет создана зона обратного просмотра.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/yAw2oFV.png =700x)|

| 6. Заканчиваем настройку и видим нашу созданную обратную зону.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/xrIdc1p.png =600x)|

## Практическая работа №4.2,3. DHCP.

### 1) Настроить сервис DHCP.

| 1. Открываем оснастку DHCP и, развернув список, выбираем IPv4.    |
| :-----------------------------------------: |
| ![](https://i.imgur.com/B8ASGTj.png =550x)
|

| 2. Нажмём на IPv4 `ПКМ - New scope.`         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/dSEGice.png =500x)  |

| 3. Приступим к созданию области DHCP. Для начала введем имя области `pool1`. |
| :-----------------------------------------: |
| ![](https://i.imgur.com/YLPh3OA.png =650x)  |

| 4. Укажем диапазон выдаваемых адресов `192.168.10.50 - 192.168.10.99`         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/IwaMmz8.png =550x)|

| 5. Не будем добавлять исключения из диапазона, это не требуется.|
| :-----------------------------------------: |
| ![](https://i.imgur.com/dtJlWwQ.png =550x)|

| 6. Оставляем время аренды по умолчанию, `8 дней`         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/lp5Bnvk.png =500x)|

| 7. Вводим адрес роутера и нажимаем `Add`.         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/JHQ1P4w.png =500x)        |

| 8. Введём адрес резервного контроллера домена, он же будет резервным DNS. Нажмём  `Add`.         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/Z6cB6YB.png =700x)        |
| ```Если DC2 включен, то IP-адрес добавится без предупреждений. Если выключен, то вам высветится предупреждение о недоступности введённого адреса. Выберите YES, чтобы всё равно добавить его.``` |

| 9. WINS-серверов не будет.         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/CxjcSpf.png =500x)        |

| 10. Завершаем установку и видим новую область `Также можно просмотреть её параметры.`         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/qVdKwPM.png =700x)        |

| 11. Также отключаем DHCP на Mikrotik       |
| :-----------------------------------------: |
| ![](https://i.imgur.com/JUWAwBV.png =500x)|

| 12. Настроим Win10 на автоматическое получение параметров сети по DHCP.|
| :-----------------------------------------: |
| ![](https://i.imgur.com/0E26cPe.png =650x)  |

| 13. Настроим Kali Linux на автоматическое получение параметров сети по DHCP.   |
| :-----------------------------------------: |
| ![](https://i.imgur.com/2rOFR8T.png =700x)        |

| 14. Видим информацию об аренде на DC1 в меню `address leases`.       |
| :-----------------------------------------: |
| ![](https://i.imgur.com/dIshg1X.png =600x)        |

### 2) Настроить отказоустойчивость DHCP.

| 1. Нажмём `ПКМ` на `scope` и выберем `configure failover`. Первым шагом нужно выбрать IP-пул. У нас он уже указан по умолчанию.         |
| :-----------------------------------------: |
| ![](https://i.imgur.com/xxc57hp.png =500x)  |

| 2. В меню добавления сервера выберем в качестве резервного `DC2`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/F7ij8TR.png =550x)  |
|```DC2 не отображался, хотя был авторизован как сервер DHCP. Исправить ситуацию помогло ПКМ по DHCP - Manage AS - Refresh.```|
|![](https://i.imgur.com/JnFmJFt.png =300x)|

| 3. Настроим `Failover`. Выберем режим `Hot Standby` и снимем галочку с пункта `Enable Message Authentication`. Хоть это и не безопасно, но в рамках нашей работы не принципиально. |
| :-----------------------------------------: |
| ![](https://i.imgur.com/iO4B3P0.png =600x)|

| 4. Подтверждаем настройки и видим вывод успешного создания кластера. Закроем меню. |
| :-----------------------------------------: |
| ![](https://i.imgur.com/vaNtliF.png =700x)|

| 5. Проверим, что всё работает хорошо. Перейдём в `DC2` в оснастку `DHCP` и просмотрим свойства области, которая там появилась.Перейдем в меню `Отработка отказа` и увидим, что все настройки применились корректно |
| :-----------------------------------------: |
| ![](https://i.imgur.com/aJE3B3v.png =700x)|

## Практическая работа №4.4. GPO.

### 1) Создать и настроить политику аудита файловой системы.

| 1.  Зайдём в `Group Policy Management`. Развернём вложенные меню, увидим две базовые политики в папке `Group Policy Object` и ссылки на них в `OU`, куда они были применены  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/X5B5JlM.png =700x)  |

| 2. Отредактируем `Политику контроллеров домена`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/wXZbmel.png =700x) |

| 3. Настроим политику компьютера `Object Access`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/Pr73afN.png =500x)  |

| 4. Включим аудит сетевых папок, файловой системы.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/fyUFUgs.png =500x)  |
| ![](https://i.imgur.com/VpguOHe.png =500x) |

### 2) Создать и настроить политики защиты от mimikatz.

| 1. Создадим новую политику в папке `GPO` под названием `mimikatz_block_debug`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/9Pi6Ly2.png =600x)  |

| 2. Перейдём в настройки политики и найдём политику `debug`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/CL0w39v.png =500x)  |

| 3. Настроим политику так, чтобы только у `Administrator` и `ADMPetr` были права отладки.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/POdJRsF.png =700x)  |

| 4. Применим политику к домену, чтобы она сработала на всех `ПК` домена.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/Lb7ViZb.png =600x)  |

| 5. Отключим `WDigest`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/HOzfjrO.png =500x)|
| ``` Чтобы отключить WDigest, нам необходимо создать параметр UseLogonCredential со значением 0 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest ``` |

| 6. Добавим в политику `mimikatz_block_debug` новый параметр реестра, активирующий защиту `LSA`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/5sL4Imr.png =500x)  |
| ``` Чтобы включить эту защиту, нам необходимо создать параметр RunAsPPL со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA. Теперь подключаемые модули без подписи, а также модули, не имеющие подписи Майкрософт, не будут загружаться в LSA``` |

### 3) Провести настройки политик для SIEM.

| 1. Создадим политику аудита `audit_services_cmd_posh`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/on2a1fE.png =500x)  |

| 2. Перейдём в ветку `"Administrative Templates/System/Audit Process Creation"`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/KF6w8hS.png =600x)  |

| 3. Активируем параметр `"Include command line in process  creation events"`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/18fta9N.png =600x)  |

| 4. Перейдём в ветку `"Administrative Templates/Windows Components/Windows PowerShell"`.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/c76vU2q.png =700x)  |

| 5. Выберем пункт `"Turn on Module Logging"`, включим параметр `"Microsoft.Powershell.*"` для содержимого.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/RfBBP2C.png =700x)|

| 6. Применим политику на домен.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/nkHcmrI.png =500x)|

| 7. Настроим журналирование LDAP запросов и неудачные попытки выгрузки членов доменных групп через протокол SAMRPC.  |
| :-----------------------------------------: |

| 8. Отредактируем политику контроллеров домена.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/5Hb8V1K.png =500x)  |

| 9. Изменим параметр реестра . Этот параметр уже существует, мы его изменяем.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/oqoq1Ml.png =700x)  |
| ``` Нам необходимо вызвать параметр 15 Field Engineering в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics и изменить его  Decimal-значение на 5``` |

| 10. Создадим 2 новых параметра реестра.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/dLpPzb8.png =700x)  |
| ``` Необходимо создать параметр Expensive Search Results Threshold со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.``` |
| ![](https://i.imgur.com/qHu4MKM.png =700x)  |
| ``` Необходимо создать параметр Inefficient Search Result Threshold со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.``` |

| 11. Теперь в журнале `Directory Service` будут создаваться события с идентификатором `1644` для каждого `LDAP` запроса.  |
| :-----------------------------------------: |

| 12. Настроим параметр для контроллеров домена, разрешающий только пользователям `Administrator` и `ADMPetr` выгружать членов доменных групп.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/A4FDgkU.png =700x)  |

| 13. В заключение настроим журналирование попыток выгрузки, добавим ещё один параметр в реестр.  |
| :-----------------------------------------: |
| ![](https://i.imgur.com/9NJ5spa.png)  |
| ``` Необходимо создать параметр RestrictRemoteSamAuditOnlyMode со значением 1 в разделе реестра SYSTEM\CurrentControlSet\Control\Lsa.``` |