Professional Documents
Culture Documents
Инструкция По Настройке Класса
Инструкция По Настройке Класса
KL 002.12.1
Инструкция
по настройке класса
Содержание
1. Введение..............................................................................................................................2
2. Описание полигона.............................................................................................................2
Компьютеры ................................................................................................................................................. 2
Домен ............................................................................................................................................................ 3
Пользователи ............................................................................................................................................... 3
Подсети ........................................................................................................................................................ 3
Статическая адресация .............................................................................................................................. 3
Операционные системы .............................................................................................................................. 3
Резюме по компьютерам ............................................................................................................................ 3
Аппаратные требования ............................................................................................................................. 4
Дополнительные настройки виртуальных машин .................................................................................... 4
1
KL 002.12.1: Kaspersky Endpoint Security and Management
1. Введение
Данное руководство предназначено для курса KL 002.12.1, который объединяет внедрение KSC
14.2 и KES 12.1, управление компонентами защиты и контроля в KES 12.1, централизованное
обнаружение и реагирование на инциденты, общие вопросы обслуживания, такие как обновление
баз, использование инструментов уведомления и отчетности.
Задача этой инструкции - помочь подготовить класс к проведению учебных занятий, посвященных
продуктам Kaspersky Security Center 14.2 и Kaspersky Endpoint Security 12.1.
Дополнительно инструкция может содержать пояснения причин, по которым была выбрана та или
иная конфигурация. Обсуждение возможных отклонений от инструкции в зависимости от
особенностей оборудования.
2. Описание полигона
Лабораторные работы всех перечисленных курсов выполняются на виртуальных машинах.
Инструкция предполагает использование VMware Workstation, однако ничего принципиально не
мешает воспроизвести аналогичную виртуальную конфигурацию на другой виртуальной
платформе.
Компьютеры
В лабораторных работах могут использоваться следующие компьютеры:
Домен
Большинство компьютеров входит в домен ABC.
Пользователи
Учетная запись администратора домена, ABC\Administrator, используется только во время
настройки стенда. Alex-Desktop — учетная запись ABC\Alex, Admin-Laptop — учетная запись
ABC\Admin. Kali — локальная учетная запись hacker.
Подсети
Компьютеры относятся к подсети 10.28.0.0/24, которая представляет собой сеть штаб-квартиры
компании ABC. Конкретные IP-адреса подсетей особого значения не имеют, но именно эти адреса
использовались при разработке лабораторных работ и ссылки на эти адреса встречаются в
руководстве по выполнению лабораторных работ.
Статическая адресация
Для всех компьютеров используется статическая адресация
Операционные системы
Компьютеры, выполняющие серверные функции, работают под управлением Windows Server 2019
Standart. На остальных компьютерах домена используется Windows 10 Professional. На
компьютере злоумышленника установлен CentOS 8 Stream.
Резюме по компьютерам
Ниже представлена таблица с именами, операционными системами и адресами компьютеров.
Операционная
Компьютер Адрес RAM, МБ CPU, шт HDD, ГБ
система
Windows Server
DC 10.28.0.10 2048 1 60
2019 Standart
Windows Server
KSC 10.28.0.20 5120 4 60
2019 Standart
3
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 2. Описание полигона
Alex- Windows 10
10.28.0.200 4096 2 42
Desktop Professional
Admin- Windows 10
10.28.0.100 4096 2 42
Laptop Professional
Centos 8 Stream
Kali 10.28.0.50 2048 1 40
x64
Аппаратные требования
Ввиду необходимости запускать до 5 виртуальных машин с современными операционными
системами, на хост-машине должно быть минимум 20 Гб оперативной памяти.
Вторым (а может и первым) по значимости узким местом является дисковая подсистема. Хост-
машина с одним HDD диском как правило не дает комфортной производительности. SSD–диск или
ориентированная на производительность RAID-конфигурация предпочтительнее.
4
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 3. Настройка сети VMware Workstation
5
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 4. Схема лабораторного полигона
5. Инструкция по настройке
DC
1. Создайте виртуальную машину с такими минимальными параметрами:
— 2048 МБ памяти
— 60 ГБ диска
— Одна сетевая карта (NAT)
2. Установите Windows Server 2019:
— имя компьютера — DC
— IP адрес — 10.28.0.10
— DNS-сервер и шлюз — 10.28.0.1
— Пароль локального администратора — Ka5per$Ky
3. Установите VMware Tools
4. Добавьте серверную роль Доменные службы Active Directory c такими параметрами:
— Новый лес
— Новый домен с именем abc.lab
— Уровень функциональности — Windows Server 2019
— Добавьте роль DNS-сервера
— Остальные параметры — по умолчанию
— Directory Services Restore Mode Administrator Password: Ka5per$Ky
5. Добавьте доменных пользователей:
— Alex с паролем Ka5per$Ky
— Admin с паролем Ka5per$Ky
6. Измените доменную политику
6
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
⎯ Prevent bypassing SmartScreen Filter warnings about files are not commonly
downloaded the Internet = Disabled
⎯ Prevent bypassing SmartScreen Filter warnings = Disabled
⎯ Prevent managing SmartScreen Filter = Enabled. Select SmartScreen Filter mode = off
7. Для пользователей Администратор, Alex и Admin установите параметр Срок действия
пароля не ограничен
8. Создайте группу Admins и добавьте ее в группы Administrators и Remote Desktop Users
9. Добавьте пользователей Admin и Alex в группу Admins
10. Установите программу hMailServer (можно загрузить с сайта www.hmailserver.com)
— Создайте почтовый домен abc.lab
— Создайте в домене abc.lab 2 почтовых ящика: administrator@abc.lab, alex@abc.lab все
с паролем Ka5per$Ky
— В окне Settings\Advanced\Auto-ban снимите отметку с Enable, сохраните изменения
— Перейдите к Settings\Advanced\IP Ranges\My computer, где снимите все флаги в
секции Require SMTP authentication
— Перейдите к Settings\Advanced\IP Ranges\Internet, где снимите все флаги в секции
Require SMTP authentication (возможно, флаг External to external e-mail addresses
будет недоступен для изменения – в этом случае вы можете оставить его как есть)
11. Отключите IPv6 в настройках сетевого интерфейса
12. Сделайте снимок (snapshot) — kl_002.12.1
KSC
1. Создайте виртуальную машину с параметрами:
— Не менее 4 CPU.
— Не менее 5120 МБ памяти
— Не менее 60 ГБ диска
— Одна сетевая карта (NAT)
7
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
Данная инструкция требуется для новых ОС. На старых версиях было достаточно выключить
Windows Defender в групповой политике.
Alex-Desktop
1. Создайте виртуальную машину с параметрами:
— не менее 2 CPU
— 4096 МБ оперативной памяти
— 40 ГБ на жестком диске
— Одная сетевая карта (NAT)
2. Установите Windows 10 Professional
— Имя — Alex-Desktop
— IP-адрес — 10.28.0.100
— Основной шлюз — 10.28.0.1
— DNS-сервер — 10.28.0.10
3. Установите VMware Tools
4. Добавьте компьютер в домен abc.lab (компьютер DC должен быть включен)
5. После перезагрузки войдите под учетной записью ABC\Alex
6. Установите Microsoft Office Word 2013
7. Установите браузер Mozilla Firefox
8. Установите браузер Google Chrome
9. Сделайте Google Chrome браузером по умолчанию.
10. Установите почтовый клиент Mozilla Thunderbird
11. Установите антивирус ClamWin
8
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
@echo off
:Step1
if exist .\invoice.txt goto :Step2
echo **** not exist .Desktop\invoice.txt ****
pause
exit
:Step2
"C:\Program Files\AESCrypt\aescrypt.exe" -e -p root .\invoice.txt
if exist .\invoice.txt.aes goto :Step3
:Step3
del .\invoice.txt
echo **** Congratulations!!! Your personal files are encrypted ****
pause
exit
— ransomware2.bat — исполняемый файл для имитации действий ransomware.
Содержание ransomware.bat:
@echo off
:Step1
if exist \\ADMIN-LAPTOP\temp\invoice.txt goto :Step2
echo **** not exist \\ADMIN-LAPTOP\temp\invoice.txt ****
pause
exit
:Step2
"C:\Program Files\AESCrypt\aescrypt.exe" -e -p root \\ADMIN-
LAPTOP\temp\invoice.txt
if exist \\ADMIN-LAPTOP\temp\invoice.txt.aes goto :Step3
:Step3
del \\ADMIN-LAPTOP\temp\invoice.txt
9
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
Test_ransomware
16. Разрешите удаленное администрирование через Remote Desktop with Network Level
Authentication
17. Разместите архив Document1.zip в папке Documents
18. Разместите архив Procmon.zip в папке Documents
19. Разместите текстовый документ invoice.txt в папке Documents
20. Разместите архив WeeklyReport.rar в папке Documents
21. Создайте папку C:\Reports
22. Разместите архив Report with converting macros.zip в папке C:\Reports
23. Настройте меню Пуск – уберите лишние ярлыки и добавьте в меню почтовый клиент
Mozilla Thunderbird
24. В качестве фонового цвета рабочего стола выберите цвет R/G/B = 0/168/142 (темно-
зеленый)
25. Отключите Windows Defender в соответствии с инструкцией (ссылка)
Данная инструкция требуется для новых ОС. На старых версиях было достаточно выключить
Windows Defender в групповой политике.
Admin-Laptop
1. Создайте виртуальную машину с параметрами:
— Не менее 2 CPU.
— 4096 МБ оперативной памяти
— 40 ГБ на жестком диске
— Одной сетевой картой (NAT)
2. Установите Windows 10 Professional с настройками:
— Имя — Admin-Laptop
— IP-адрес — 10.28.0.200
— Основной шлюз — 10.28.0.1
— DNS-сервер — 10.28.0.10
3. Добавьте компьютер в домен abc.lab (компьютер DC должен быть включен)
4. Войдите в систему под доменным пользователем ABC\Admin
5. Установите VMware Tools
6. Установите Microsoft Office Word 2013
7. Установите браузер Google Chrome
8. Сделайте Google Chrome браузером по умолчанию
10
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
Test_ransomware
19. Поместите на рабочий стол следующий файл:
— Malware_Common_Paths.txt – обычный текстовый документ. Содержание
Malware_Common_Paths.txt:
C:\Users\*\Appdata\Roaming*
C:\Users\*\Appdata\Local*
C:\Windows\Temp*
C:\Users\*\Desktop*
C:\$Recycle.Bin*
C:\Windows
C:\Windows\system32*
C:\Users\*\Documents*
C:\Users\*\Downloads*
C:\Users\*\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup*
C:\Documents and Settings\*\Application Data*
C:\Documents and Settings\*\Local Settings\Application Data\*
C:\Documents and Settings\*\Local Settings\Temporary Internet Files*
C:\Documents and Settings\*\Desktop*
C:\Documents and Settings\*\My Documents*
C:\Documents and Settings\*\Start Menu\Programs\Startup*
20. Разрешите запускать локальные скрипты PowerShell без ограничения. Запустите
PowerShell с правами администратора и введите команду:
set-executionpolicy remotesigned
21. Отключите автоматическое отключение экрана
22. Настройте меню Пуск — удалите лишние ярлыки. Добавьте в меню ярлыки Mozilla
Thunderbird и Putty.exe.
11
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
23. В качестве фонового цвета рабочего стола выберите цвет R/G/B = 0/168/142 (темно-
зеленый)
24. Отключите Windows Defender в соответствии с инструкцией (ссылка)
Данная инструкция требуется для новых ОС. На старых версиях было достаточно выключить
Windows Defender в групповой политике.
Kali
1. Создайте виртуальную машину с параметрами:
— 2048 МБ оперативной памяти
— 40 ГБ на жестком диске
— Одной сетевой картой (NAT)
2. Установите Centos 8 Stream x64 с настройками:
— Имя — Kali
— IP-адрес — 10.28.0.50
— Основной шлюз — 10.28.0.1
— DNS-сервер — 10.28.0.10; 8.8.8.8
3. Создайте пользователя hacker с паролем Ka5per$Ky
4. Войдите в систему под пользователем hacker
5. Обновите дистрибутивы:
— sudo dnf update
6. Установите Metasploit framework
curl https://raw.githubusercontent.com/rapid7/metasploit-
omnibus/master/config/templates/metasploit-framework-
wrappers/msfupdate.erb > msfinstall
chmod +x msfinstall
sudo ./msfinstall
7. Установите почтовый сервер postfix
myhostname = hacker.abc.lab
mydomain = abc.lab
12
KL 002.12.1: Kaspersky Endpoint Security and Management. Class Setup Guide 5. Инструкция по настройке
myorigin = $mydomain
inet_interfaces = all
inet_protocols = all
mydestination =
11. Перезапустите postfix
13