Перейти к основному содержимому
Версия: ITDR 2.0

Установка скрипта сетевого перенаправления

Скрипт сетевого перенаправления автоматически конфигурирует службу Routing and Remote Access, устанавливая VPN-соединение с узлом обнаружения и направляя трафик по протоколам Kerberos и LDAP в установленный VPN-тоннель.

Если служба Routing and Remote Access не установлена на контроллере домена, она будет автоматически установлена при первом выполнении скрипта.

Важно

Если на контроллере домена была ранее установлена служба Routing and Remote Access, автоматическое развертывание может привести к повреждению системы. Обратитесь в техническую поддержку для ручного развертывания.

Рекомендуется установка скрипта при помощи групповой политики (GPO). В составе такой политики настраивается задача копирования файла скрипта, а также периодический запуск скриптов при помощи Планировщика Задач (Task Scheduler).

Групповые политики настраиваются отдельно в каждом домене, который планируется защитить.

Установка и активация групповой политики

  1. Скопируйте файл itdr_agent_forwarding.ps1 с установленного узла управления, на компьютер, используемый для конфигурации групповых политик. При установке узла управления файл размещается в директорию /opt/itdr/scripts/.

  2. Создайте объект групповой политики в выбранном домене и дайте ему имя ITDR.

Как это сделать

  1. Откройте консоль Управление групповыми политиками (Group Policy Management) с правами доменного администратора. Это можно сделать, выполнив команду gpmc.msc в командной строке. Консоль доступна по умолчанию на контроллерах домена, а также ее можно установить на любом компьютере с Windows или Windows Server при помощи инструмента Добавить компоненты Windows.

  2. В боковом древовидном меню выберите пункт Лес (Forest), затем Домены (Domains), затем выберите защищаемый домен, затем Объекты групповой политики (Group Policy Objects).

  3. В контекстном меню пункта Объекты групповой политики (Group Policy Objects) выберите пункт Создать (New).

  4. В появившемся меню укажите имя новой политики: ITDR. Нажмите OK.

  1. Настройте копирование файла скрипта на контроллеры домена при помощи групповой политики. Укажите исходное расположение файла \\<domain>\SYSVOL\<domain>\scripts\itdr_agent_forwarding.ps1, целевое расположение файла %ProgramData%\ITDR\itdr_agent_forwarding.ps1.
Как это сделать

  1. Выберите созданный на предыдущем этапе объект групповой политики ITDR в боковом меню, и выберите пункт Редактировать (Edit) в контекстном меню этого пункта.

  2. В открывшемся окне Редактор управления групповыми политиками (Group Policy Management Editor) выберите пункт Конфигурация компьютера (Computer Configuration), а затем пункт Настройка (Preferences), затем пункт Настройки Windows (Windows Settings), и затем пункт Файлы (Files).

  3. В контекстном меню пункта Файлы (Files) выберите пункт Создать (New), а затем пункт Файл (File).

  4. Укажите пути, из которого будет выполняться копирование, и в который будет выполняться копирование файлов:

  • Source file(s): \\<domain>\SYSVOL\<domain>\scripts\itdr_agent_forwarding.ps1
  • Destination file(s): %ProgramData%\ITDR\itdr_agent_forwarding.ps1

  1. Выберите действие Заменить (Replace).

  2. Нажмите ОК.

  1. Скопируйте файл скрипта в путь \\<domain>\SYSVOL\<domain>\scripts\itdr_agent_forwarding.ps1.

  2. Настройте задачу по расписанию ITDR-Install, со следующими параметрами:

  • Выполняемая программа: %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
  • Аргументы выполнения: -ExecutionPolicy Bypass -File "%ProgramData%\ITDR\itdr_agent_forwarding.ps1" Install <ManagementNodeIp>
  • Расписание запуска: ежедневно, начиная с текущего момента. Повторять каждые 30 минут.
  • Учетная запись: NT Authority\System. Выбрать пункт Выполнять для всех пользователей.
  • Включить опцию Выполнять с наивысшими правами (Run with highest privilege).
  • Отключить опцию Выполнять задачу по требованию (Allow task to be run on demand)
  • Включить опцию Принудительная остановка задачи, если она не прекращается по запросу (If the running task does not end when requested, force it to stop)
  • Включить опцию Если задача уже выполняется, то применять правило (If the task is already running, then the following rule applies) - Остановка текущего задания (Stop the existing instance).
Как это сделать

  1. Выберите созданный на предыдущем этапе объект групповой политики ITDR в боковом меню, и выберите пункт Редактировать (Edit) в контекстном меню этого пункта.

  2. В открывшемся окне Редактор управления групповыми политиками (Group Policy Management Editor) выберите пункт Конфигурация компьютера (Computer Configuration), а затем пункт Настройка (Preferences), затем пункт Настройки панели управления (Control Panel Settings), и затем пункт Назначенные задания (Scheduled tasks).

  3. В контекстном меню пункта Назначенные задания (Scheduled tasks) выберите пункт Создать (New), а затем пункт Назначенное задание (Windows 7 и более поздние версии) (Scheduled Task (At least Windows 7)).

  4. В появившемся окне New Task Properties (Новые свойства задачи) укажите опции.

На вкладке Общие (General):

  • Имя (Name): ITDR-Install
  • При выполнении задачи использовать следующую учетную запись пользователя (When running the task, use the following user account): NT Authority\System
  • Выполнять вне зависимости от регистрации пользователя (Run whether user is logged on or not) - выбрать опцию
  • Выполнить с наивысшими правами (Run with highest privilege) - установить флаг

На вкладке Триггеры (Triggers) предварительно нажмите Создать (New).

  • Ежедневно (Daily)
  • Повторять задачу каждые (Repeat task every): 30 мин
  • Включено

На вкладке Действия (Actions) предварительно нажмите Создать (New).

  • Действие (Action): Запуск программы
  • Программа или сценарий (Program/script): %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
  • Добавить аргументы (Add arguments): -ExecutionPolicy Bypass -File "%ProgramData%\ITDR\itdr_agent_forwarding.ps1" Install <ManagementNodeIp>. Вместо <ManagementNodeIp> укажите IP-адрес узла управления.

На вкладке Параметры (Settings):

  • снять флаг Выполнять задачу по требованию (Allow task to be run on demand)
  • Немедленно запускать задачу, если пропущен плановый запуск (Run task as soon as possible after a scheduled start is missed)
  • Принудительная остановка задачи, если она не прекращается по запросу (If the running task does not end when requested, force it to stop)
  • Если задача уже выполняется, то применять правило (If the task is already running, then the following rule applies): Остановка текущего задания (Stop the existing instance)
  1. Нажмите ОК, чтобы сохранить задачу.
  1. Настройте задачу по расписанию ITDR-Repair, со следующими параметрами:
  • Выполняемая программа: %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
  • Аргументы выполнения: -ExecutionPolicy Bypass -File "%ProgramData%\ITDR\itdr_agent_forwarding.ps1" Repair <ManagementNodeIp>. Вместо <ManagementNodeIp> укажите IP-адрес узла управления.
  • Расписание запуска: ежедневно, начиная с текущего момента. Повторять каждые 15 минут.
  • Учетная запись: NT Authority\System. Выбрать пункт Выполнять для всех пользователей.
  • Включить опцию Выполнять с наивысшими правами.
  • Отключить опцию Выполнять задачу по требованию
  • Включить опцию Принудительная остановка задачи, если она не прекращается по запросу
  • Включить опцию Если задача уже выполняется, то применять правило - Остановка текущего задания.
  1. Настройте задачу по расписанию ITDR-Run, со следующими параметрами:
  • Выполняемая программа: %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
  • Аргументы выполнения: -ExecutionPolicy Bypass -File "%ProgramData%\ITDR\itdr_agent_forwarding.ps1" Run <ManagementNodeIp>. Вместо <ManagementNodeIp> укажите IP-адрес узла управления.
  • Расписание запуска: ежедневно, начиная с текущего момента. Повторять каждые 5 минут.
  • Учетная запись: NT Authority\System. Выбрать пункт Выполнять для всех пользователей.
  • Включить опцию Выполнять с наивысшими правами.
  • Отключить опцию Выполнять задачу по требованию
  • Включить опцию Принудительная остановка задачи, если она не прекращается по запросу
  • Включить опцию Если задача уже выполняется, то применять правило - Остановка текущего задания.
  1. Свяжите объект групповой политики с подразделением (Organizational Unit) Domain Controllers.
Как это сделать

  1. Выберите пункт Domain Controllers, находящийся внутри пункта с именем защищаемого домена, и выберите пункт Связать существующий объект групповой политики (Link an Existing GPO...) в контекстном меню этого пункта.

  2. В открывшемся окне Выбор объекта групповой политики (Select GPO) выберите объект ITDR.

  3. Нажмите ОК.

  1. Дождитесь применения групповой политики. Обычно групповые политики применяются в течение 15 минут. Для принудительного применения групповой политики на контроллере домена выполните gpupdate /force.
Важно

Описываемая в этом разделе групповая политика ITDR применяется на контроллерах домена, в отличие от групповой политики, описываемой в разделе Планирование развертывания. Последняя применяется на всех компьютерах домена и обеспечивает корректную работу клиентов при запросах MFA.

Внимание

Установка роли Routing and Remote Access занимает значительное время, особенно на контроллерах домена под высокой нагрузкой.

Проверка работы сетевого перенаправления

  1. Откройте приложение Management Console в браузере, используя url https://{адрес узла управления}.

  2. Используйте имя пользователя и пароль, установленные на предыдущем шаге. Если пароль в конфигурации не изменялся, по умолчанию установлено имя пользователя admin и пароль admin.

  3. Перейдите на страницу Monitoring.

  4. Убедитесь, что контроллеры домена отображаются в группе Domain Controllers и имеют статус Healthy.

Следующие шаги