1. Инвентаризация локальных учёток (привилегированные сессии, админ-доступ):

   Get-LocalUser | Where-Object { $_.Enabled } | Format-Table Name, PrincipalSource, SID

2. Членство в группах (локально и в домене, если WS в AD):

   whoami /groups
   Get-ADPrincipalGroupMembership -Identity "$env:USERNAME" -ErrorAction SilentlyContinue

3. UAC и политики: в GPO смотрите «Контроль учётных записей»; на хосте быстрая проверка ключа реестра (значения зависят от политики организации):

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' `
     -Name EnableLUA, ConsentPromptBehaviorAdmin, PromptOnSecureDesktop -ErrorAction SilentlyContinue

4. После компрометации учётки (процесс, не «рецепт атаки»): принудительный сброс пароля / отзыв refresh-токенов в IdP, сброс Kerberos-билетов (klist purge на клиенте), проверка новых входов в DC (события 4624/4625), заведение инцидента в SIEM с корреляцией по user/host.

1. SMB на сервере Windows — требование подписи для клиентов и сервера (после изменений — тест с клиента в maintenance-окно):

   Get-SmbServerConfiguration | Select-Object EnableSecuritySignature, RequireSecuritySignature
   # Включение (пример; согласовать с политикой и совместимостью клиентов):
   # Set-SmbServerConfiguration -RequireSecuritySignature $true -EnableSecuritySignature $true -Force

2. Linux / SSH — запрет прямого входа root по паролю и по ключу (целевое состояние; правьте под свой sshd):

   # /etc/ssh/sshd_config (фрагмент)
   PermitRootLogin no
   PasswordAuthentication no

   Проверка конфигурации и перезапуск:

   sudo sshd -t && sudo systemctl reload sshd

3. KRBTGT (двойной сброс) — только по процедуре организации: смена пароля дважды с интервалом репликации между DC; в окне работ мониторить 4769/4771, аномалии по Ticket Encryption Type, оповестить админов о перелогине. Цель — сократить окно применимости старых билетов, а не «инструкция по злоупотреблению».

1. Перед переводом сегмента в strict: снимите baseline текущих разрешённых потоков (правила, NAT, app-id), включите логирование deny и east-west на пилотной группе VLAN.
2. Smoke-тест после изменений — только своей инфраструктуры и согласованных IP:

   # С доверенного админ-хоста в лабе (пример)
   Test-NetConnection -ComputerName <цель> -Port 445
   # Или curl/openssl к разрешённым сервисам — по списку из change ticket

3. В SIEM заведите панель: отказы NGFW + корреляция с AD logon + контейнеры приложений в DMZ.

Только изолированный стенд, письменное разрешение (ROE), учётные данные тестовых пользователей. Цель — научиться защите и детектированию, а не атаке чужих систем.

Ниже — порядок: сценарий в Atomic Red Team (или аналог) → артефакт → запрос в SIEM/EDR. ID техник — MITRE.

1. T1566.002 (фишинг / вложения): атомики в каталоге T1566 → проверка блокировки на почтовом шлюзе и EDR → в SIEM: вложения, macro, parent Outlook → child процесс.
2. T1078 (валидные учётки): симуляция входа тестовой УЗ с нового хоста → алерты на 4624 type 3/10, нетипичный Source Network Address, risky sign-in (если есть IdP).
3. T1021.001 (RDP): контролируемый запуск на лабораторной паре хостов → события TerminalServices, сетевой трафик 3389, запрет NLA-обхода политиками.
4. T1003 (доступ к учётным данным): только утверждённые тесты (например lsass / sam — в рамках ART и лицензий ОС) → детект по Sysmon 10, защита Credential Guard / PPL.
5. T1482 (доверие доменов): ldap/domain enumeration в лабе → логи LDAP, аномальные запросы с неадминских хостов.
6. T1190 (эксплуатация публичного приложения): только на намеренно уязвимом учебном приложении в DMZ → WAF/NGFW/логи приложения и RASP.
7. T1133 (внешний удалённый доступ): проверка опубликованных сервисов (инвентаризация, 2FA, allow-list IP) → корреляция с VPN и IdP.

Шаблон запроса в SIEM (подставьте индекс/таблицу): срез за окно теста по user, host, technique_tag из runbook purple team.