windows 2008 防火墙结合DC来使域控更安全

               windows 2008 防火墙结合DC来使域控更安全

windows 2008 在域这块的安全提升很多，而防火墙在这方面也是更加优秀，要是域结合防火墙来使用无疑是更加的牢固、安全。下面我就结合防火墙来部署一下域。

此次试验的步骤是：

一、搭建域控

二、配置防火墙

三、验证

1、搭建域控

在开始——运行里面输入dcpromo

咱们不使用高级模式

 

新建的域控因此选择新林

起一个名字为test.com

选择林功能级别

这是在检查DNS是否已经安装

咱们事先是没有安装DNS的因此在这把DNS服务器勾选上

由于没有安装DNS因此会抱着个错误，选择是  继续

 

DNS配置好了，路径咱们不改 默认就行

写上咱们的还原模式密码，一边之后使用

这是让咱们确认一下咱们的选择是否是有误

域控安装完成，咱们须要从新启动一下

等了一会，机器已经启动起来AD是能打开的，咱们的域控是正常的。

2、配置防火墙

咱们打开组策略管理，打开的方法有两种一个是在开始——程序——管理工具——组策略管理，另外一种就是在开始——运行里输入gpmc.msc，打开之后右击Default Domain Policy ——编辑

找到高级安全 windows 防火墙，右击——属性

这里会有好几个配置文件，咱们是针对域的因此咱们选择第一个域配置文件，默认都是未配置的

咱们选择启用防火墙状态，入站链接，出站都选择默认值如图：点击自定义【制定控制 windows防火墙行为的设置】咱们把【使用于本地防火墙规则】【使用用本地链接安全规则】都选择否

咱们对域已经启用了防火墙，接下来咱们创建规则。右击入站规则——新规则

规则类型选择自定义，下一步

全部程序

任何日期、全部端口

任何IP

容许链接

最后一步给这个规则起名字，我就起一个test吧，描述就不写了

出站咱们就不新建了 ，接下来咱们选择链接安全规则，用于针对链接中的防火墙安全检测和隔离，一样返回到GPMC组策略编辑器主窗口。右击链接安全规则——新规则

类型是隔离

要求咱们选择第二个，也就是入站链接要求身份验证，出站链接请求身份验证

配置文件都是域配置文件，写上名称完成。

好了   规则创建完成了，可是不会立刻更新到服务中，因此咱们刷新一下组策略，命令就是gpupdate /force

是否是已经更新了呢？咱们来看一下在开始——运行里面输入fw.msc，看到了咱们新创建的规则，证实已经刷新成功了！！

3、验证

在域控上共享一个文件夹为dc，在没有新建规则的时候是能够访问的，如今看看是否是能访问成功，若是访问成功咱们的防火墙规则就是失败了，若是访问失败证实咱们的实验成功了。提示以下 windows 没法访问。证实咱们新建的规则已经生效了。

这样一来域控的安全级别是否是大大提升了呢？