windows 2008 防火牆結合DC來使域控更安全

               windows 2008 防火牆結合DC來使域控更安全

windows 2008 在域這塊的安全提升很多，而防火牆在這方面也是更加優秀，要是域結合防火牆來使用無疑是更加的牢固、安全。下面我就結合防火牆來部署一下域。

此次試驗的步驟是：

一、搭建域控

二、配置防火牆

三、驗證

1、搭建域控

在開始——運行裏面輸入dcpromo

咱們不使用高級模式

 

新建的域控因此選擇新林

起一個名字爲test.com

選擇林功能級別

這是在檢查DNS是否已經安裝

咱們事先是沒有安裝DNS的因此在這把DNS服務器勾選上

由於沒有安裝DNS因此會抱着個錯誤，選擇是  繼續

 

DNS配置好了，路徑咱們不改 默認就行

寫上咱們的還原模式密碼，一邊之後使用

這是讓咱們確認一下咱們的選擇是否是有誤

域控安裝完成，咱們須要從新啓動一下

等了一會，機器已經啓動起來AD是能打開的，咱們的域控是正常的。

2、配置防火牆

咱們打開組策略管理，打開的方法有兩種一個是在開始——程序——管理工具——組策略管理，另外一種就是在開始——運行裏輸入gpmc.msc，打開之後右擊Default Domain Policy ——編輯

找到高級安全 windows 防火牆，右擊——屬性

這裏會有好幾個配置文件，咱們是針對域的因此咱們選擇第一個域配置文件，默認都是未配置的

咱們選擇啓用防火牆狀態，入站鏈接，出站都選擇默認值如圖：點擊自定義【制定控制 windows防火牆行爲的設置】咱們把【使用於本地防火牆規則】【使用用本地鏈接安全規則】都選擇否

咱們對域已經啓用了防火牆，接下來咱們創建規則。右擊入站規則——新規則

規則類型選擇自定義，下一步

全部程序

任何日期、全部端口

任何IP

容許鏈接

最後一步給這個規則起名字，我就起一個test吧，描述就不寫了

出站咱們就不新建了 ，接下來咱們選擇鏈接安全規則，用於針對鏈接中的防火牆安全檢測和隔離，一樣返回到GPMC組策略編輯器主窗口。右擊鏈接安全規則——新規則

類型是隔離

要求咱們選擇第二個，也就是入站鏈接要求身份驗證，出站鏈接請求身份驗證

配置文件都是域配置文件，寫上名稱完成。

好了   規則創建完成了，可是不會立刻更新到服務中，因此咱們刷新一下組策略，命令就是gpupdate /force

是否是已經更新了呢？咱們來看一下在開始——運行裏面輸入fw.msc，看到了咱們新創建的規則，證實已經刷新成功了！！

3、驗證

在域控上共享一個文件夾爲dc，在沒有新建規則的時候是能夠訪問的，如今看看是否是能訪問成功，若是訪問成功咱們的防火牆規則就是失敗了，若是訪問失敗證實咱們的實驗成功了。提示以下 windows 沒法訪問。證實咱們新建的規則已經生效了。

這樣一來域控的安全級別是否是大大提升了呢？