windows 2008 防火墙结合DC来使域控更安全
windows 2008 在域这块的安全提高不少,而防火墙在这方面也是更加优秀,要是域结合防火墙来使用无疑是更加的牢固、安全。下面我就结合防火墙来部署一下域。
这次试验的步骤是:
1、搭建域控
2、配置防火墙
3、验证
一、搭建域控
在开始——运行里面输入dcpromo
我们不使用高级模式
 
新建的域控所以选择新林
起一个名字为test.com
选择林功能级别
这是在检查DNS是否已经安装
我们事先是没有安装DNS的所以在这把DNS服务器勾选上
因为没有安装DNS所以会抱着个错误,选择是  继续
 
DNS配置好了,路径我们不改 默认就行
写上我们的还原模式密码,一边以后使用
这是让我们确认一下我们的选择是不是有误
域控安装完成,我们需要重新启动一下
等了一会,机器已经启动起来AD是能打开的,我们的域控是正常的。
二、配置防火墙
我们打开组策略管理,打开的方法有两种一个是在开始——程序——管理工具——组策略管理,另一种就是在开始——运行里输入gpmc.msc,打开以后右击Default Domain Policy ——编辑
找到高级安全 windows 防火墙,右击——属性
这里会有好几个配置文件,我们是针对域的所以我们选择第一个域配置文件,默认都是未配置的
我们选择启用防火墙状态,入站连接,出站都选择默认值如图:点击自定义【制定控制 windows防火墙行为的设置】我们把【使用于本地防火墙规则】【使用用本地连接安全规则】都选择否
我们对域已经启用了防火墙,接下来我们建立规则。右击入站规则——新规则
规则类型选择自定义,下一步
所有程序
任何日期、所有端口
任何IP
允许连接
最后一步给这个规则起名字,我就起一个test吧,描述就不写了
出站我们就不新建了 ,接下来我们选择连接安全规则,用于针对连接中的防火墙安全检测和隔离,同样返回到GPMC组策略编辑器主窗口。右击连接安全规则——新规则
类型是隔离
要求我们选择第二个,也就是入站连接要求身份验证,出站连接请求身份验证
配置文件都是域配置文件,写上名称完成。
好了   规则建立完成了,但是不会马上更新到服务中,所以我们刷新一下组策略,命令就是gpupdate /force
是不是已经更新了呢?我们来看一下在开始——运行里面输入fw.msc,看到了我们新建立的规则,证明已经刷新成功了!!
三、验证
在域控上共享一个文件夹为dc,在没有新建规则的时候是可以访问的,现在看看是不是能访问成功,如果访问成功我们的防火墙规则就是失败了,如果访问失败证明我们的实验成功了。提示如下 windows 无法访问。证明我们新建的规则已经生效了。
这样一来域控的安全级别是不是大大提高了呢?