Policy Hakkında Bilgi
Allow Anonymous SID/Name translation konusunda sizlere bilgi vereceğim. Bu group policyde Active Directory güvenliği için önemlidir. Hackerlerın mantığını biraz bilirsek RID 500 olarak nitelendirdiğimiz administrator hesabını ele geçirmeye çalışacaktır. Domain kullanıcısı olmayan anonim kullanıcı başka bir kullanıcı üzerinden bu hesabın adını öğrenebilir. Bu sebepten dolayı hesabın SID adresininin anonim kullanıcılar tarafından öğrenilmemesi gerekmektedir. Eğer bu ayar yapılmazsa anonim kullanıcı administrator hesabının adını değiştirseniz bile öğrenebilmektedir. SID üzerinden adını rahatça bulabilirler.
Allow Anonymous SID/Name translation Policy Uygulaması
Bunun için Group Policy Management açarak , default domain policy editleyerek başlayalım. Aşağıdaki yola gidelim ve resimlerde gösterilen ayarları uygulayalım. Bu ayar tüm sisteminizde geçerli olacaktır. Linklenecek yeri ona göre ayarlayınız.
Computer Configuration>Policies>Security Settings >Local Policies > Security Options > Allow Anonymous SID/Name translation
Bu ayarı disable ederek anonim kullanıcıların bu hesapların sidlerine ulaşmalarını engelleyeceğiz.