Windowsのイベントログ(Security)を見る③ ~セキュリティIDの見方~
先日公開したイベントログの記事へのアクセスの多さに驚いております…。
メインコンテンツはハニーポットの観測だったつもりですが…。
イベントログの見方で困っているのは、私だけではなかったんですね!
これからも、少しでも、イベントログの解析に役立つ情報を発信していけたらなと思います!
今日は、いろいろなところで出てくるセキュリティID(S-1-5といった記号のようなもの)の見方について、ご紹介します。
- セキュリティID(SID)とは
- セキュリティID(SID)の法則
- Universal Well Known SID
- Well Known SID
- S-1-5-1 Dialup
- S-1-5-2 Network
- S-1-5-3 Batch
- S-1-5-4 Interactive
- S-1-5-5-x-y Logon Session
- S-1-5-6 Service
- S-1-5-7 Anonymous Logon
- S-1-5-9 Enterprise Domain Controllers
- S-1-5-11 Authenticated Users
- S-1-5-13 Terminal Server Users
- S-1-5-15 This Organization
- S-1-5-18 Local System
- ローカルグループ SID
- S-1-5-32-544 Administrator
- S-1-5-32-545 User
- S-1-5-32-546 Guest
- S-1-5-32-547 Power User
- S-1-5-32-548 Operator
- S-1-5-32-549 Server Operator
- S-1-5-32-550 Print Operator
- S-1-5-32-551 Backup Operator
- S-1-5-32-552 Replicator
- ドメイン SID
- S-1-5-21-(ドメインごとに設定された数値)-500 Administrator
- S-1-5-21-(ドメインごとに設定された数値)-501 Guest
- S-1-5-21-(ドメインごとに設定された数値)-512 Domain Admins
- S-1-5-21-(ドメインごとに設定された数値)-513 Domain Users
- S-1-5-21-(ドメインごとに設定された数値)-514 Domain Guest
- S-1-5-21-(ドメインごとに設定された数値)-515 Domain Computer
- S-1-5-21-(ドメインごとに設定された数値)-516 Domain Controller
- S-1-5-21-(ドメインごとに設定された数値)-1000~
- まとめ
続きを読む
【ハニーポットの検証】ハニーポット設置182日目 ~6月の危険なユーザ名、パスワード上位50位~
先日、イベントログの記事を書いたところ、普段50~よくて100程度のPVしかない、このブログが、1日で1,300弱のPVを記録するという、奇跡のような1日がありました。
これからも、皆様に見ていただけるような記事を頑張って書いていければいいなと思います!
今日は、毎月、月の頭には恒例にしつつある危険なユーザIDとパスワードをご紹介します。
- 6月の危険なユーザ名・パスワード上位50
- 危険なユーザ名 TOP50
- 危険なパスワード TOP50
続きを読む