Windowsのイベントログ(Security)を見る③ ~セキュリティIDの見方~
先日公開したイベントログの記事へのアクセスの多さに驚いております…。
メインコンテンツはハニーポットの観測だったつもりですが…。
イベントログの見方で困っているのは、私だけではなかったんですね!
これからも、少しでも、イベントログの解析に役立つ情報を発信していけたらなと思います!
今日は、いろいろなところで出てくるセキュリティID(S-1-5といった記号のようなもの)の見方について、ご紹介します。
- セキュリティID(SID)とは
- セキュリティID(SID)の法則
- Universal Well Known SID
- Well Known SID
- ローカルグループ SID
- ドメイン SID
- S-1-5-21-(ドメインごとに設定された数値)-500 Administrator
- S-1-5-21-(ドメインごとに設定された数値)-501 Guest
- S-1-5-21-(ドメインごとに設定された数値)-512 Domain Admins
- S-1-5-21-(ドメインごとに設定された数値)-513 Domain Users
- S-1-5-21-(ドメインごとに設定された数値)-514 Domain Guest
- S-1-5-21-(ドメインごとに設定された数値)-515 Domain Computer
- S-1-5-21-(ドメインごとに設定された数値)-516 Domain Controller
- S-1-5-21-(ドメインごとに設定された数値)-1000~
- まとめ
セキュリティID(SID)とは
セキュリティID(SID)というのは、Windowsシステムで管理しているユーザアカウント等のIDになります。
例えば、同じ「Abc」というアカウント名であっても、ローカルのユーザアカウントとドメインのユーザアカウントの場合、システム上は別のアカウントであると認識させる必要がありますが、アカウント名で管理してしまうと、どちらも「Abc」ですので、どちらのアカウントか判別することができません。
つまり、システム上、別のアカウントであることを判別するためには、アカウント名以外に、重複しない情報が必要となります。それがセキュリティID(SID)になるのです。
セキュリティID(SID)は、そのシステム上においては、重複するIDが振られることはありません。そのため、一度削除したアカウントと同じ名前、同じドメインでユーザアカウントを再作成したとしても、別のセキュリティID(SID)が振られることになります。つまり、全く同じ名前、同じドメインでユーザアカウントを作成しなおしたとしても、別のアカウントとして認識されるのです。
このセキュリティID(SID)には、その付番に一定のルールがあります。
このルールを知っていると、セキュリティログを解析する際に、どういったアカウントが使用されているのか、より具体的に知ることができるケースが多々あります。
セキュリティID(SID)の法則
セキュリティID(SID)は、大きく分けて①Universal Well Known SID、②Well Known SID、③ローカルグループSID、④ドメインSIDに分類することができます。
Universal Well Known SID
S-1-1-0 Everyone
匿名ユーザやGuestを含むすべてのユーザを含むグループ
S-1-2-0 Local
ローカルにログオンしているすべてのユーザを含むグループ
S-1-2-1 Console Logon
物理コンソールにログオンしているすべてのユーザを含むグループ
S-1-3-0 Creator Owner
オブジェクトの作成者
継承可能なアクセス制御エントリ(ACE)のプレースホルダーです。
このSIDはオブジェクトの作成者のSIDで置き換えられます。
S-1-3-1 Creator Group
オブジェクトの作成者のグループ
継承可能な アクセス制御エントリ(ACE) のプレース ホルダーです。
ACE が継承されると、システムは、オブジェクトの作成者のプライマリ グループの SID を持つこの SID を置き換えます。
Well Known SID
S-1-5-1 Dialup
ダイアルアップ接続経由でログオンする、すべてのユーザを含むグループ
S-1-5-2 Network
ネットワーク接続経由でログオンする、すべてのユーザを含むグループ
S-1-5-3 Batch
バッチ・キュー(タスクスケジューラ等)機能経由でログオンする、すべてのユーザを含むグループ
S-1-5-4 Interactive
対話形式でログオンしたすべてのユーザを含むグループ
S-1-5-5-x-y Logon Session
ログオンセッションを示します。セキュリティID(SID)のxとyは、セッションごとに異なる値がセットされます。
S-1-5-6 Service
サービスとしてログオンしたすべてのユーザを含むグループ
S-1-5-7 Anonymous Logon
匿名でログオン(ユーザ名とパスワードの情報を送信せずにログオン)したすべてのユーザを含むグループ
S-1-5-9 Enterprise Domain Controllers
Active Directory のディレクトリ サービスを使用するフォレストの、すべてのドメイン コント ローラーを含むグループサービスとしてログオンした、すべてのユーザを含むグループ
S-1-5-11 Authenticated Users
ログオンする際にユーザの認証を受けたすべてのユーザを含むグループ
S-1-5-13 Terminal Server Users
Terminal Server Usersにログオンしたすべてのユーザを含むグループ
S-1-5-15 This Organization
同じ組織(同じドメイン、同じフォレスト)に所属しているすべてのユーザを含むグループ
S-1-5-18 Local System
OSによって使用されるサービスアカウント
ローカルグループ SID
S-1-5-32-544 Administrator
「Administrator(管理者)」グループ(ビルドイングループ)
S-1-5-32-545 User
「User」グループ(ビルドイングループ)
S-1-5-32-546 Guest
「Guest」グループ(ビルドイングループ)
S-1-5-32-547 Power User
「Power User」グループ(ビルドイングループ)
S-1-5-32-548 Operator
「Operator(アカウント管理者)」グループ(ビルドイングループ)
S-1-5-32-549 Server Operator
「Server Operator(サーバ管理者)」グループ(ビルドイングループ)
S-1-5-32-550 Print Operator
「Print Operator(プリンタ管理者)」グループ(ビルドイングループ)
S-1-5-32-551 Backup Operator
「Backup Operator(バックアップ管理者)」グループ(ビルドイングループ)
S-1-5-32-552 Replicator
「Replicator(複製管理者)」グループ(ビルドイングループ)
ドメイン SID
S-1-5-21-(ドメインごとに設定された数値)-500 Administrator
ドメインのAdministrator(管理者)アカウント
S-1-5-21-(ドメインごとに設定された数値)-501 Guest
ドメインのGuest(個別のアカウントを持っていない人)アカウント
S-1-5-21-(ドメインごとに設定された数値)-512 Domain Admins
ドメインのDomain Admins(ドメインの管理者)アカウント
S-1-5-21-(ドメインごとに設定された数値)-513 Domain Users
ドメインのDomain Users(ユーザ)グループ
S-1-5-21-(ドメインごとに設定された数値)-514 Domain Guest
ドメインのDomain Guest(ユーザ)グループ
S-1-5-21-(ドメインごとに設定された数値)-515 Domain Computer
ドメインに参加しているクライアントおよびサーバ
S-1-5-21-(ドメインごとに設定された数値)-516 Domain Controller
S-1-5-21-(ドメインごとに設定された数値)-1000~
ビルトインアカウントではないアカウントは、末尾が「1000」から順番に使用されます。
ユーザアカウントを削除したとしても、この番号は再利用されません。
まとめ
ユーザ名を詐称する攻撃を見破るには、セキュリティID(SID)の確認が、最も効果的かと思います。
特に、イベントID:4720、4722、4725、4726といった、ユーザアカウントの作成・削除に関するイベントを確認する際には、アカウント名よりセキュリティID(SID)を確認したほうが、同一名称のアカウントの登録状況を正確に把握することができます。