SID (Security Identifier) Analizi

SID'ler benzersizdir ve bir kez kullanıldıktan sonra asla tekrar kullanılmaz. Bu SID, oluşturulduğu anda bu kullanıcıya kalıcı olarak atanmıştır. aşağıdaki yazımda bu id lerin açıklması yapmaya çalıştım S-1-5-21-11906xxxx-307557xxxx-203xxxxxx-1001 │ │ │ │ │ │ │ │ └─ Domain identifier └─ RID (Relative ID) │ │ └─── NT Authority │ └───── Revision level └─────── SID prefix   SID (Security Identifier) - Windows güvenlik tanımlayıcısıdır. İsmin gelmemesinin birkaç nedeni olabilir:

• Silinmiş Kullanıcı: Kullanıcı domain'den silinmiş ama yetkileri kalmış
• Orphaned SID: Yetim kalmış güvenlik tanımlayıcısı
• Domain Trust Sorunu: Domain güven ilişkisi bozulmuş
• Geçici Bağlantı Sorunu: Domain controller'a ulaşılamıyor

SID Analizi: S-1-5-21-11906xxxx-307557xxxx-203xxxxxx-1001

Bu SID'in yapısı:

• RID (Son kısım): 1001 → Normal kullanıcı hesabı (1000+ user account)
• Domain SID: S-1-5-21-1190619309-3075576492-203137233

Güncellenen Script Özellikleri:

1. SID Çözümleme: SID'leri otomatik olarak kullanıcı adına çevirmeye çalışır
2. Hata Yönetimi: SID çözümlenemezse açıklayıcı mesaj verir
3. Ek Bilgi: Hem çözümlenmiş ad hem de orijinal SID'i gösterir

Bu SID'in Muhtemel Durumları:

1. Silinmiş Kullanıcı: En olası durum - kullanıcı domain'den silinmiş ama yetkileri kalmış
2. Orphaned Account: Hesap başka domain'e taşınmış
3. Geçici Sorun: Domain controller geçici olarak ulaşılamıyor

# SID'i isime çevirme $sid = S-1-5-21-11906xxxx-307557xxxx-203xxxxxx-1001" try { $objSID = New-Object System.Security.Principal.SecurityIdentifier($sid) $objUser = $objSID.Translate() Write-Host "Kullanıcı: $($objUser.Value)" } catch { Write-Host "SID çözümlenemedi - Muhtemelen silinmiş kullanıcı" }

S-1-5-21-938383202-2505xxxxxx-xxxxxxxxx-43489 inceleyelim

SID Bileşenleri:

• S-1: SID revision 1 (standart)
• 5: NT Authority (Windows özel SID)
• 21: Non-unique identifier (domain SID gösterir)
• 938383202-2505xxxxxx: Domain identifier (3 adet 32-bit sayı)
• 43489: RID (Relative Identifier)

RID Analizi - 43489:

RID değeri 43489, normal kullanıcı hesabı kategorisindedir çünkü 1000'den büyüktür. Kullanıcı SID'leri her zaman S-1-5-21 ile başlar ve RID değeri 1000 veya daha büyük olur.

1. Hesap Türü: Normal domain kullanıcı hesabı
2. RID Aralığı: 43489 > 1000 (kullanıcı hesabı)
3. Domain: Özel bir domain'e ait (domain identifier ile belirlenen)

Önemli RID Değerleri:

• 500: Domain Administrator
• 501: Guest hesabı
• 502: KRBTGT hesabı
• 512: Domain Admins grubu
• 513: Domain Users grubu
• 1000+: Normal kullanıcı hesapları (sizinki bu kategoride)

Bu SID Hakkında:

43489 RID değeri oldukça yüksek bir sayı, bu da:

• Bu domain'de çok sayıda kullanıcı/grup oluşturulmuş olduğunu
• Bu hesabın görece geç oluşturulduğunu
• Aktif bir domain ortamında olduğunuzu gösterir

SID'ler benzersizdir ve bir kez kullanıldıktan sonra asla tekrar kullanılmaz. Bu SID, oluşturulduğu anda bu kullanıcıya kalıcı olarak atanmıştır.

SID Analizi:S-1-5-21-11906xxxx-307557xxxx-203xxxxxx-1001

SID Bileşenleri:

• S-1: SID revision 1 (standart)
• 5: NT Authority (Windows özel SID)
• 21: Non-unique identifier (domain SID gösterir)
• 1190619309-3075576492-203137233: Domain identifier (3 adet 32-bit sayı)
• 1001: RID (Relative Identifier)

RID Analizi - 1001:

RID değeri 1001, normal kullanıcı hesabı kategorisindedir çünkü 1000'den büyüktür. Kullanıcı SID'leri her zaman S-1-5-21 ile başlar ve RID değeri 1000 veya daha büyük olur. Microsoft LearnRene Nyffenegger

Bu SID'in Özellikleri:

1. Hesap Türü: Normal domain kullanıcı hesabı
2. RID Değeri: 1001 - Bu domain'de oluşturulan ilk birkaç kullanıcıdan biri
3. Domain: Kendine özel domain identifier'a sahip

RID 1001'in Anlamı:

1001 RID değeri özellikle önemlidir çünkü:

• Domain'de oluşturulan ilk normal kullanıcılardan biri (genellikle 2. veya 3. kullanıcı)
• RID 1000 genellikle domain'deki ilk kullanıcıya verilir
• Bu nedenle erken dönem kullanıcısı veya önemli bir hesap olabilir

Önceki SID ile Karşılaştırma:

Domain Identifier Karşılaştırması:

• Bu SID: 1190619309-xxxxxxxxx-203137233
• Önceki SID: 938383xxx-xxxxxxxxx-1015948312

Farklı domain identifier'lar → Farklı domain'ler

Güvenlik Açısından:

1. RID 1001 olması nedeniyle önemli bir hesap olabilir
2. Eğer bu hesap silinmiş ama yetkileri kalmışsa güvenlik riski
3. İlk kullanıcılar genellikle yönetici yetkilerine sahip olurlar

Bu SID, farklı bir domain'den gelen ve o domain'de oluşturulan ilk birkaç kullanıcıdan birini temsil ediyor. RID değerinin düşük olması (1001) bu hesabın domain'deki önemli erken dönem kullanıcılarından biri olduğunu gösterir.