RDNに知らないユーザーアカウントがたくさんある

当方はWINDOWS XP SP2、ソーテックのPEN４マシンです。
昨日、ユーザーアカウントの所でRDNの欄を見てみたら、
ADMINISTRATORと自分が作った以外に、20程のユーザーアカウントが一覧にありました。
自分以外には使わないPCで、ユーザー名も自分以外にはGUESTを作ったのみだと
記憶しています。

ネットへの接続状況はマシン三台のうち当マシンを含む二台が有線でルーターへ、
後の一台が無線でルーター経由の接続です。

ただ、当マシンともう一台の有線接続のマシンは、ルーター（NEC）付属の
CDを使わずとも接続できたのでNECのソフトをインストールせずに使っており、
二台とも同じユーザーアカウントがRDN欄に並んでいます。
無線PCに関しては現在子供たちに与えているPCなので、まだ、確認していませんが、
この状況が問題ならチェックします。

尚、三台のマシンは以前ネットワークを組んでいましたが、今は組んでいません。

ちなみに、作った覚えのないユーザーアカウント名は、

　ANONYMOUS LOGON
　ADMINISTRATORS（Sがつく）
　GUESTS（　〃　）
　AUTHENTICATED USERS
　BATCH
　CREATOR GROUP
　　〃　　OWNER
　DIALUP
　EVERYONE
　Help Assistant
　 〃　SERVICES GROUP
　INTERACTIVE
　LOCAL SERVICE
　NETWORK
　　〃　　SERVICE
　REMOTE INTERACTIVE LOGON、
　SERVICE
　Support_○○○
　SYSTEM
　TERMINAL SERVER USER
　USERS

その中で、HelpAssistantやSupport_○○○などは自分で調べて
自分で作らなくても出来ている場合もある事が分かりましたが、
それにしてもその他10以上もあるユーザーアカウントが不思議でなりません。

これって、おかしいですよね。
ご教授お願いします。

No.7 ベストアンサー 回答者： zzzz0000 回答日時： 2008/07/11 22:21

http://technet2.microsoft.com/WindowsServer/ja/l …
プリンシパルはここでいうWindows セキュリティ プリンシパルのことだと思います。
http://support.microsoft.com/kb/243330/en-us
SID: S-1-3-0
Name: Creator Owner
SID: S-1-3-1
Name: Creator Group
SID: S-1-5-20
Name: NT Authority
Description: Network Service
SID: S-1-5-20
Name: NT Authority
Description: Network Service
これらでしょう。
REMOTE INTERACTIVE LOGON はリモートデスクトップ接続の接続先PCにありました。リモートアシスタンスの招待側のPCではありませんか。
私は、「ユーザーアカウントではなく、セキュリティ上の問題ではない」と思います。

No.6 回答者： zzzz0000 回答日時： 2008/07/07 20:45

XP Home Editionではセーフモードでないとプロパティのセキュリティは出てこないはずです。

普段セーフモードを使う必要は無いので質問はXP Professionalかと思いました。
セーフモードでプロパティのセキュリティをチェックしてみました。
U Administrator
G Administrators
B ANONYMOUS LOGON
B Authenticated Users
B BATCH
B DIALUP
B Everyone
U Guest
G Guests
U HelpAssistant
G HelpServicesGroup
B INTERACTIVE
B NETWORK
B SERVICE
U SUPPORT_xxxxxxxx
B SYSTEM
B TERMINAL SERVER USER
G Users
がありました。先頭1文字はU=ユーザー、G=グループ、B=ビルトイン セキュリティ プリンシパルです。ユーザーまたはグループの選択でオブジェクトの種類ボタンで一つずつ選択して検索すればU/G/Bどれなのかわかります。

この回答へのお礼

再び有難うございました。
>XP Home Editionではセーフモードでないとプロパティのセキュリティは出てこないはずです。

その通りです。言葉が足りませんでした。

>セーフモードでプロパティのセキュリティをチェックしてみました。

お手数を掛けていただいて感謝いたします。

>U Administrator　
　～
とても参考になりました。
同じようにあるものは問題ないようですね。
少しほっとしました。
残る、
　CREATOR GROUP
　　〃　　OWNER
　LOCAL SERVICE
　　〃　　SERVICE
　REMOTE INTERACTIVE LOGON、
を教えていただいたように検索してみましたところ、
すべて「B」、ビルト イン プリンシパルだと分かりました。

ユーザーではない、という事は問題はないという事なんでしょうか？
それとも種別ははっきりしたからといって、イコール問題なしという
訳ではないのでしょうか？
お手数だとは思いますが、ご意見お聞かせください。

お礼日時：2008/07/08 09:36

No.5 回答者： zzzz0000 回答日時： 2008/07/06 19:04

>ユーザーアカウントの所でRDNの欄を見てみたら、

ファイルのプロパティ→セキュリティ→詳細設定→追加→詳細設定→今すぐ検索 で表示される 名前(RDN) のことだとすると、これは作成したアカウントだけではありません。「ユーザー、グループ または ビルトイン セキュリティ プリンシパル」です。たとえば Administrators はグループです。
アカウントの一覧は コンピュータの管理→ローカルユーザーとグループ→ユーザーで確認します。こちらには Administrators は出てきません。こちらに DIALUP 等のアカウントが表示されているのでしょうか？
通常の意味でのアカウントはコントロールパネルのユーザーアカウントで確認できます。

この回答へのお礼

返信有難うございます。

>これは作成したアカウントだけではありません。「ユーザー、グループ または ビルトイン セキュリティ プリンシパル」です。たとえば Administrators はグループです。

なるほど。確かにそう書いてありますよね。
グループとビルトイン セキュリティ プリンシパルが何なのか不勉強で分かりませんが、
ビルトイン～、というのはその名の通り、初めからあるもの、なのでしょうね。

>アカウントの一覧は コンピュータの管理→ローカルユーザーとグループ→ユーザーで確認します。

コンピュータの管理にローカルユーザーとグループ→ユーザーがありませんでした。
もしかするとこれはXP Professionalの事でしょうか。
うっかりしてましたが、XPのホームエディションを使用しています。
書き損なっていました。せっかくご意見頂いたのに済みませんでした。
無線LANにしていたPCのみがXP Professionalでした。

>こちらには Administrators は出てきません。こちらに DIALUP 等のアカウントが表示されているのでしょうか？

そんなわけで確認できません。RDNにはありましたが。

>通常の意味でのアカウントはコントロールパネルのユーザーアカウントで確認できます

セーフモードからAdministratorで入って見たユーザーアカウントはオフになっている
GUESTともうひとつ管理者となっている自分の合わせて三つあるだけでした。

お礼日時：2008/07/07 11:18

No.4 回答者： Tasuke22 回答日時： 2008/06/30 15:16

このような場合の指南書ですか・・・

乗っ取った人のスキルによりますね。
分かることは、セキュリティを強化するよりは
膨大な（桁違いの）コストが掛かるということ
くらいです。

方針として犯人を追及するか、これ以上の被害を
拡大させないか、を決める必要があるでしょう。

焦る気持ちは分かりますが、まずは無線LANを
ストップ、有線のみで情報収集。出来たら、
乗っ取られていないと思えるPCで。
乗っ取られたPCはオフラインで調査。
何をされているかをはっきりさせる。
スキルがあれば、そのままにして犯人が入ってく
るのを待って追跡とか出来るかもしれませんが。

無線が使えるようにするのは、無線LANアクセス
ポイントあるいは無線LANルータの説明書をよく
読む、ここで書いても同じことしか書けません。

被害がある程度分かったら、そのデータに対する
対処も必要でしょう。

何をどう埋め込まれているか分からないので、全て
のPCはクリーンインストールをタイミングを見計ら
って行う必要があるでしょう。あまり早いと調査
データを失います。

まあ、すべき事が次々に浮かんでちょっと私では
ここでのサポートは無理ですね。大き過ぎる仕事です。
紙に整理整頓して、どんどん書いていった方がいい
と思います。作業の順番がありますので、１つ１つを
熟慮して行いましょう。

この回答へのお礼

再び返信有難うございました。
もう一つ質問させてください。

>乗っ取られたPCはオフラインで調査。
>何をされているかをはっきりさせる。

現在、マカフィーのセキュリティセンターを導入していますが、
他に何をすればいいのでしょうか？何か専用の調査ツールでもあるのでしょうか？

>方針として犯人を追及するか、これ以上の被害を
>拡大させないか、を決める必要があるでしょう。

私には被害の拡大を防ぐのが精一杯だと思います。

>被害がある程度分かったら、そのデータに対する対処も必要でしょう。

これが一番頭の痛いところです。
いろんな登録情報の書き換えや、場合によっては大切なデータの破棄も
しなくてはなりませんね。

>何をどう埋め込まれているか分からないので、全てのPCは
>クリーンインストールをタイミングを見計らって行う必要があるでしょう。
>あまり早いと調査データを失います。
>紙に整理整頓して、どんどん書いていった方がいいと思います。
>作業の順番がありますので、１つ１つを熟慮して行いましょう。

はい。有難うございます。
やるしかありません。頑張ってみます。

お礼日時：2008/06/30 18:33

No.3 回答者： namakeinu 回答日時： 2008/06/30 13:39

見つけられなかったらだめなので・・

特殊なIDの詳細ページです。

参考URL：http://technet2.microsoft.com/WindowsServer/ja/l …

この回答へのお礼

返信有難うございます。
また、リンクの貼り付けも有難うございました。

WINDOWSサーバーですか、入れていません。
すると「入れられた」、サーバーとして使われている、
ということなのでしょうか？

お礼日時：2008/06/30 14:31

No.2 回答者： namakeinu 回答日時： 2008/06/30 13:35

Windows Server 2003 R2 管理ツール パック など入れてませんか？

Windows Server 2003で、オペレーティングシステムが内部的に使用する特殊なIDらしいですが…

詳細のURLを貼っておきます。

参考URL：http://technet2.microsoft.com/WindowsServer/ja/l …

No.1 回答者： Tasuke22 回答日時： 2008/06/30 11:51

PC乗っ取られているのでしょう。

無線LANあたりが怪しいですね。
セキュリティ設定とか分かるでしょうか？

MACアドレス登録だけでもしたら乗っ取りは無くなる
でしょうが、プラス暗号化が普通ですが、されてい
ないと思われますが、如何でしょうか？

この回答へのお礼

返信有難うございます。

>PC乗っ取られているのでしょう。

やっぱり…。
うーん、どうすれば…。

>無線LANあたりが怪しいですね。
>セキュリティ設定とか分かるでしょうか？

無線でつないでいるPCのセキュリティは「カスタム」になっていました。
自分でカスタムにした記憶はありませんが、このPCには子供用に
「i・フィルター」というソフトを使っていたのでそれでそうなったのかもしれません。

そしてこのPCのRDN欄を確認したところ、更に多くの知らないユーザーアカウントが
入っていました。全部で30くらいあります。

>MACアドレス登録だけでもしたら乗っ取りは無くなる
>でしょうが、プラス暗号化が普通ですが、されてい
>ないと思われますが、如何でしょうか？

どうすればいいのでしょうか？

子供用のPCは息子達が使っていますが、他の二台は私が使っていて、
かなり個人的に重要なデータも入れてありました。

一体どうしたらいいのかかなり戸惑っています。
教えていただくにも簡単に済ませられる量の情報ではないですよね。
こんなトラブルの際の指南書のようなものはあるのでしょうか？

よろしくお願いします。

お礼日時：2008/06/30 14:29