RDPのメモ

WindowsのRDP (Remote Desktop Services) についてのメモ。
RDP関連のイベントを調査するときはshellbagの確認も忘れずに行いたい。(RDPのセッション中にユーザーがExplorerでフォルダにアクセスしたり、フォルダやファイルの一覧を閲覧している可能性が高いため)

クライアント側

データの種類データ説明
ファイル%systemroot%\system32\mstsc.exeRDP クライアント
参考
ファイル[Drive Name]:\[User Name]\Documents\Default.rdpRDP のセッション情報に関する設定ファイル。接続先のホスト名などが含まれている。デフォルトのファイル名はDefault.rdp
参考
ファイル[Drive Name]:\Users\[User Name]\AppData\Local\Microsoft\Terminal Server Client\Cache\bcache[NUM].bmcRDPセッションのキャッシュ・ファイル。セッション時の画面情報をビットマップ形式で保存する。ツールでパースすることによりRDPセッション時の画面をある程度復元することができる。
参考1
参考2
ファイル[Drive Name]:\Users\[User Name]\AppData\Local\Microsoft\Terminal Server Client\Cache\Cache[NUM].binRDPセッションのキャッシュ・ファイル。セッション時の画面情報をビットマップ形式で保存する。ツールでパースすることによりRDPセッション時の画面をある程度復元することができる。
参考1
参考2
Windows イベントログEID 1102, 1103, 1025クライアントからサーバーへのRDP接続が成功した場合にクライアント側のイベントログに記録されるEID。詳しくは参考リンクを参照。
参考
レジストリHKCU\Software\Microsoft\Terminal Server Client\Default\MRU[NUM]クライアントが過去にRDP接続した宛先ホスト名やIPアドレスが保持されている。最も直近で接続した宛先情報はMRU0に保持される。
参考
レジストリHKCU\Software\Microsoft\Terminal Server Client\Servers\[IP address or hostname]上記のMRUエントリに対応した情報が保持されている。例えばHKCU\Software\Microsoft\Terminal Server Client\Default\MRU0に192.168.1.1というIPアドレスが記録されている場合、HKCU\Software\Microsoft\Terminal Server Client\Servers\192.168.1.1というサブキーが作成される。
レジストリHKCU\Software\Microsoft\Terminal Server Client\Servers\[IP address or hostname]\UsernameHint[IP address or hostname]にRDP接続した際のデフォルトのユーザー名が保持される。
レジストリHKCU\Software\Microsoft\Terminal Server Client\Servers\[IP address or hostname]\CertHashRDP接続先のシステムが証明書を用いている場合、証明書のThumbprintが保持される。

サーバー側

データの種類データ説明
ファイル%systemroot%\system32\rdpclip.exeリモートデスクトップ・クリップボード。RDPクライアントとサーバー間でのコピー・ペーストを受け持つ。
Windows サービスTermService (Remote Desktop Services)リモートデスクトップを実行するためのサービス
ファイル%systemroot%\system32\termsrv.dllリモートデスクトップのサービスDLL。リモートデスクトップのサービス実行時に svchost.exe によって読み込まれる。
ポート番号3389リモートデスクトップ・サービスのデフォルトのポート番号
Windows イベントログEID 21, 22, 4624 (Logon Type: 10)クライアントからサーバーへのRDP接続が成功した場合にサーバー側のイベントログに記録されるEID。詳しくは参考リンクを参照。
参考

その他参考
https://jpcertcc.github.io/ToolAnalysisResultSheet/details/mstsc.htm

Leave a Reply

Your email address will not be published.