port139.hatenablog.com/entry/2019/03/23/091740
RDP and ID 1149 "Remote Desktop Services: User authentication succeeded:" - @port139 Blog
Note:I translated Japanese into English using Google Translate.Thank you, Google. Summary: Windows 10: ID 1149 is recorded when Alice's account is successfully logged on via RDP. Windows 10: If you specify the RestrictedAdmin option, the username and domai
port139.hatenablog.com
RDP 및 ID 1149 "원격 데스크톱 서비스 : 사용자 인증 성공 :"
참고 : Google 번역을 사용하여 일본어를 영어로 번역했습니다.
감사합니다, Google.
요약:
- Windows 10 : Alice의 계정이 RDP를 통해 성공적으로 로그온되면 ID 1149가 기록됩니다.
- Windows 10 : RestrictedAdmin 옵션을 지정하면 사용자 이름과 도메인이 비어 있습니다.
- Windows 10 : NLA를 끄고 Rdesktop으로 로그온하면 ID 1149가 기록되지 않습니다.
----------
이벤트 ID 1149는 어떤 종류의 사용자 작업을 기록합니까? Windows 10 환경에서 기록을 확인합시다.
Windows 10 (1809)에서 원격 데스크톱을 활성화합니다. NLA가 켜져 있습니다.
Windows Server 2019에서 "mstsc.exe"를 시작합니다. IP 주소가 연결 대상으로 지정됩니다.
Alice 계정이 성공적으로 로그온되면 ID 1149가 "Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational"에 기록됩니다.
사용자가 비밀번호를 잘못 입력하는 등 인증에 실패한 경우 ID 1149는 기록되지 않습니다.
RDP 연결을 끊고 다시 연결하면 ID 1149가 기록됩니다.
사용 Remmina를 RDP 클라이언트로. 로그온이 성공하면 ID 1149가 기록됩니다.
mstsc에 지정된 / restrictedadmin 옵션으로 실행됩니다. (레지스트리 설정을 변경하고 RestrictedAdmin 모드를 활성화했습니다.)
로그온에 성공하면 ID 1149가 기록되지만 사용자 이름과 도메인은 비어 있습니다.
루프백 주소에서 포트 전달이 사용되는 경우.
다른 사용자가 로그온하고 세션 중재가 발생하고 "아니오"를 선택합니다. 이 경우에도 ID 1149가 기록됩니다. (이 화면이 표시되면 Alice 계정이 성공적으로 로그인 된 것입니다. ID 4624가 기록됩니다.)
다음으로 NLA를 끕니다.
rdesktop을 RDP 클라이언트로 사용합니다. 이 경우 Alice 계정이 성공적으로 로그온 되어도 ID 1149는 기록되지 않습니다 .
<추가>
Windows 7 RDP에서는 다음 화면을 볼 수 있습니다. 그러나 Windows 10에서 동일한 상황을 재현 할 수 없었습니다.
그래서 @ grayfold3d 에서 댓글을 받았습니다 ! 감사합니다!
자세한 내용은 그의 트윗을 참조하십시오.
.RDP 파일을 만들고 끝에 다음을 추가했습니다.
enablecredsspsupport : i : 0
예상했던 다음 화면이 표시되었습니다!
그래서 이벤트 로그를 확인했습니다. ID 1149는 기록되지 않았습니다.
위 화면이 표시된 후 Alice가 성공적으로 로그온하더라도 ID 1149는 기록되지 않습니다.
</ add>
[참고]
ID 1149의 녹화 패턴은 Windows 7과 Windows 10에서 다릅니다.
PS
그건 그렇고, 나는 mstsc "/ public"옵션을 몰랐습니다. 이 옵션은 레지스트리 및 비트 맵 캐시를 억제합니다.
https://yamanxworld.blogspot.com/2015/01/public.html
확인 환경 : Windows Server 2019 1809, Windows 10 1809, 표준 시간대 UTC
참조 URL :
https://www.13cubed.com/downloads/rdp_flowchart.pdf
RDP 이벤트 로그 DFIR
https://dfironthemountain.wordpress.com/2019/02/15/rdp-event-log-dfir/
dfironthemountain.wordpress.com
'포렌식 > 컴퓨터' 카테고리의 다른 글
| GPT 파티션에 대한 자료 (0) | 2021.04.13 |
|---|---|
| MBR 확장 파티션의 개념 이해하기 (0) | 2021.04.13 |
| 윈도우 UserAssist 개요 및 분석 (0) | 2021.01.15 |
| bat파일을 이용해 txt 문서 목록 파일들 복사하기 (0) | 2020.10.27 |
| 구글 드라이브 포렌식 기술 (0) | 2020.09.24 |