Event ID 1024

正如我之前肯定提到过的，在进行事件响应时，事件日志是绝佳的证据来源。特别是，在调查基于网络的入侵时，横向移动可能是最难识别的事情之一。

事件日志文件 Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx 中的事件 ID 1024，有时可能被忽视，它专门与远程桌面中的 ActiveX 控件相关。

内置的 ActiveX 控件允许管理员通过提供可编写脚本的接口来配置 RDP 用户体验，例如，可以将 RDP ActiveX 控件嵌入网页并配置 URL 安全区域。

事件 ID 1024 包含以下消息： “RDP ClientActiveX 正在尝试连接到服务器（IP.ADDRESS OR HOSTNAME）” 此处显示的是 IP 还是主机名，取决于在远程桌面的图形用户界面（GUI）的"计算机"字段中输入的内容。

（根据测试）当用户使用 Windows 中的 RDP 客户端 MSTSC.exe 通过按"连接"发起 RDP 连接时，会生成此事件 ID。

重要的是，无论会话是否成功连接，都会创建事件 1024 条目。 这意味着即使攻击者可能未成功通过 RDP 连接到另一台计算机，我们仍可能看到他们尝试的证据。此日志的保存时间也可能比其他日志更长，例如安全日志可能只涵盖一天的活动，而您可能在此日志中找到数月之久的证据。

当与事件 ID 4648 安全事件和其他远程计算机的 RDP 日志结合使用时，这可以显示向远程（目标）计算机尝试或成功连接及进行身份验证的情况。

参考： https://nullsec.us/windows-rdp-related-event-logs-the-client-side-of-the-story/ https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4648 https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/