事件ID 1024 | Salt取证

正如我之前肯定提到过的，事件日志在执行事件响应时是重要的证据来源。特别是在调查基于网络的入侵时，横向移动可能是最难识别的事项之一。

日志文件Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx中的事件ID 1024是一个有时可能被忽略的事件，它专门与远程桌面中的ActiveX控件相关。

内置的ActiveX控件允许管理员通过提供可编写脚本的接口来配置RDP用户体验，并且可以（举几个例子）允许将RDP ActiveX控件嵌入网页以及配置URL安全区域。

事件ID 1024包含以下消息： “RDP ClientActiveX正在尝试连接到服务器（IP地址或主机名）” 此处显示的是IP地址还是主机名，取决于在远程桌面GUI的“计算机”字段中输入的内容。

（在测试中）当用户通过按“连接”按钮使用Windows中的RDP客户端MSTSC.exe发起RDP连接时，会生成此事件ID。 很棒的一点是，无论会话是否连接成功，都会创建事件1024条目。 这意味着即使攻击者未能通过RDP成功连接到另一台计算机，我们仍可能看到他们尝试的证据。此日志的保存时间也可能比其他日志更长，在安全日志可能仅覆盖一天活动的情况下，您可能会在此日志中找到数月价值的证据。

当与4648安全事件和其他远程计算机RDP日志结合使用时，这可以显示对远程（目标）计算机的尝试性或成功的连接及身份验证。

参考： https://nullsec.us/windows-rdp-related-event-logs-the-client-side-of-the-story/ https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4648 https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/