windows-server远程连接溯源

windows-server远程连接溯源，其实windows远程连接很多，SMB服务，RDP连接，攻击手法也可能使用最落后的攻击——爆破账户密码攻击，高级攻击方法—–系统漏洞攻击。

本次溯源windows-server远程连接溯源，这要借助windows的系统日志进行分析，如果系统日志被攻击者删除，可使用外置日志审计系统进行日志分析。

第一，本次案例是RDP连接，服务器192.168.1.100的服务器进行溯源，在192.168.1.100打开被攻击的服务器的系统日志：windows日志—-Microsoft—-windows

第二，找到windows日志—-Microsoft—-windows—–TerminalServices-RemoteConnectionManager和的Operational的日志，查看事件ID为1149

查看远程登录过的 IP，案例里面，源192.168.1.102在2021/4/6成功登录了本机当然，这里要尽量结合登录时间查出最有可能的登录IP。

第三，找到windows日志—-Microsoft—-windows—–TerminalServices-LocalSessionManager和的Operational的日志。查看事件ID24的，源IP192.168.1.102在2021/4/6断开连接。

第四，找到源192.168.1.102的主机，查看本地注册表，本机登录过的远程IP，注册表路径：HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default

确认了源192.168.1.102登录过192.168.1.100.

2021-4-6

下节是windows-server SMB服务溯源。