红队技巧 - RDP 隐身模式

微软的远程桌面协议 (RDP)通过其 /public 命令行参数引入了一个鲜为人知但至关重要的安全功能，俗称“隐身模式”。 

此功能正式称为公共模式，可防止客户端存储敏感的会话工件，这对于网络安全、数字取证和企业 IT 管理具有重要影响。

当使用 /public 标志启动 mstsc.exe（Microsoft 终端服务客户端）时，公共模式就会激活，从而禁用关键数据保留机制。

连接设置：

通常存储在隐藏的 %USERPROFILE%DocumentsDefault.rdp 文件中，公共模式会阻止对此配置存储库的更新：

管理员可以通过记事本“~DocumentsDefault.rdp”手动编辑它，但会话特定的更改在断开连接后就会消失。

凭据缓存： Windows 凭据管理器通常将 RDP 凭据存储在 TERMSRV/ 条目下。公共模式会禁用检索和存储，每次都强制进行手动身份验证。取证分析师通常使用以下方式查询这些凭据：

持久位图缓存： RDP 通过在 %LOCALAPPDATA%MicrosoftTerminal Server ClientCache 中缓存屏幕片段来优化性能。 

公共模式会停用此功能，但管理员可以通过 RDP 文件中的 BitmapCachePersistEnable:i:0 独立禁用它。 

诸如 BMC-Tools（GitHub /ANSSI-FR）之类的取证工具从这些缓存中提取位图工件，然后以公共模式呈现。

公共模式改变了对事件调查至关重要的注册表交互：

MRU 服务器列表：存储在 HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault 中的 10 个最近使用的服务器停止更新。利用受感染系统的攻击者不会留下新的 IP/DNS 踪迹。

用户名提示：注册表项（如 HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers<IP>UsernameHint）通常会显示帐户名称。公共模式会在会话结束后清空此字段。

证书例外：无效证书的 TLS 信任覆盖（通常记录在 HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers 下的 CertHash 值中）被阻止。

这将删除凭证、位图缓存和注册表项。

原文始发于微信公众号（Khan安全团队）：红队技巧 - RDP 隐身模式