はじめに

Active Directory Basics の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Active Directory Basics This room will introduce the basic concepts and functionality provided by Active Directory.

Active Directoryの基礎

Active Directoryとは

Active Directory は企業や組織のユーザーやパソコンをまとめて管理するサービス。

何ができるか

住所録の役割
・社員（ユーザー）
・パソコンやサーバー（コンピューター）
・プリンタなどの機器
これらを「誰が」「どこに」「どういう権限で」存在するのか、まとめて記録。

鍵の役割
・社員が会社のパソコンにログインするとき
・社員が社内のファイルサーバーにアクセスするとき
IDとパスワードをチェックし、その人が使えるものだけ使わせるように制御。

Active Directory の主な機能

ユーザー管理：社員アカウントを一元管理
コンピューター管理：PCやサーバーをまとめて管理
認証（ログインチェック）：誰が正しいユーザーか確認
権限付与（アクセス制御）：どこまで操作できるか決定
ポリシー配布（GPO）：全社PCに一括でルール設定（例：パスワードは10文字以上）

Windowsドメインとは

組織全体のPCとユーザーをまとめたグループ。

ドメインコントローラー（DC）

ドメインの中心にいるのが ドメインコントローラー (Domain Controller, DC)。
これは Active Directory が入った Windows サーバーで、以下の役割がある。

誰がログインできるか認証する
ユーザーやPCの情報を記録する
セキュリティポリシーを配布する

ドメインに参加するとどうなるか

会社のPCを「ドメインに参加」させると、
そのPCはドメインコントローラーのルールに従うようになる。

社員がどのPCからログインしても、同じIDとパスワードで入れる
営業部の人だけ営業フォルダを見れる、といった権限管理ができる
パスワードの長さやWindows Updateの設定を一括で適用できる

Active Directory のオブジェクト

Active Directory の世界ではネットワーク上に存在するものはすべて「オブジェクト」 として管理される。

代表的なオブジェクト

ユーザー (User)
社員や管理者など人を表すオブジェクト
ユーザーはセキュリティプリンシパル（認証され、権限を持てるオブジェクト）
ユーザーは2種類に分けられる
People：社員など、人間がログインするためのユーザー
Services：サービス（IIS、MSSQL など）を動かすために使うユーザー

コンピュータ (Computer)
ドメインに参加したPCやサーバーを表すオブジェクト
例：PC01$ のように末尾に「$」が付く
OS自身が使うアカウントで、人間が直接ログインすることは想定されていない

セキュリティグループ (Security Groups)
複数のユーザーやコンピュータをまとめて管理する入れ物
1人ずつ権限を与えるよりグループ単位でアクセス制御する方が効率的

OU（組織単位：Organizational Unit）
部署やチームごとにユーザーやコンピュータをまとめる入れ物
例：「IT部門」「営業部門」など
OUにポリシーを適用すると所属するユーザーやPCに自動で反映される

セキュリティグループ (Security Groups)

アクセス権限をまとめて管理するためのグループ。

代表的なデフォルトセキュリティグループ

GPO（Group Policy Object）とは

Windowsドメイン環境でユーザーやコンピュータに対して一括で設定を配布する仕組み。

何ができるか

セキュリティ系
パスワードポリシー（長さ・複雑さ・有効期限など）
アカウントロックアウトの回数制限
Windows Updateの自動適用

ユーザー環境系
デスクトップの壁紙を会社のロゴに固定
コントロールパネルの使用禁止
特定のアプリケーション起動を制御

コンピュータ設定系
共有フォルダの自動マウント
スクリーンセーバーや自動ロックの設定
ファイアウォールやサービスの動作ルール

GPOの適用対象

GPOは「どこにリンクするか」で適用対象が決まる。

ドメイン全体（例：すべてのユーザーにパスワードポリシーを適用）
OU単位（例：営業部PCだけUSBメモリを禁止）
サブOUも継承（OUにリンクしたら、その下のOUにも適用される）

仕組み

1.管理者が GPMC（Group Policy Management Console） でGPOを作成
2.そのGPOをOUやドメインにリンクする
3.ドメインに参加しているユーザーやPCが定期的にGPOを取得（gpupdate）
4.自動的に設定が適用される

配布される仕組みは SYSVOL 共有フォルダ（ドメインコントローラ上）を通じて行われる。

認証方法

Kerberos認証

Active DirectoryでユーザーがログオンするときWindowsは内部で「Kerberos（ケルベロス）認証」という仕組みを使っている。

Kerberosとは

Kerberosはネットワーク上で「安全に」「何度もパスワードを送らずに」認証を行うためのプロトコル。
Windowsドメインでは標準の認証方式として使われている。

例えば、会社のパソコンで一度ログインした後、ファイルサーバーやプリンタ、社内サイトにアクセスしても再びパスワードを入力する必要がないのはこのKerberosが動いているから。

Kerberosの仕組み

用語

Client（クライアント）：ユーザーが操作するPC
KDC（Key Distribution Center）：認証の中心となる仕組み。ドメインコントローラー（DC）上で動作
Service（サーバー）：ファイル共有やデータベースなどの利用したいリソース
TGT（Ticket Granting Ticket）：サービス用チケットをもらうためのチケット
TGS（Ticket Granting Service Ticket）：実際にサービスへアクセスするためのチケット

仕組み

Step 1：TGT（チケット発行チケット）をもらう

ユーザーはまず「ユーザー名」と「タイムスタンプ（時刻情報）」を自分のパスワードから作られた鍵で暗号化してKDCに送る。これが「TGTをください」というリクエスト。

KDC（ドメインコントローラー）はユーザー情報を確認し、
TGT（Ticket Granting Ticket）
セッションキー（Session Key）
をユーザーに返す。

TGTは「krbtgt」という特別なアカウントのパスワードハッシュで暗号化されており、
ユーザー自身は中身を確認できない。

Step 2：TGS（サービス用チケット）をもらう

次にユーザーが特定のサービス（例えば「ファイル共有サーバー」や「MSSQL」）を使いたいとき、
手に入れたTGTを使ってKDCにリクエスト。

リクエストには以下が含まれる：
ユーザー名とタイムスタンプ（セッションキーで暗号化）
取得済みのTGT
SPN（Service Principal Name：接続したいサービス名）

KDCはそれを受け取り、
TGS（サービスチケット）
サービスセッションキー（Svc Session Key）
を発行して返す。

TGSはそのサービスの「所有者アカウント（Service Owner）」のハッシュで暗号化されており、
サービスだけが中身を復号できる。

Step 3：サービスへのアクセス

最後にユーザーは受け取ったTGSを使ってサービスに接続。
サービスは自分の「Service Owner Hash」でTGSを復号し、ユーザーを認証。

これによりパスワードを再送することなく、安全にサービスを利用可能。

要約

Client

KDCさん、私は Username + Timestamp を自分のパスワード鍵で暗号化して送ります。身分証（TGT）をください！

KDC

確認できました。これは TGT と Session Key です。TGT は krbtgt のハッシュ で暗号化してありますよ。

Client

今度は SPN=MSSQL/SRV に接続したいです。TGT と Session Key を使って TGS をお願いします！

KDC

了解。これは TGS と Service Session Key。TGS はサービス所有者のハッシュで暗号化済みです。

Client

サーバさん、これが TGS とタイムスタンプです。

Service（サーバー）

TGS を私のハッシュで復号…OK！認証成功。どうぞ接続してください。

遊園地に例えてみると

Client

こんにちは！この遊園地に入りたいので、チケットをください。

KDC

いらっしゃいませ。身分証を確認しますね。……はい、問題なし！
こちらがあなたのフリーパス（TGT）です。
これを持っていれば、もう一度身分証を見せる必要はありませんよ。

Client

ジェットコースターに乗りたいんですけど、このTGTで乗れますか？

KDC

ジェットコースター専用のチケット（TGS）が必要です。
あなたのTGTを確認しました、はい、これが TGS（サービスチケット） です！

Client

ジェットコースターのチケットを持ってきました。入ってもいいですか？

Service（サーバー）

TGSを確認しますね……OK！あなたは正規のチケットを持っています。
どうぞ乗車をお楽しみください！

NTLM認証

Windowsで使われる認証プロトコル（認証の仕組み）のひとつで特に古いバージョンのWindowsネットワークやファイル共有（SMB）などで利用されることがある。

NTLMとは

Microsoftが開発したWindows専用の認証プロトコル。
主にWindows NT時代（1990年代）に登場し、Active Directoryが登場する前に使われていた。

今でも以下のような場面ではNTLMが動いていることがある。
ドメイン外のPCが共有フォルダにアクセスする場合
Kerberosが利用できない古いシステムやアプリ
ローカル認証や一部のリモート接続（RDP）など。

仕組み

Step 1：認証要求（Authentication Request）

クライアント（ユーザー）はサーバーに対して「ログインしたい」というリクエストを送る。
この時点では、まだパスワードやハッシュは送られない。

Step 2：サーバーからチャレンジ（Challenge）

サーバーはクライアントに対して、ランダムな値（チャレンジ）を送る。
この値は毎回異なり、使い回し（リプレイ攻撃）を防ぐためのもの。

Step 3：レスポンスの生成と送信（NTLM Response）

クライアントは自分のパスワードから生成したNTLMハッシュ（NTLM Hash）を使って、
サーバーから受け取ったチャレンジを暗号化。

Step 4：サーバー→ドメインコントローラーへ送信

サーバーは受け取ったチャレンジとレスポンスをドメインコントローラー（DC）に転送。
実際のパスワード情報はDCが保持しているため、サーバー自身では判定できない。

Step 5：ドメインコントローラーで検証

DCは保存してあるユーザーのNTLMハッシュを使い同じチャレンジを自分でも暗号化。
生成されたレスポンスがクライアントの送ったものと一致すれば認証成功。

Step 6：認証結果をサーバーに返す

DCは認証結果（成功または失敗）をサーバーに返し、
サーバーはその結果に応じてクライアントのアクセスを許可または拒否。

要約

Client

サーバーさん、ログインしたいです！認証をお願いします！

Server

了解しました。それではこちらのチャレンジ（Challenge）をお渡しします。
この値を正しく処理して返してください。

Client

分かりました。
自分のパスワードから作られたNTLMハッシュを使って、
このチャレンジを暗号化します！

Client

Challenge ＋ NTLM Hash → Responseを作って…

Client

できました！これが私のレスポンス（Response）です！

Server

ありがとうございます。このChallengeとResponseをドメインコントローラー（DC）に確認してもらいますね。

DC

なるほど…。
こちらでも保存しているNTLMハッシュを使って同じチャレンジを暗号化してみましょう。

DC

NTLM Hash + Challenge → 自分でResponseを作って…

DC

お、クライアントのResponseと一致！これは本人ですね。

Server

DCが認証OKだそうです！
クライアントさん、ログインを許可します。ようこそ！

Active Directoryの拡張構造

Active Directory（以下AD）では単一のドメインで始まった環境をツリーやフォレストとして拡張することで、大規模組織にも対応できる。

ドメインとは

ドメインはADの管理単位。
ユーザー、コンピュータ、サーバーなどのオブジェクトをまとめて管理できる。

ツリー（Tree）とは

例えば、企業が海外展開して「UK支社」「US支社」ができた場合、それぞれのITチームが独自に管理したい。
このとき、以下のようなサブドメイン構成にすることで管理を分けられる：

thm.local（ルートドメイン）
├─ uk.thm.local（UK支社）
└─ us.thm.local（US支社）

これを「ツリー構造（Domain Tree）」と呼ぶ。
同じ名前空間（thm.local）を共有しており、各サブドメインが独立して管理可能。

各ドメインには Domain Admins（ドメイン管理者）が存在
全体を統括できるのがEnterprise Admins（エンタープライズ管理者）

つまり：
UK支社の管理者 → UK内のDCを管理
Enterprise Admin → 全支社を統括できる

フォレスト（Forest）とは

フォレストは、異なるドメインツリーをまとめた最上位の構造。
例えば、会社「THM Inc.」が「MHT Inc.」を買収した場合：

🟩 フォレスト（Forest）
　┣ 🌳 ツリー1：THM.local
　┃　┣ 🍃 uk.thm.local
　┃　┗ 🍃 us.thm.local
　┗ 🌳 ツリー2：MHT.local
　　　┣ 🍃 asia.mht.local
　　　┗ 🍃 eu.mht.local

この2つを同じネットワーク内で統合したものが「フォレスト（Forest）」。
フォレスト内では、複数のツリーが異なる名前空間でも共存できる。

トラスト関係（Trust Relationship）とは

フォレストやツリーを構成すると別ドメイン間でリソース共有が必要になる。
このときに必要なのが トラスト（信頼）関係 。

一方向トラスト（One-way Trust）
片方のドメインがもう片方のドメインを「信頼する」関係。
例えば：
THM.local → MHT.local を信頼

双方向トラスト（Two-way Trust）
お互いに信頼する関係です。
例えば：
THM.local → MHT.local を信頼
THM.local ← MHT.local を信頼

これにより両方のドメインのユーザーが互いのリソースにアクセス可能となる。
（フォレストやツリーを構築するとデフォルトで双方向トラストが形成される。）

トラスト関係＝自動アクセスではない。
トラスト関係を結んだからといって自動的に全リソースにアクセスできるわけではない。
トラストは「認証を認める」仕組みであり、実際のアクセス権は別途設定が必要。

実際に動かしてみる

Task3 実演

1.OU（Organizational Units）の作成

THM OU に「Students」を作成。

左ペインで THM OU を探して右クリック。
コンテキストメニューから新規作成(New)→組織単位 (Organizational Unit) を選択。

名前を「Students」と入力して OK。

Task4 実演

1.不要なOUの削除
シナリオ：ある部門が予算削減のために閉鎖された。ルーム Task4 のチャートを確認して、不要な部門を削除する。

1-1.OUは誤って削除されないようにデフォルトで保護がかかっているので、まずはプロパティから保護を解除する。

現状では削除しようとしてもエラーになる。

表示(View)→Advanced Features(高度な機能)

プロパティ(Properties)→オブジェクト(Object)→オブジェクトを誤削除から保護する(Protect object from accidental )deletion のチェックを外す。

1-2.保護が外れたのでOUを削除。

保護が外れているので削除確認画面が表示される。

2.委任
シナリオ：ITサポート担当者の「Phillip」に「Sales」、「Marketing」、「Management」のパスワードリセット権限を付与する。
※今回は「Sales」のみ実演。

2-1. 「制御の委任(Delegate Control)」から「Phillip」にパスワードリセット権限を付与する。

 OUを右クリックして制御の委任(Delegate Control)。

「Add」→「Phillip」と入力して「名前の確認(Check Names)」をクリック→OK→Next

「ユーザーのパスワードをリセットし、次回ログオン時にパスワード変更を強制する(Reset user passwords and force password change at next logon)」にチェックを入れ、Next。

2-2. 「Phillip」でログインし、Sales 部門のユーザー「Sophie」のパスワードリセットを実行する。

まずは、「Phillip」でログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

PowerShell からパスワード変更。
※7文字以上、大文字・小文字・数字・記号を混ぜたパスワード推奨。簡単すぎるとエラーになる。

PS C:\Users\phillip> Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose

New Password: **********

VERBOSE: Performing the operation "Set-ADAccountPassword" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".

一緒にパスワードの強制リセットも設定。次回ログイン時にパスワード変更が必須になる。

PS C:\Users\phillip> Set-ADUser -ChangePasswordAtLogon $true -Identity sophie -Verbose

VERBOSE: Performing the operation "Set" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".

2-3.「Sophie」でログインし、フラグを取得。

まずは、「Sophie」でRDPログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

パスワードの強制リセットが反映されている。任意のパスワードを設定し、ログイン。

デスクトップにフラグを発見。

Task5 実演

1.コンピューターの移動
シナリオ：デフォルトでDCを除くすべてのマシンは「Computers」コンテナに配置される。最適なOUを作成し、各マシンを配置しなおす。

1-1.まずは「Workstations」と「Servers」OUを作成。

1-2.次に適切なOUにマシンを移動。

Task6 実演

1.コントロールパネルへのアクセス制限
シナリオ：コントロールパネルへのアクセスをIT部門のユーザーのみに制限したい。

1-1.GPO「Restrict Control Panel Access」を作成。

Group Policy Management → 「Group Policy Objects」を右クリック → New

「Restrict Control Panel Access」→ OK

1-2.「Restrict Control Panel Access」ポリシーを編集。

「Restrict Control Panel Access」を右クリック → Edit

User Configuration → Policies → Administrative Templates → Control Panel に移動。
「Prohibit access to Control Panel and PC settings」 を Enabled（有効） にする。

1-3.「Restrict Control Panel Access」をリンク。

Marketing、Management、Sales に「Restrict Control Panel Access」をドラック＆ドロップ。

2.すべてのマシンに自動ロックを適用する
シナリオ：すべてのマシンに5 分間のアイドルで自動ロックの設定をする。

2-1.GPO「Auto Lock Screen」を作成。

Group Policy Management → 「Group Policy Objects」を右クリック → New → Auto Lock Screen → OK

2-2.「Auto Lock Screen」ポリシーを編集。

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options → Interactive logon: Machine inactivity limit → 値を 5 分（＝300 秒） に設定し、OK。

2-3.「Auto Lock Screen」をリンク。

thm.local（ルートドメイン）に「Auto Lock Screen」をドラック＆ドロップ。

3.GPOが適用されているか確認。

まずは、「Mark」でRDPログイン。

xfreerdp3 /v:IPアドレス /u:'THM¥ユーザー名' /p:'パスワード'

gpupdate /force でポリシーを即時適用。

コントロールパネルを開こうとするとエラーになる。

後は、5分放置して画面が自動ロックになるか確認して終了。

つまづいたこと

グループとOUの違い

グループもOUも同じもののように見えた。
例えば、営業部のAさんがいたとして
グループ：営業
OU：営業
権限：営業
となると、OUとグループの役割が重複しているのでは？と思った。
ChatGPTに聞いてみた結果

• Aさんのアカウント → OU「営業」に所属
  • → 営業部用のポリシー（例：USB禁止、壁紙設定など）が自動適用
• Aさんのアカウント → グループ「営業」にも所属
  • → 営業フォルダのアクセス権限を持つ

👉 つまり「OUとグループは別の役割を持っていて、重複して使うものではない」んです。

とのこと。自身で調べてみても間違ってはいなさそう。
ざっくり
OU = GPOを適用
グループ = フォルダアクセス権を適用　の違いがあることは覚えた。

はじめに

Windows Fundamentals 3 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 3 In part 3 of the Windows Fundamentals module, learn about the built-in Microsoft tools that help keep the device secure, such as Windows Updates, Windows Securi…

Windows Fundamentals 3

Windows Security

旧名称：Windows Defender Security Center
Windowsに最初から入っているセキュリティ機能を一元管理するツール。
ウイルス対策やファイアウォール、デバイス保護などをまとめて確認・設定できる。

主な機能

Virus & threat protection (ウイルスと脅威の防止 )
Windows Defender Antivirus（標準のウイルス対策ソフト）の状態を管理。
スキャン、ウイルス定義の更新、検出ログ確認など。

Firewall & network protection (ファイアウォールとネットワーク保護)
Windows Defender Firewall の管理。
ネットワークごと（ドメイン/プライベート/パブリック）に制御できる。

App & browser control(アプリとブラウザの制御 )
Microsoft Defender SmartScreen の設定。
危険なアプリやフィッシングサイトのブロック。

Device security (デバイスセキュリティ)
ハードウェアレベルの保護（TPM、セキュアブート、仮想化ベースのセキュリティなど）。

マークの意味

Windowsセキュリティの各項目には、状態を示すマークが表示される。

✅ 緑色（チェックマーク）
→ 「問題なし」の状態。正常に動作していて、特に操作は不要。
例：ファイアウォールが有効、アプリ制御がオンになっている場合。

⚠️ 黄色（警告アイコン/感嘆符）
→ 「注意が必要」な状態。
設定が推奨されるが、セキュリティ上、致命的ではない場合に表示。
例：ウイルススキャンがしばらく実行されていない。

❌ 赤色（×マーク）
→ 「危険」や「対処が必要」な状態。
セキュリティ保護が無効になっていたり、脅威が検出された場合に表示。
例：ウイルス対策が無効、マルウェアが検出された。

Windows Security の画面
※Windows Server 2019エディション

Virus & threat protection（ウイルスと脅威からの保護）

Windowsに標準搭載されているウイルス対策機能。
マルウェア（ウイルス、ワーム、トロイの木馬、ランサムウェアなど）からPCを守る。
定期的なスキャンやリアルタイム保護を行い、脅威が見つかると通知してくれる。
サードパーティ製のアンチウイルスソフト（例：Norton、McAfeeなど）を入れると、この項目がそのソフトに切り替わることもある。

主な機能

Current threats（現在の脅威）
PC上に現在存在する脅威を確認する機能。

主な項目
現在の脅威一覧：検出されたマルウェアがあればここに表示される。
スキャン結果：最後にスキャンした日時、スキャンの種類（クイック/フル/カスタム）、検出数、処理結果。
スキャンオプション：
　-クイックスキャン：感染しやすい場所だけ短時間でチェック。
　-フルスキャン：全ファイルやプログラムを調査。時間がかかる。
　-カスタムスキャン：ユーザーが指定したフォルダやドライブを確認。
Threat history（脅威の歴史）：
Last scan（最後のスキャン）
最後に実行したスキャン日時や結果が記録される。
Quarantined threats（隔離された脅威）
検出されたウイルスやマルウェアを「隔離領域」に移動して、PC上で実行されないようにしたもの。
ユーザーはここから削除したり、誤検知であれば「復元」することも可能。
Allowed threats（許可した脅威）
本来は脅威として検出されたが、ユーザーが「安全だ」と判断して実行を許可した項目。
注意：セキュリティ的にはリスクが高いため、100%安全だと確信がある場合のみ許可するべき。

Virus & threat protection settings（ウイルスと脅威の防止設定）
マルウェア対策の細かい挙動を設定できる場所。

主な項目
Real-time protection（リアルタイム保護）：常に動作している監視。オフにすると危険。
Cloud-delivered protection（クラウド提供の保護）：最新の脅威情報をクラウドから取得し、より早く防御。
Automatic sample submission（自動サンプル送信）：怪しいファイルをMicrosoftに送って解析。
Controlled Folder Access（制御されたフォルダアクセス）：特定のフォルダ（例：ドキュメント、ピクチャ、デスクトップなど）を保護領域に指定する機能。
Exclusions（除外設定）：特定のフォルダやファイルをスキャン対象外にする（誤検知対策）。
Notifications（通知）：検出や問題があればユーザーに知らせる。

注意
リアルタイム保護やクラウド保護を切ると感染リスクが大幅に上がる。

Virus & threat protection updates（ウイルスと脅威からの保護の更新）
セキュリティ定義ファイル（ウイルス定義データベース）を最新に保つ。

主な項目
Check for updates（更新確認）ボタンで手動更新可能。
通常は自動更新されるため、最新のウイルスにも対応できる。

ポイント
古い定義のままだと新種のウイルスを検知できないので、更新の有無は非常に重要。

Ransomware protection（ランサムウェア対策）
ランサムウェアによる「ファイル暗号化」からデータを守る。

主な項目
Controlled folder access（制御されたフォルダアクセス）
特定フォルダ（例：ドキュメント、ピクチャ）を守り、未知のアプリが勝手に変更できないようにする。この機能を使うにはリアルタイム保護を有効にしなければいけない。

Firewall & network protection（ファイアウォールとネットワーク保護）

Windowsに標準搭載されているネットワーク保護機能。
ドメイン・プライベート・パブリックといったネットワークごとに通信ルールを制御し、
外部からの不正アクセスや不要なアプリの通信をブロックできる。

主な機能

プロファイル

Domain network
ドメイン参加時に使う社内向けプロファイル。企業ポリシーで管理されることが多い。

Private network（active）
家庭/社内の信頼できるネットワーク。共有や発見を許可する設定が選べる。

Public network
公共Wi-Fi等の不特定多数が利用する環境。最も厳格（受信接続は原則ブロック）。

追加オプション

（Allow an app through firewallアプリをファイアウォール経由で許可する）
特定のアプリやサービスについて、ファイアウォールのブロックを解除し通信を許可する設定。
例えば、ゲームやリモートデスクトップ、開発用のWebサーバーなどを動かすときに必要。

Network and Internet troubleshooter（ネットワークとインターネットのトラブルシューティング）
ネットワーク接続の問題（Wi-Fiにつながらない、通信が不安定など）を自動診断・修復するツール。
ファイアウォール設定が原因で通信できない場合にも役立つ。

Firewall notification settings（ファイアウォール通知の設定）
新しいアプリが通信をしようとしたときに、通知を表示するかどうかを設定できる。
通常はオンにしておくのがおすすめ。安全でないアプリの通信を防ぐ手がかりになる。

Advanced settings（詳細設定）
Windows Defender Firewall with Advanced Security の画面を開く。
送信ルールや受信ルールを細かく設定可能。ポート番号・プロトコル・アプリ単位で制御できる。
企業ネットワークやサーバー管理で使われることが多い。

Restore firewalls to default（ファイアウォールを既定に戻す）
ファイアウォールの設定をすべてリセットして、初期状態に戻す。
設定を間違えて通信できなくなった場合などのトラブル解決に有効。

App & browser control（アプリとブラウザのコントロール）

主に Microsoft Defender SmartScreen という仕組みを利用して、危険なWebサイトやアプリからPCを保護する。
信頼できないファイルや不審なWebコンテンツを検出し、ユーザーに警告を出す。

主な機能

Check apps and files（アプリとファイルの確認）
Windows Defender SmartScreen が、インターネットや外部から入ってくる未知または信頼されていないアプリ・ファイルをチェックして、危険なものの実行を防ぐ。

Block（ブロック）
不審なアプリやファイルを検出した場合、実行自体をブロックする。安全性が高い設定。
Warn（警告）
実行前に警告を表示。ユーザーが「続行」を選べば実行できる。利便性と安全性のバランス。
Off（無効）
チェックを行わない。セキュリティ的にリスクが高いため推奨されない。

Exploit protection（エクスプロイト防止）
Windows10以降に標準搭載されている、脆弱性を悪用した攻撃（エクスプロイト）からPCを守る仕組み。
メモリ破壊系の攻撃や不正コード実行など、一般的なエクスプロイト手法を困難にする。

Device security（デバイスセキュリティ）

ハードウェアレベルの保護機能（TPM、Secure Boot、仮想化ベースのセキュリティなど）の状態を表示。
この設定を変更することは稀。

BitLocker（ディスク暗号化機能）

正式名称：BitLocker Drive Encryption
目的：PCのハードディスクやSSD全体を暗号化して、不正アクセスからデータを保護する。
仕組み：AES（Advanced Encryption Standard）という強力な暗号化方式を使い、ディスク上のデータを「読み取り不可能な状態」にする。

特徴

PCを盗まれても安心
HDDやSSDを取り外して別のPCにつないでも、中身は暗号化されているため読み取れない。

OSごと暗号化
ディスク全体を暗号化するため、ファイル単位ではなく「PCそのもののセキュリティ」を高められる。

TPMチップ連携
Trusted Platform Module（TPM：信頼できるプラットフォームモジュール）¹と連携し、起動時にハードウェアの改ざんを検出できる。

回復キー
パスワードを忘れた場合やPCに大きな変更があった場合は、セットアップ時に生成される「回復キー」で復旧可能。

1. パソコンに搭載されているセキュリティ専用チップのこと。暗号鍵や証明書などの重要情報を安全に保存するための領域を持つ。PCの金庫役。 ↩︎

Volume Shadow Copy Service / VSS（ボリューム・シャドウ・コピー・サービス）

ファイルやシステムを使用中（稼働中）の状態でも、一時的なスナップショット（シャドウコピー） を作成できる。
そのスナップショットを利用して、バックアップや復元を行うことが可能。
例えば、システムの「復元ポイント」や、バックアップソフトが動作中に使っている。

主な役割

ファイルを開いたままでもバックアップ可能
→ 通常は編集中のファイルをコピーできないが、VSSがスナップショットを作ることで可能になる。

システム復元に利用
→ Windowsの「復元ポイント」もVSSによって管理されている。

アプリやサービスと連携
→ SQL Server や Exchange などのデータベースも VSS を利用して一貫性のあるバックアップを実現できる。

セキュリティや注意点

ランサムウェア攻撃では、復元できなくするためにこのVSSのスナップショットが削除されることが多い。
そのため、VSSは便利だが完全なバックアップ手段ではなく、外部媒体へのバックアップも重要。

Living Off The Land / LotL（環境寄生型攻撃）

攻撃者がOSや標準ツール（既に存在する正当なバイナリ/機能）を悪用してマルウェアを配布・持続化・横展開・情報窃取などを行う手法。
これまでに紹介したWindowsの標準機能も、LotL攻撃で悪用されることがある。

具体例

PowerShellを使ってDefenderの設定を無効化する。
netshコマンドを使ってFirewallルールを改変する。
VSSを削除してバックアップを無効化する。
BitLockerを悪用して強制暗号化し、利用者がデータにアクセスできなくする。
など

はじめに

Windows Fundamentals 2 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 2 In part 2 of the Windows Fundamentals module, discover more about System Configuration, UAC Settings, Resource Monitoring, the Windows Registry and more..

Windows Fundamentals 2

Windows Fundamentals 2 についてのメモ

Windowsのトラブルシューティングの基礎知識。
以後、Windowsで問題が発生した際はここで概要を確認。

システム構成

システム構成ユーティリティ（msconfig.exe）

「システム構成ユーティリティ（MSConfig）」はWindowsに標準搭載されているシステム管理ツールの一つで、スタートアップやブート動作の調整に使える。

概要

実行ファイル名： msconfig.exe
場所： %systemroot%\system32\msconfig.exe
目的：Windowsの起動設定やサービス、スタートアッププログラムの管理を行い、トラブルシューティングやパフォーマンス改善に利用する。

主な機能

全般 (General)
Windowsの起動方法を切り替える基本設定タブ。

通常スタートアップ
すべてのドライバ・サービスを読み込む（通常運用）。

診断スタートアップ
Windows を最小限のドライバとサービスで起動（セーフモードに近い）。トラブル原因切り分けに使う。

選択スタートアップ
読み込むサービスやスタートアップ項目をユーザーが選択可能。

ブート (Boot)
起動オプションを指定できる。

Safe Boot（セーフブート）
最小限のサービスだけで起動。ネットワーク付きセーフモードも選べる。

No GUI boot（GUIなしブート）
Windowsロゴや進捗バーを表示せずに黒画面で起動する。

Boot log（ブートログ出力）
起動時にロードされたドライバを C:\Windows\ntbtlog.txt に記録する。ドライバの不具合調査に使う。

Base video（基本VGAドライバで起動）
標準VGAドライバで起動する。グラフィックドライバの問題切り分けに使う。

OS boot information（OSブート情報表示）
起動時にロードされるドライバ名を逐次画面に表示する。どのドライバで停止しているか調査できる。

サービス (Services)
Windowsサービスの一覧を表示。
不要なサービスを一時的に停止して、問題切り分けに利用可能。
※常駐セキュリティソフト等を止めると危険なので注意。

スタートアップ (Startup)
現在はタスクマネージャー（taskmgr）のスタートアップタブに移管されたため利用することはほとんどない。

ツール (Tools)

各種管理ツール（イベントビューア、コマンドプロンプト、レジストリエディタなど）へのショートカット。
管理者向けの便利メニュー。

コンピュータ管理

コンピュータの管理 (compmgmt.msc)

Windowsに標準で搭載されている 統合管理コンソール（MMCスナップインの1つ）。システムのさまざまな管理ツールを一つの画面から利用できる。

概要

実行ファイル名： compmgmt.msc
場所： %systemroot%\system32\compmgmt.msc
目的：システム管理ツールを統合的に利用できる管理コンソール。ユーザーやグループ管理、イベントログ確認、ディスク管理、サービスの制御などを一元的に行う。

主な機能

システムツール (System Tools)
PCの基本的な管理に関するツール群。

タスクスケジューラ
定期的なタスク（バックアップ、更新処理など）を自動実行する設定。

イベントビューア
システムログ・アプリケーションログを確認し、エラーや警告を調査できる。

共有フォルダ
共有設定されているフォルダや接続中のユーザーを確認。

ローカルユーザーとグループ (lusrmgr.msc)
ユーザーアカウントやグループの作成・管理。

パフォーマンス (Performance)
CPU・メモリ・ディスク・ネットワークなどのリソース利用状況をリアルタイムまたはログから監視できる。
詳細な解析やボトルネック調査、リソースモニターの起動も可能。

デバイスマネージャー (Device Manager)
ハードウェアやドライバーの管理。

記憶域 (Storage)
ハードディスクやパーティション、バックアップの管理を行う機能。
ディスクの初期化・フォーマット・容量の調整、システムのバックアップや復元など、記憶装置に関する操作をまとめて管理できる。

ディスクの管理 (Disk Management)
パーティション作成、フォーマット、ボリューム拡張などを行う。

Windows Server バックアップ (Windows Server Backup)
サーバーのバックアップや復元を管理。

サービスとアプリケーション (Services and Applications)
Windows が提供するサービスや追加アプリケーションの管理を行う機能。
サービスの開始・停止・自動起動の設定などを制御でき、システムの安定運用やトラブルシューティングに役立つ。

サービス (Services)
Windowsやアプリケーションのサービスを一覧し、開始・停止・再起動を制御。プロパティの表示なども可能。

WMIコントロール (WMI Control)
Windows Management Instrumentation の設定やセキュリティ構成を管理。

Routing and Remote Access (ルーティングとリモートアクセス)
ルーティング機能とリモートアクセス機能を提供。

システム情報

システム情報 (msinfo32.exe)

システム情報ツールは、Windowsに標準搭載されている診断ユーティリティ。
PCのハードウェア構成・システム環境・ドライバー情報を一覧表示できる。

概要

実行ファイル名：msinfo32.exe
場所：%systemroot%\system32\msinfo32.exe
目的：Windowsのハードウェア構成、システム環境、コンポーネント、ドライバーやサービスなどの詳細情報を一覧表示する。トラブルシューティングやシステム診断、サポートへの情報提供に利用する。

主な機能

・システムの概要表示 (System Summary)
OSのバージョン、ビルド番号、シリアル番号、BIOSバージョン、起動モード（UEFI / Legacy）など。

・ハードウェア情報 (Hardware Resources)
CPU、メモリ、マザーボード、BIOS、ストレージ構成など。

・コンポーネント (Components)
ディスプレイ、サウンド、ネットワークアダプタなどの詳細情報。

・ソフトウェア環境 (Software Environment)
実行中のタスク、サービス、ドライバー、環境変数など。

リソースモニター

リソースモニター (resmon.exe)

リソースモニターは、Windowsに標準搭載されているリソース監視ユーティリティ。
CPU、メモリ、ディスク、ネットワークの使用状況をリアルタイムで確認でき、パフォーマンス問題の解析や不正プロセスの調査に役立つ。

概要

実行ファイル名：resmon.exe
場所：%systemroot%\System32\resmon.exe
目的：Windowsのリソース使用状況 (Resource Usage) をリアルタイムで監視するツール。CPU、メモリ、ディスク、ネットワークの使用状況を詳細に確認でき、パフォーマンスの問題解析 (Performance Troubleshooting) や負荷調査 (Load Analysis)、不正なプロセスやサービスの特定に利用される。

主な機能

概要 (Overview)
CPU、メモリ、ディスク、ネットワークの使用状況をまとめて表示。全体のリソース消費を一目で把握できる。

CPU (Processor)
実行中プロセスごとのCPU使用率、スレッド¹、ハンドル数²を表示。高負荷プロセスの特定に利用。

メモリ (Memory)
プロセスごとのメモリ使用量、コミット済み領域³、ハードフォールト数⁴などを表示。メモリリークや不足の調査に役立つ。

ディスク (Disk)
プロセスやファイルごとのディスクI/Oを表示。アクセスが集中しているファイルやボトルネックを特定できる。

ネットワーク (Network)
プロセスごとの送受信データ量、接続先IPアドレスやポート番号を表示。不審な通信の調査に役立つ。

1. プロセスの中で実際に処理を実行する最小単位。 ↩︎
2. Windowsが内部的に使う「番号札」のようなもの。 ↩︎
3. アプリが確保しているメモリ量。 ↩︎
4. 足りないメモリをディスクから引っ張ってきた回数。 ↩︎

レジストリエディター

レジストリエディターは、Windowsに標準搭載されているレジストリ管理ユーティリティ。
Windowsの構成情報（ユーザー設定、アプリケーション、ハードウェア情報など）が保存されているレジストリデータベースを表示・編集できる。
高度な設定変更やトラブルシューティングに役立つが、誤操作はシステム障害につながるため注意が必要。

概要

実行ファイル名：regedit.exe
場所：%systemroot%\system32\regedit.exe
目的：Windows の構成情報を保存している「レジストリ」を表示・編集するための標準ツール。

レジストリとは

Windowsレジストリは、OSやアプリケーション、ハードウェアの設定情報を集中管理するデータベース。

各ユーザーのプロフィール（デスクトップ設定やアプリの個別設定）
レジストリキー：HKEY_CURRENT_USER
コンピューターにインストールされているアプリケーションと関連情報
レジストリキー：HKEY_LOCAL_MACHINE\SOFTWARE
フォルダやアプリケーションアイコンのプロパティ設定（拡張子の関連付けなど）
レジストリキー：HKEY_CLASSES_ROOT
システムに存在するハードウェア（ドライバ・デバイス構成）
レジストリキー：HKEY_LOCAL_MACHINE\SYSTEM
現在のハードウェア構成（起動時のディスプレイやデバイス設定）
レジストリキー：HKEY_CURRENT_CONFIG
PC上の全ユーザーのプロフィール情報
レジストリキー：HKEY_USERS

簡単に言うと、Windowsの設計図や設定ファイルの集まり。

具体例
Windowsのレジストリエディターでユーザーごとのデスクトップ設定を表している部分。

ハイブ (Hive)：HKEY_CURRENT_USER
　→ 現在ログインしているユーザーの設定を格納する領域。
キー (Key)：Control Panel\Desktop
　→ デスクトップの表示や挙動に関する設定が入っている。
値 (Value)：Wallpaper
　→ 壁紙として使用している画像ファイルのパス（場所）が保存されている。

注意点とセキュリティ

レジストリはシステムの中枢なので、誤って編集するとWindowsが起動不能になるリスクがある。
管理者権限（UAC承認）が必要で、通常ユーザーは編集できない。
マルウェアは持続化のためにレジストリを悪用することが多いため、セキュリティの観点からも監査対象になる。

はじめに

Windows Fundamentals 1 の備忘録。
本記事は学習記録です。演習環境のターゲット名・IP・フラグは公開していません。

TryHackMe

Windows Fundamentals 1 In part 1 of the Windows Fundamentals module, we’ll start our journey learning about the Windows desktop, the NTFS file system, UAC, the Control Panel, and more…

Windows Fundamentals 1

ファイルシステム

FAT（File Allocation Table）

登場時期：1977年（MS-DOS時代から利用）
種類：FAT12 → FAT16 → FAT32 と進化
特徴：
シンプルで古いシステムでも互換性が高い。
小型ストレージ（USBメモリ、SDカード）で今も利用される。
制限：
FAT32の場合、1ファイルあたり 最大4GB まで。
パーティションサイズは最大2TB程度まで。
セキュリティ機能なし（アクセス制御や暗号化は不可）。

HPFS（High Performance File System）

登場時期：1989年ごろ、OS/2用にIBMとMicrosoftが共同開発。
特徴：
FATの限界を克服するために開発された。
長いファイル名（255文字）をサポート。
ファイル断片化が少なく、パフォーマンスが良い。
制限：
Windows NT ではサポートされていたが、Windows 2000以降では非推奨。
現在のWindowsでは実質使われていない。

NTFS（New Technology File System）

登場時期: Windows NT（1993年）以降で標準採用。
特徴:
大容量ディスク対応（数TB〜数百TBまでOK）。
セキュリティ機能:
アクセス制御リスト（ACL）によるユーザーごとのアクセス権管理。
暗号化（EFS：Encrypting File System）。
圧縮機能。
ジャーナリング（ログ）機能があり、クラッシュしてもデータ復旧しやすい。
Windowsのシステムドライブ（C:）は通常 NTFS。

NTFSのアクセス権

Full control（フルコントロール）：
すべての操作（削除・権限変更含む）
Modify（変更）：
読み取り + 書き込み + 実行 + 削除
Read & Execute（読み取りと実行）：
読み取り + 実行
List folder contents（フォルダの内容を一覧表示する）：
フォルダー単位の権限で、ファイル名一覧の参照やサブフォルダの辿りを許可する。ただしファイルの内容を読むには Read権限が必要。
Read（読み取り）：
ファイル閲覧
Write（書き込み）：
ファイルの作成・変更
Special permissions（特殊なアクセス許可）：
細かくカスタマイズされたアクセス権

代替データストリーム（ADS）

代替データストリーム（ADS）は、NTFSファイルシステムの機能で、ファイルに追加の隠しデータを保存できる仕組み。セキュリティ上は、攻撃者に悪用される可能性があるため注意が必要。
通常のファイルは「メインデータストリーム（:$DATA）」を持つが、ADSを使うと、同じファイル名の下に隠れた追加データを保存できる。

例えば、example.txt というテキストファイルがあるとした場合。

# example.txtを作成
echo Hello > example.txt

# 代替データストリームを追加
cmd /c "echo Secret > example.txt:hidden"

# ファイル本体の内容を確認
Get-Content .\example.txt
# => Hello

# 特定ストリームの内容を確認
Get-Content .\example.txt -Stream hidden
# => Secret

# ファイルに含まれる全ストリームを列挙
Get-Item .\example.txt -Stream *

PSPath        : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads\example.txt::$DATA
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads
PSChildName   : example.txt::$DATA
PSDrive       : C
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : C:\Users\Administrator\Downloads\example.txt
Stream        : :$DATA
Length        : 16

PSPath        : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads\example.txt:hidden
PSParentPath  : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator\Downloads
PSChildName   : example.txt:hidden
PSDrive       : C
PSProvider    : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName      : C:\Users\Administrator\Downloads\example.txt
Stream        : hidden
Length        : 9

example.txt → 通常の内容は「Hello」
example.txt:hidden → 隠しストリームに「Secret」が保存される
表面上のファイルサイズは「Hello」の分しか表示されず、「Secret」が隠れていることは分からない。

Windows\System32 フォルダ

Windowsオペレーティングシステムが含まれるフォルダー。

何が入っているか（要約）

実行ファイル (.exe)：cmd.exe、taskmgr.exe、regedit.exe など、Windows の基本ユーティリティ。
ライブラリ (.dll)：システムAPIやサービスが依存する共有ライブラリ群。
ドライバやサポートファイル：デバイス制御やカーネル操作に必要なファイル。
コマンドラインツール：ipconfig.exe、sfc.exe、sc.exe などトラブルシュート用ツール。
リソース・ロケール・設定ファイル：言語ファイルやリソースが入る場合あり。

なぜ重要なのか

Windowsのコア機能（起動、ログオン、デバイス管理、ネットワーク、セキュリティなど）のほとんどがこれらのファイルに依存している。
ここを壊すとシステムが起動しなくなったり、機能が失われたりする。

64-bit Windowsでよく混乱すること

System32 = 64-bitバイナリ（64ビットWindows上）
SysWOW64 = 32-bitバイナリ（WOW64互換サブシステム用）
→名前だけ見ると逆に見えるので要注意。32-bitプロセスからアクセスすると自動でリダイレクトされる（ファイルシステムリダイレクション）。

権限と保護

多くのファイルはTrustedInstaller（SYSTEM や TrustedInstaller 所有）に所有されており、削除や上書きには管理者権限＋追加操作が必要。
UAC（管理者承認） が働くので、通常ユーザーは書き込み不可。
重要：安易にファイルを削除・置換するとシステムが不安定になり、最悪起動不能になる。

セキュリティ観点

マルウェアはしばしば System32 にファイルを植え付けようとする（隠蔽や永続化のため）。
正規ツールと同名の偽ファイルを置く「DLLハイジャック」などの攻撃もある。
定期的に sfc /scannow や DISM で整合性チェックを行うのが推奨。
※sfcやDISMを実行する際は、よく調べて自己責任で実行をすること。一部環境では非推奨なこともあり。

ユーザーアカウント、プロファイル、権限

lusrmgr.msc

「ローカルユーザーとグループ (Local Users and Groups) 管理ツール」 を開くための管理コンソール。
Windows Home エディションでは利用できず、Pro/Enterprise/Education のみ。
ファイルの場所: C:\Windows\System32\lusrmgr.msc

できること

・ユーザー管理
ローカルユーザーアカウントの作成・削除
パスワードの設定・リセット
アカウントの有効化/無効化
アカウントのプロパティ（ログオンスクリプト、ホームフォルダなど）の編集

・グループ管理
ローカルグループの作成・削除
グループにユーザーを追加/削除
標準のグループ（Administrators, Users, Guests など）のメンバー管理

ユーザーアカウント制御（UAC）

UAC（User Account Control）とはアプリケーションやプロセスが「管理者権限での操作」を実行しようとしたときに確認を求め、不正なプログラムによるシステム変更を防ぐ仕組み。

仕組み

・通常ログイン時
管理者ユーザーでも、普段は「標準ユーザー権限」でアプリを動かす。
（＝常にフル権限で動かさないことで被害を最小化）

・アプリが管理者権限を要求したとき
画面が暗転し、「このアプリがデバイスに変更を加えることを許可しますか？」と確認。
→ ユーザーが「はい」を選択すれば昇格して実行。

・標準ユーザーのアカウントの場合
UAC ダイアログが出たとき、管理者のユーザー名とパスワードを入力しないと許可されない。

具体的な例

インストーラーを実行するとき
レジストリを変更するとき
System32などシステムフォルダにファイルをコピーするとき

設定

コントロールパネル → ユーザーアカウント → ユーザーアカウント制御設定の変更
スライダーでレベル調整できる（常に通知する～通知しない）。
既定値は「アプリがコンピューターに変更を加えようとする場合のみ通知」。

タスクマネージャー

Windowsに標準搭載されているシステム管理ツール。
主にプロセス（アプリやサービスの実行状況）やリソース使用状況 を監視・管理するために使われる。
セキュリティや運用管理の観点では、不審なプロセスの確認・停止、パフォーマンス監視、ユーザーセッション管理に役立つ。

主な機能（タブごと）

プロセス (Processes)
実行中のアプリ、バックグラウンドプロセス、Windows サービスが一覧表示。
CPU、メモリ、ディスク、ネットワークの使用率を確認できる。
不審なプログラムが動作していないかの確認に使う。

パフォーマンス (Performance)
CPU、メモリ、ディスク、ネットワーク、GPU などのリソース利用状況をグラフ表示。
リアルタイムで負荷状況を把握できる。
障害対応やキャパシティ管理に役立つ。

アプリの履歴 (App history)
Windows ストアアプリのリソース使用履歴を表示。
ChatGPT曰く、モバイルや省電力管理に近い用途らしい。

スタートアップ (Startup)
Windows 起動時に自動実行されるプログラムを一覧表示。
有効/無効の切り替えが可能 → 不要な自動起動を止めてセキュリティ強化や高速化。

ユーザー (Users)
現在ログインしているユーザーと、そのセッションのリソース消費を表示。
不正アクセスや、誰が負荷をかけているかの調査に使える。

詳細 (Details)
実行中プロセスをより詳細に表示（PID, 状態, ユーザー名, 優先度など）。
高度なトラブルシューティングに利用。

サービス (Services)
Windows サービスを一覧表示（実行中か停止中か）。
サービスの開始・停止・再起動が可能。

その他

なぜかSplit Viewでターゲットマシンを使っていると、定期的に「Connecting to remote machine…」となり接続できなくなったため、kali linuxからRDP接続に切り替え。
kali linuxからRDP接続では安定していた。

RDPがインストールされていなかったため、インストールから接続までのコマンドを記載。

# FreeRDPがインストールされているか確認
which xfreerdp3

# インストール
sudo apt update
sudo apt install freerdp3-x11 -y

# RDP接続（※パスワード指定は履歴に残るので注意）
xfreerdp3 /v:IPアドレス /u:'ユーザー名' /p:'パスワード'