Как очистить историю RDP подключений в Windows: шаг за шагом руководство

Пользоваться удаленным рабочим столом (RDP) в Windows может быть довольно удобно, особенно когда нужно соединяться с компьютерами на расстоянии. Однако, ваша информация, включая пользовательские данные, адреса и пароли, также хранится в журналах подключений RDP. Если вы хотите удалить эту информацию из вашей операционной системы, этот шаг за шагом руководитель поможет вам справиться с этой задачей.

Начнем с истории RDP подключений. Для начала вам потребуется открыть журнал событий с помощью «Event Viewer». Рассмотрим процесс открытия журналов. Нажмите «Start» и в поисковой строке введите «Event Viewer». После этого вам нужно выбрать заголовок «Event Viewer», чтобы открыть программу.

По умолчанию, Event Viewer открывается с рядом заранее настроенных журналов, но для нашей задачи нам нужно выбрать «Remote Desktop Services»>»Admin». Здесь вы найдете различные события, связанные с входом в систему через RDP.

Теперь давайте перейдем к самому анализу истории RDP подключений. Откройте журнал «Security» и найдите идентификатор события «4624», обозначающий успешный вход в систему. Если вы не видите этого события, измените фильтр, чтобы отобразить все типы событий.

В этом журнале вы найдете информацию о сеансе входа и подключении RDP, включая IP-адрес клиента, тип сеанса, назначение и дату и время события. Примечание: данная информация может быть полезна для скрипта аудита безопасности, но из точки зрения пользователя она может быть ненужной и потенциально опасной.

Чтобы удалить историю RDP подключений, вам необходимо выполнить несколько дополнительных шагов. Но прежде чем продолжить, рекомендуется создать точку восстановления или резервную копию реестра на случай, если что-то пойдет не так.

Удаление журнала RDP подключений из реестра системы

Если вы новичок в использовании удаленного рабочего стола (RDP) в Windows, то можете быть заинтересованы в очистке истории RDP подключений. Это может быть полезно из различных точек зрения, например, для удаления сохраненных паролей, аутентификации через RDP и анализа логов системы.

В этом руководстве мы рассмотрим очистку истории RDP подключений в Windows с помощью удаления журнала RDP из реестра системы.

Шаг 1: Нажмите клавишу Win + R, чтобы открыть окно «Выполнить».

Шаг 2: Введите команду regedit, чтобы открыть Редактор реестра.

Шаг 3: Разверните следующую ветку:

• HKEY_CURRENT_USER
• Software
• Microsoft
• Terminal Server Client

Шаг 4: Удалите ключ Default из раздела «Terminal Server Client». Этот ключ хранит информацию о подключениях RDP.

После удаления этого ключа история RDP подключений будет очищена.

Примечание: Если вам нужна более глубокая очистка истории RDP подключений, вы можете использовать скрипт удаления журналов подключений RDP. Этот небольшой скрипт позволяет удалить логи подключений RDP из системы.

Рассмотрим более подробно, как удалить журналы RDP подключений с помощью скрипта:

1. Откройте Блокнот или любой другой текстовый редактор.
2. Скопируйте и вставьте следующий код в редактор:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default]

3. Сохраните файл с расширением «.reg», например, «clear_rdphistory.reg».
4. Запустите файл «.reg», который вы только что сохранили, для удаления журналов RDP подключений.

После запуска скрипта журналы подключений RDP будут удалены из системы.

Теперь у вас есть два способа удалить историю RDP подключений в Windows. Вы можете выбрать наиболее удобный для вас способ и очистить историю RDP подключений с помощью редактора реестра или скрипта.

Очистка истории логов RDP подключений с помощью скрипта

История RDP подключений сохраняется в системе Windows, чтобы облегчить доступ к ранее использованным серверам или компьютерам. Однако, с течением времени эта информация может накапливаться и стать угрозой для безопасности. В этом случае очистка истории логов RDP подключений может быть полезна для защиты приватности и устранения потенциальных уязвимостей.

Для очистки истории логов RDP подключений в Windows можно использовать скрипт на языке PowerShell. Этот скрипт позволяет удалить сохраненные данные о предыдущих подключениях, включая адреса удаленных серверов и информацию аутентификации.

Вот пример скрипта для очистки истории логов RDP подключений:

Set-Location -Path "HKCU:\Software\Microsoft\Terminal Server Client\Default"
Remove-ItemProperty -Name "TheMRU*" -ErrorAction SilentlyContinue
Set-Location -Path "HKCU:\Software\Microsoft\Terminal Server Client"
Remove-ItemProperty -Name "Default" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Terminal Server Client" -Name "Servers" -ErrorAction SilentlyContinue
Set-Location -Path "HKCU:\Software\Microsoft\Terminal Server Client\RemoteDesktop"
Remove-ItemProperty -Name "UsernameHint" -ErrorAction SilentlyContinue
Set-Location -Path "HKCU:\Software\Microsoft\Terminal Server Client\LocalDevices"
Remove-ItemProperty -Name "*" -ErrorAction SilentlyContinue
Set-Location -Path "HKCU:\Software\Microsoft\Terminal Server Client"
Remove-ItemProperty -Name "RDG" -ErrorAction SilentlyContinue

Разберем этот скрипт по шагам:

• Set-Location -Path «HKCU:\Software\Microsoft\Terminal Server Client\Default»: устанавливает текущую позицию в реестре на пути, где хранится информация о сохраненных удаленных подключениях.
• Remove-ItemProperty -Name «TheMRU*» -ErrorAction SilentlyContinue: удаляет свойства, начинающиеся с «TheMRU» и содержащие информацию о последних использованных серверах.
• Set-Location -Path «HKCU:\Software\Microsoft\Terminal Server Client»: переходит к общей позиции в реестре, чтобы удалить другие свойства, связанные с RDP подключениями.
• Remove-ItemProperty -Name «Default» -ErrorAction SilentlyContinue: удаляет свойство «Default», которое содержит информацию о последнем успешном подключении.
• Remove-ItemProperty -Path «HKCU:\Software\Microsoft\Terminal Server Client» -Name «Servers» -ErrorAction SilentlyContinue: удаляет свойство «Servers», который содержит список сохраненных удаленных серверов.
• Set-Location -Path «HKCU:\Software\Microsoft\Terminal Server Client\RemoteDesktop»: переходит к позиции, где хранятся данные о сохраненных подключениях через удаленный рабочий стол.
• Remove-ItemProperty -Name «UsernameHint» -ErrorAction SilentlyContinue: удаляет свойство «UsernameHint», которое содержит сохраненные имена пользователей для подключения.
• Set-Location -Path «HKCU:\Software\Microsoft\Terminal Server Client\LocalDevices»: переходит к позиции, где хранится информация об сохраненных локальных устройствах.
• Remove-ItemProperty -Name «*» -ErrorAction SilentlyContinue: удаляет все свойства, начинающиеся с «*», связанные с локальными устройствами в RDP подключениях.
• Set-Location -Path «HKCU:\Software\Microsoft\Terminal Server Client»: переключается на общую позицию для удаления других свойств.
• Remove-ItemProperty -Name «RDG» -ErrorAction SilentlyContinue: удаляет свойство «RDG», которое содержит информацию о журнале удаленных подключений.

Этот скрипт позволяет удалить информацию о предыдущих RDP подключениях с помощью PowerShell. Вы можете запустить этот скрипт на своем компьютере, чтобы очистить историю логов RDP подключений и обеспечить приватность вашей информации.

Удаление сохраненных RDP паролей

В предыдущих разделах мы рассмотрели, как очистить историю RDP подключений в Windows. Однако, помимо списка серверов и информации о подключениях, на вашей системе также могут сохраняться пароли пользователей для дальнейшей автоматической аутентификации. В этом разделе рассмотрим, как удалить сохраненные RDP пароли.

Удаление паролей в реестре

Для удаления сохраненных паролей вам потребуется использовать реестр. Ниже приведен список ключей в реестре, в которых хранятся эти пароли:

• HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers — здесь хранятся пароли пользователей для серверов, к которым вы подключались в прошлом;
• HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default — здесь хранится пароль пользователя по умолчанию.

Для удаления паролей, откройте реестр, найдите указанные ключи и удалите их. Обратите внимание, что удаление ключей также приведет к удалению всей связанной информации о подключениях.

Удаление паролей с помощью скрипта PowerShell

Для более удобного удаления сохраненных паролей можно использовать скрипт PowerShell. Вот небольшой пример скрипта, который можно использовать для этой цели:

Get-ChildItem "HKCU:\Software\Microsoft\Terminal Server Client\Servers" |
ForEach-Object { Remove-ItemProperty -Path $_.PSParentPath -Name $_.PSChildName -Confirm:$false }

Найденные ключи в реестре будут автоматически удалены без подтверждения.

Удаление паролей путем очистки журналов

Еще один способ удаления сохраненных паролей — это очистка журналов событий Windows. Довольно часто информация о RDP паролях сохраняется в этих журналах. Для удаления паролей из журналов можно использовать утилиту Windows Event Viewer.

1. Откройте Windows Event Viewer.
2. Перейдите к разделу «Windows Logs» и выберите журнал «Security».
3. С помощью поиска (Find) или фильтрации (Filter), найдите события, связанные с RDP логированием и аутентификацией.
4. Удалите найденные журналы событий, содержащие информацию о RDP паролях.

Обратите внимание, что удаление паролей из журналов может быть недоступно для новичка или неопытного пользователя из-за необходимости работы с командной строкой и системными настройками.

В этом разделе мы рассмотрели несколько способов удаления сохраненных RDP паролей на вашей Windows системе. Вы можете выбрать наиболее удобный способ в зависимости от ваших знаний и опыта работы с системными настройками.

Просмотр и анализ логов RDP подключений в Windows

Выборка и анализ логов

Если вы новичок в администрировании Windows, то может быть затруднительно найти историю RDP подключений. Эта информация хранится в различных журналах системы, поэтому важно знать, где искать.

На сервере, который вы хотите проверить, откройте «Event Viewer» (Журнал событий) с помощью команды eventvwr.msc. Затем перейдите в ветку «Windows Logs» (Журналы Windows), выберите «Security» (Безопасность) и найдите события подключения и отключения в разделах «Logon/Logoff» (Вход/Выход) и «Remote Desktop Services» (Удаленные службы рабочего стола).

Просмотрите каждый журнал и найдите записи о подключении/отключении RDP клиентов к серверу. Обратите внимание на время, IP-адреса и имена пользователей, которые совершали подключение.

Удаление истории RDP подключений

После того как вы проанализировали логи RDP подключений, можете приступить к удалению истории для повышения безопасности системы.

К счастью, Microsoft предоставляет удобный способ удаления записей о RDP подключениях с помощью командной строки. Для начала откройте «Command Prompt» (Командная строка) от имени администратора и выполните команду wevtutil cl Security /bu:/c:. Эта команда удалит все записи из журнала Security.

Если вы хотите удалить только некоторые записи, то нужно воспользоваться командой wevtutil cl Security /bu:. Вместо * необходимо указать идентификатор записи, которую вы хотите удалить.

Если удаление с помощью командной строки не соответствует вашим потребностям, вы можете воспользоваться сторонним программным обеспечением или развернуть скрипт PowerShell, чтобы удалить историю подключений.

Примечание

Перед удалением истории RDP подключений рекомендуется создать резервную копию журналов системы. Это поможет восстановить данные, если что-то пойдет не так.

Теперь, когда вы знаете, как выбирать, анализировать и удалить историю RDP подключений, вы можете поддерживать безопасность своих компьютеров и серверов под управлением Windows.

Видео:

Настройка удаленного рабочего стола по RDP

Настройка удаленного рабочего стола по RDP by Дневник Сисадмина 101,741 views 5 years ago 8 minutes, 54 seconds