Máy khách Windows Remote Desktop Connection (RDP) tích hợp sẵn ( mstsc.exe
) lưu tên máy tính từ xa (hoặc địa chỉ IP) và tên người dùng được sử dụng để đăng nhập sau mỗi lần kết nối thành công với máy tính từ xa. Trong lần bắt đầu tiếp theo, máy khách RDP đề nghị người dùng chọn một trong các kết nối đã được sử dụng trước đó. Người dùng có thể chọn tên của máy chủ RDS / RDP từ danh sách và máy khách tự động điền tên người dùng đã sử dụng trước đó để đăng nhập.
Điều này thuận tiện từ quan điểm người dùng cuối, nhưng không an toàn từ quan điểm bảo mật. Đặc biệt là khi bạn kết nối với máy chủ RDP của mình từ một máy tính công cộng hoặc không đáng tin cậy.
Thông tin về tất cả các phiên RDP (thiết bị đầu cuối) được lưu trữ riêng lẻ trong tổ hợp đăng ký của từng người dùng, tức là người không phải quản trị viên sẽ không thể xem lịch sử kết nối RDP của người dùng khác.
Trong bài viết này, chúng tôi sẽ chỉ ra nơi Windows lưu trữ lịch sử và thông tin đăng nhập đã lưu của các kết nối Máy tính Từ xa, cách xóa các mục nhập khỏi cửa sổ mstsc và xóa nhật ký RDP.
Nội dung:
- Làm cách nào để xóa bộ đệm kết nối RDP khỏi sổ đăng ký?
- Tập lệnh để xóa lịch sử kết nối RDP
- Cách ngăn Windows lưu lịch sử kết nối RDP?
- Làm thế nào để Xóa Bộ nhớ đệm Bitmap của Máy tính Từ xa?
- Xóa thông tin đăng nhập RDP đã lưu
- Xoá Nhật ký Sự kiện Liên quan đến RDP trên Máy chủ Từ xa
Làm cách nào để Xóa Bộ đệm ẩn Kết nối RDP khỏi Sổ đăng ký?
Thông tin về tất cả các kết nối RDP được lưu trữ trong sổ đăng ký của mỗi người dùng. Không thể xóa máy tính (hoặc các máy tính) khỏi danh sách lịch sử kết nối RDP bằng các công cụ Windows tích hợp sẵn. Bạn sẽ phải xóa thủ công một số khóa đăng ký.
- Chạy Registry Editor (
regedit.exe
) và duyệt đến khóa đăng ký HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client ; - Bạn cần hai khóa đăng ký trong phần này: Mặc định (lưu trữ lịch sử của 10 kết nối RDP gần đây nhất) và Máy chủ (chứa danh sách tất cả các máy chủ RDP và tên người dùng được sử dụng trước đây để đăng nhập);
- Mở rộng khoá đăng ký HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Default trong đó chứa danh sách 10 địa chỉ IP hoặc tên DNS của các máy tính từ xa đã được sử dụng gần đây (MRU - Được sử dụng gần đây nhất). Tên (hoặc địa chỉ IP) của máy chủ để bàn từ xa được lưu trữ trong giá trị của MRU * . tham số. Để xóa lịch sử của các kết nối RDP gần đây nhất, hãy chọn tất cả các tham số có tên là MRU0-MRU9 , nhấp chuột phải và chọn Xóa ;
- Bây giờ, hãy mở rộng khóa HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Servers . Nó chứa danh sách tất cả các kết nối RDP đã từng được thiết lập bởi người dùng này. Mở rộng khóa reg với tên (hoặc địa chỉ ip) của bất kỳ máy chủ lưu trữ nào. Chú ý đến giá trị của UsernameHint tham số. Nó hiển thị tên người dùng được sử dụng để kết nối với máy chủ RDP / RDS. Tên người dùng này sẽ được sử dụng để kết nối tự động với máy chủ RDP. Ngoài ra, CertHash biến chứa hình ảnh nhỏ chứng chỉ SSL của máy chủ RDP (xem bài viết “Định cấu hình chứng chỉ TLS / SSL đáng tin cậy cho RDP”);
- Để xóa lịch sử của tất cả các kết nối RDP và tên người dùng đã lưu, bạn phải xóa nội dung của khóa đăng ký Máy chủ. Vì không thể chọn tất cả các khóa đăng ký lồng nhau cùng một lúc, nên việc xóa toàn bộ Máy chủ sẽ dễ dàng hơn khóa và sau đó tạo lại nó theo cách thủ công;
- Tiếp theo, bạn cần xóa tệp kết nối RDP mặc định (chứa thông tin về phiên rdp mới nhất) - Default.rdp (tệp này là tệp ẩn nằm trong Tài liệu thư mục).
- Windows cũng lưu các kết nối Máy tính Từ xa gần đây trong Jump Lists. Nếu bạn nhập
mstsc
trong hộp tìm kiếm của Windows 10, các kết nối RDP đã sử dụng trước đó sẽ xuất hiện trong danh sách. Bạn có thể vô hiệu hóa hoàn toàn tệp và vị trí gần đây của Windows 10 trong danh sách Jump bằng tham số từ khóa đăng ký Start_TrackDocs trong khóa regHKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced
(đặt nó thành 0 ), hoặc bạn có thể xóa danh sách Mục phản ứng bằng cách xóa tệp trong thư mục% AppData% \ Microsoft \ Windows \ Recent \ AutomaticDestination
.
Tập lệnh Xóa lịch sử kết nối RDP
Trên đây chúng tôi đã hướng dẫn cách xóa lịch sử kết nối RDP trong Windows theo cách thủ công. Tuy nhiên, làm điều đó theo cách thủ công (đặc biệt là trên nhiều máy tính) rất tốn thời gian. Do đó, chúng tôi cung cấp một tập lệnh nhỏ (tệp BAT) cho phép tự động xóa lịch sử RDP.
Để tự động hóa quá trình dọn dẹp lịch sử RDP, bạn có thể đặt tập lệnh này vào Windows Startup hoặc chạy trên máy tính người dùng thông qua tập lệnh đăng xuất GPO.
@echo off
reg xóa "HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Default" / va / f
reg xóa "HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Servers" / f
reg thêm "HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Servers"
do -s -h% userprofile% \ Documents \ Default.rdp
del% userprofile% \ Documents \ Default. rdp
del / f / s / q / a% AppData% \ Microsoft \ Windows \ Recent \ AutomaticDestination
Hãy xem xét tất cả các hành động của script:
- Tắt xuất thông tin ra bảng điều khiển;
- Xóa tất cả các tham số trong khóa đăng ký HKCU \ Software \ Microsoft \ Terminal Server Client \ Default (xóa danh sách các kết nối RDP gần đây);
- Xóa toàn bộ khóa đăng ký HKCU \ Software \ Microsoft \ Terminal Server Client \ Servers (xóa danh sách tất cả kết nối RDP và tên người dùng đã lưu);
- Tạo lại khoá đăng ký đã xoá trước đó;
- Thay đổi các thuộc tính tệp Default.rdp trong thư mục hồ sơ của người dùng hiện tại (theo mặc định, nó là Hệ thống và Ẩn);
- Xóa tệp Default.rdp;
- Xóa các mục Kết nối Máy tính Từ xa khỏi danh sách nhảy các mục gần đây.
Ngoài ra, bạn có thể xóa lịch sử kết nối RDP bằng tập lệnh PowerShell sau:
Get-ChildItem "HKCU:\ Software \ Microsoft \ Terminal Server Client" -Recurse | Xóa-ItemProperty -Tên Tên người dùng Gợi ý -Ea 0
Xóa-Mục -Path 'HKCU:\ Software \ Microsoft \ Terminal Server Client \ các máy chủ' -Recurse 2> &1 | Out-Null
Remove-ItemProperty -Path 'HKCU:\ Software \ Microsoft \ Terminal Server Client \ Default' 'MR *' 2> &1 | Out-Null
$ docs =[environment] ::getfolderpath ("mydocuments") + '\ Default.rdp'
remove-item $ docs -Force 2> &1 | Không có giá trị
Lưu ý . Nhân tiện, tính năng dọn dẹp lịch sử RDP được tích hợp vào nhiều “trình dọn dẹp” hệ thống và sổ đăng ký, chẳng hạn như CCleaner, v.v.
Cách ngăn Windows lưu lịch sử kết nối RDP?
Nếu bạn KHÔNG muốn Windows lưu lịch sử kết nối RDP, bạn phải từ chối ghi vào khóa đăng ký HKCU \ Software \ Microsoft \ Terminal Server Client
cho tất cả các tài khoản người dùng. Đầu tiên, vô hiệu hóa kế thừa quyền trên khóa đăng ký được chỉ định (Quyền -> Nâng cao -> Tắt kế thừa). Sau đó, thay đổi khóa đăng ký ACL bằng cách đánh dấu vào mục Từ chối tùy chọn cho người dùng (nhưng bạn nên hiểu rằng đây là cấu hình không được hỗ trợ).
Do đó, mstsc.exe không thể ghi thông tin kết nối RDP vào sổ đăng ký.
Làm cách nào để Xóa Bộ nhớ đệm Bitmap trên Máy tính Từ xa?
Máy khách Remote Desktop Connection có tính năng lưu vào bộ nhớ đệm bitmap liên tục hình ảnh. Máy khách RDP lưu hiếm khi thay đổi các phân đoạn của màn hình từ xa làm bộ nhớ đệm hình ảnh raster. Nhờ đó, máy khách mstsc.exe tải các phần của màn hình không thay đổi kể từ lần hiển thị cuối cùng từ bộ đệm ẩn ổ đĩa cục bộ. Tính năng bộ nhớ đệm RDP này làm giảm lượng dữ liệu truyền qua mạng.
Bộ đệm RDP là hai loại tệp trong một thư mục % LOCALAPPDATA% \ Microsoft \ Terminal Server Client \ Cache
:
- * .bmc
- bin
Các tệp này lưu trữ ảnh bitmap màn hình RDP thô ở dạng ô 64 × 64 pixel. Sử dụng các tập lệnh PowerShell hoặc Python đơn giản (dễ dàng tìm kiếm bằng RDP Cached Bitmap Extractor
truy vấn), bạn có thể lấy các tệp PNG với các mảnh của màn hình máy tính từ xa và sử dụng chúng để lấy thông tin nhạy cảm. Kích thước của các ô nhỏ, nhưng đủ để cung cấp thông tin hữu ích cho người đang nghiên cứu bộ đệm RDP.
Bạn có thể ngăn ứng dụng khách RDP lưu trữ bộ đệm hình ảnh trên màn hình máy tính từ xa bằng cách tắt Bộ nhớ đệm bitmap liên tục trên tùy chọn Nâng cao tab.
Đôi khi khi sử dụng bộ đệm RDP, nó có thể bị hỏng:
Bitmap Disk Cache Failure. Your disk is full or the cache directory is missing or corrupted. Some bitmaps may not appear.
Trong trường hợp này, bạn cần xóa thư mục bộ đệm RDP hoặc tắt tùy chọn Bitmap Caching.
Xóa thông tin đăng nhập RDP đã lưu
Nếu khi thiết lập kết nối RDP từ xa mới, trước khi nhập mật khẩu, người dùng kiểm tra một tùy chọn Ghi nhớ , thì tên người dùng và mật khẩu sẽ được lưu trong Windows Credential Manager. Vào lần tiếp theo bạn kết nối với cùng một máy tính, máy khách RDP sẽ tự động sử dụng mật khẩu đã lưu trước đó để xác thực trên máy chủ từ xa.
Bạn có thể xóa mật khẩu RDP đã lưu trực tiếp từ cửa sổ mstsc.exe của ứng dụng khách. Chọn cùng một kết nối từ danh sách các kết nối và nhấp vào nút Xóa khuy ao. Sau đó, xác nhận xóa thông tin đăng nhập đã lưu.
Thông tin chi tiết về cách thức hoạt động của mật khẩu đã lưu RDP trong bài viết tại liên kết.
Ngoài ra, bạn có thể xóa mật khẩu đã lưu RDP trực tiếp từ Trình quản lý thông tin đăng nhập Windows. Chuyển đến phần Control Panel \ User Accounts \ Credential Manager. Chọn Quản lý thông tin đăng nhập Windows và trong danh sách mật khẩu đã lưu, hãy tìm tên máy tính (ở định dạng sau TERMSRV / 192.168.1.100
). Mở rộng mục tìm thấy và nhấp vào nút Xóa nút.
Trong môi trường miền Active Directory, bạn có thể tắt lưu mật khẩu cho các kết nối RDP bằng cách sử dụng GPO đặc biệt - Truy cập mạng:Không cho phép lưu trữ mật khẩu và thông tin đăng nhập để xác thực mạng (xem một bài báo).
Xóa Nhật ký Sự kiện Liên quan đến RDP trên Máy chủ Từ xa
Nhật ký kết nối cũng được lưu ở phía máy chủ RDP / RDS. Bạn có thể tìm thông tin về lịch sử kết nối RDP trong nhật ký của Trình xem sự kiện:
- Bảo mật;
- Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager -> Operational;
- TerminalServices-LocalSessionManager -> Quản trị viên.
Đọc thêm về phân tích nhật ký kết nối RDP trong bài viết.
Bạn có thể xóa Nhật ký sự kiện trên máy chủ RDP bằng wevtutil hoặc PowerShell.