内置Windows远程桌面连接(RDP)客户端(mstsc.exe)保存远程计算机的名称(或IP地址)和每次成功连接到远程计算机后用于登录的用户名。在下次启动时，RDP客户端为用户提供了选择以前使用的连接之一的能力。用户可以从列表中选择RDS/RDP主机名，客户端会自动填写之前登录的用户名。

从最终用户的角度来看，这很方便，但从安全的角度来看，这是不安全的。如果您从公共或不受信任的计算机连接到RDP服务器，则尤其如此。

关于所有RDP(终端)会话的信息分别存储在每个用户的注册表配置单元中，这意味着非管理员将无法查看其他用户的RDP连接历史记录。

在本文中，我们将展示Windows在何处存储远程桌面连接的历史记录和保存的凭据，如何从mstsc Windows中删除条目，以及清除RDP日志。

如何在Windows中清除RDP连接历史记录？

关于所有RDP连接的信息存储在每个用户的注册表中。无法使用内置的Windows工具从RDP连接历史记录列表中删除一台或多台计算机。您必须手动清除一些注册表项。

运行注册表编辑器(regedit.exe)并浏览到注册表项HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client;在本节中需要两个注册表项：默认(存储最近10个RDP连接的历史记录)和服务器(包含所有RDP服务器和用于登录的用户名的列表);3.展开注册表项HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Default，其中包含最近使用的远程计算机(MRU -最近使用)的10个IP地址或DNS名称。远程桌面服务器的名称(或IP地址)保存在“MRU *”的值中。参数。清除最近RDP连接的历史记录，选中所有名为“MRU0-MRU9”的参数，单击右键，选择“删除”;

0

5. 如果要清除所有RDP连接和保存的用户名的历史记录，必须清除服务器注册表项的内容。因为不可能一次选择所有嵌套的注册表项，所以更容易删除整个Servers条目并手动重新创建它。

6. 接下来，需要删除“Default rdp连接文件”(包含最新rdp会话信息)- Default。rdp(该文件是位于Documents目录中的隐藏文件)。

7.Windows还将最近的远程桌面连接保存在跳转列表中。如果在Windows 10搜索框中输入mstsc，以前使用的RDP连接将出现在列表中。你可以使用注册表dword参数在reg键Start_TrackDocsHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced(设置为0)来完全禁用Windows 10的最新文件和跳转列表中的位置(或设置为0)，你也可以清除重发邮件列表%AppData%\Microsoft\Windows\Recent\AutomaticDestinations从目录中删除文件。

注意。清除远程桌面连接历史记录的方法适用于所有Windows桌面版本(从Windows XP到Windows 10)以及Windows Server。

字体上面我们展示了如何在Windows中手动清除RDP连接的历史记录。但是，手动执行此操作，特别是在多台机器上执行，可能会很耗时。因此，我们提供了一个小脚本(BAT文件)来自动清除RDP历史记录。

要自动清除RDP历史记录，可以将此脚本放在Windows启动中，或者通过GPO注销脚本在用户的计算机上运行它。

@echo offreg delete 'HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default' /va /freg delete 'HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers' /freg add 'HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers'attrib -s -h %userprofile%\documents\Default.rdpdel %userprofile%\documents\Default.rdpdel /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations

让我们考虑脚本的所有操作：

禁止向控制台输出；删除注册表项HKCU \ Software \ Microsoft \ Terminal Server Client \ Default中的所有参数(清除最近的RDP连接列表);删除整个注册表项HKCU \ Software \ Microsoft \ Terminal Server Client \ Servers(清除所有RDP连接列表和保存的用户名);重新创建以前删除的注册表项。更改默认的属性。rdp文件在当前用户的配置文件目录下(默认为“Hidden”和“System”);删除默认。rdp文件。从跳转列表中的最新项中清除“远程桌面连接”项。此外，您还可以使用以下PowerShell脚本清除RDP连接的历史记录：

Get-ChildItem 'HKCU:\Software\Microsoft\Terminal Server Client' -Recurse | Remove-ItemProperty -Name UsernameHint -Ea 0Remove-Item -Path 'HKCU:\Software\Microsoft\Terminal Server Client\servers' -Recurse 21 | Out-NullRemove-ItemProperty -Path 'HKCU:\Software\Microsoft\Terminal Server Client\Default' 'MR*' 21 | Out-Null$docs=[environment]:getfolderpath('mydocuments') + '\Default.rdp'remove-item $docs -Force 21 | Out-Null

注意。顺便说一下，rdp历史记录清理功能内置在许多系统和注册表“清理器”中，如CCleaner和其他。

如何从注册表中删除RDP连接缓存？

如果您不希望Windows保存RDP连接历史记录，您必须拒绝为HKCU\Software\Microsoft\Terminal Server Client的所有用户帐户写入注册表项。首先，禁用指定注册表项上的权限继承(权限-高级-禁用继承)。然后通过检查用户的Reject选项更改注册表项ACL(但是您应该知道这是一个不受支持的配置)。

因此，mstsc.exe根本不能将RDP连接信息写入注册表。

清除RDP连接历史记录的脚本

远程桌面连接客户端具有图像持久化位图缓存功能。RDP客户端将很少变化的远程屏幕片段保存为光栅图像缓存。因此，mstsc.exe客户端将从本地驱动器缓存中加载自上次呈现以来未发生变化的屏幕部分。这种RDP缓存功能减少了通过网络传输的数据量。

RDP缓存是%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache目录下的两个文件：

*。bmcbin这些文件将原始RDP屏幕位图存储为一个64 x 64像素的块。使用一个简单的PowerShell或Python脚本(很容易通过RDP Cached Bitmap Extractor查询进行搜索)，您可以通过远程桌面屏幕获取PNG文件，并使用它们获取敏感信息。磁贴的大小很小，但足以为研究RDP缓存的人提供有用的信息。

禁用“高级”页签中的“持久位图缓存”选项，可以防止RDP客户端存储远程桌面屏幕图像缓存。

有时，当使用RDP缓存时，它可能被损坏：

位图磁盘缓存失败。磁盘已满，或者缓存目录丢失或损坏。一些位图可能不会出现。此时需要清除RDP缓存目录或禁用“位图缓存”选项。

如何防止Windows保存RDP连接历史记录？

如果用户在建立新的远程RDP连接时，在输入密码前选择了“记住我”选项，则用户名和密码将保存在Windows凭据管理器中。下次连接到同一台机器时，RDP客户端会自动使用之前保存的密码在远程主机上进行身份验证。

您可以直接在客户端“mstsc.exe”窗口中删除已保存的RDP密码。从连接列表中选择相同的连接，然后单击Delete按钮。然后确认删除保存的凭据。

或者，您也可以直接从Windows凭证管理器中删除RDP保存的密码。转到“控制面板\用户帐户\凭证管理器”部分。选择“管理Windows凭据”，然后在保存的密码列表中找到计算机名(格式如下TERMSRV/192.168.1.100)。展开您找到的项目，然后单击Delete按钮。

在Active Directory域环境中，您可以通过使用特殊的GPO(网络访问)禁用RDP连接的保存密码：不允许存储用于网络身份验证的密码和凭据(参见文章)。

如何清除远程桌面位图缓存？

RDP/RDS主机上也保存连接日志。您可以在事件查看器日志中找到有关RDP连接历史的信息：

安全；应用程序和服务日志- Microsoft- Windows- TerminalServices-RemoteConnectionManager- Action;TerminalServices-LocalSessionManager——管理员。阅读本文中有关RDP连接日志分析的更多信息。

您可以使用wevtutil或PowerShell工具清除RDP服务器的事件日志。