內置的Windows遠程桌面連接(RDP)客戶端(mstsc.exe)保存每次成功連接到遠程計算機后的遠程計算機名(或IP地址)和用于登錄的用戶名。在下一次啟動時,RDP客戶端向用戶提供選擇以前使用的連接之一的功能。用戶可以從列表中選擇RDS / RDP主機的名稱,客戶端將自動填寫先前用于登錄的用戶名。
從最終用戶的角度來看,這很方便,但是從安全角度來看是不安全的。特別是當您從公共或不受信任的計算機連接到RDP服務器時。
有關所有RDP(終端)會話的信息分別存儲在每個用戶的注冊表配置單元中,即非管理員將無法查看另一個用戶的RDP連接歷史記錄。
在本文中,我們將顯示Windows在何處存儲遠程桌面連接的歷史記錄和保存的憑據,如何從mstsc窗口中刪除條目以及清除RDP日志。
有關所有RDP連接的信息存儲在每個用戶的注冊表中。使用內置的Windows工具從RDP連接歷史記錄列表中刪除一臺或多臺計算機是不可能的。您將必須手動清除一些注冊表項。
3.展開注冊表項HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Default,其中包含最近使用過的遠程計算機(MRU –最近使用)的10個IP地址或DNS名稱的列表。遠程桌面服務器的名稱(或IP地址)存儲在MRU *的值中。參數。要清除最近的RDP連接的歷史記錄,請選擇名稱為MRU0-MRU9的所有參數,右鍵單擊并選擇Delete;
4.現在,展開鍵HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Servers。它包含該用戶曾經建立的所有RDP連接的列表。用任何主機的名稱(或IP地址)展開reg鍵。請注意UsernameHint參數的值。它顯示用于連接到RDP / RDS主機的用戶名。該用戶名將用于自動連接到RDP主機。另外,CertHash變量包含RDP服務器SSL證書指紋(請參閱文章“為RDP配置受信任的TLS / SSL證書”);
5.為了清除所有RDP連接和保存的用戶名的歷史記錄,必須清除服務器注冊表項的內容。由于不可能一次選擇所有嵌套的注冊表項,因此刪除整個Servers項然后手動重新創建更為容易。
6.接下來,您需要刪除默認的RDP連接文件(其中包含有關最新rdp會話的信息)– Default.rdp(此文件是位于Documents目錄中的隱藏文件)。
7.Windows還將最近的遠程桌面連接保存在跳轉列表中。如果mstsc在Windows 10搜索框中鍵入,以前使用的RDP連接將出現在列表中。您可以使用reg鍵中的注冊表dword參數Start_TrackDocsHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced(將其設置為0)來完全禁用Windows 10最新文件和跳轉列表中的位置(或將其設置為0),也可以通過刪除目錄中的文件來清除“重新發送郵件”列表%AppData%\Microsoft\Windows\Recent\AutomaticDestinations。
注意。所述清除遠程桌面連接歷史記錄的方法適用于所有Windows桌面版本(從Windows XP到Windows 10)以及Windows Server。
上面我們顯示了如何在Windows中手動清除RDP連接的歷史記錄。但是,手動執行此操作(尤其是在多臺計算機上)非常耗時。因此,我們提供了一個小腳本(BAT文件),該腳本可自動清除RDP歷史記錄。
要自動執行RDP歷史記錄清理,您可以將此腳本放置到Windows啟動或通過GPO注銷腳本在用戶計算機上運行。
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
attrib -s -h %userprofile%\documents\Default.rdp
del %userprofile%\documents\Default.rdp
del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations
讓我們考慮一下腳本的所有動作:
此外,您可以使用以下PowerShell腳本清除RDP連接的歷史記錄:
Get-ChildItem "HKCU:\Software\Microsoft\Terminal Server Client" -Recurse | Remove-ItemProperty -Name UsernameHint -Ea 0
Remove-Item -Path 'HKCU:\Software\Microsoft\Terminal Server Client\servers' -Recurse 2>&1 | Out-Null
Remove-ItemProperty -Path 'HKCU:\Software\Microsoft\Terminal Server Client\Default' 'MR*' 2>&1 | Out-Null
$docs=[environment]::getfolderpath("mydocuments") + '\Default.rdp'
remove-item $docs -Force 2>&1 | Out-Null
注意。順便說一下,R??DP歷史記錄清理的功能已內置到許多系統和注冊表“清理器”中,例如CCleaner等。
如果您不希望Windows保存RDP連接歷史記錄,則必須拒絕寫入HKCU\Software\Microsoft\Terminal Server Client所有用戶賬戶的注冊表項。首先,在指定的注冊表項上禁用權限繼承(權限->高級->禁用繼承)。然后通過選中用戶的“拒絕”選項來更改注冊表項ACL (但您應該了解這是不受支持的配置)。
結果,mstsc.exe根本無法將RDP連接信息寫入注冊表。
遠程桌面連接客戶端具有圖像持久性位圖緩存功能。RDP客戶端將很少更改的遠程屏幕片段保存為光柵圖像緩存。因此,mstsc.exe客戶端從本地驅動器緩存加載自上次渲染以來未更改的屏幕部分。此RDP緩存功能可減少通過網絡傳輸的數據量。
RDP緩存是目錄中的兩種文件%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache:
這些文件以64×64像素圖塊的形式存儲原始RDP屏幕位圖。使用簡單的PowerShell或Python腳本(可通過RDP Cached Bitmap Extractor查詢輕松搜索),可以獲取帶有遠程桌面屏幕的PNG文件,并使用它們來獲取敏感信息。磁貼的大小很小,但是足以為研究RDP緩存的人員提供有用的信息。
您可以通過禁用“ 高級”選項卡上的“ 持久位圖緩存”選項來阻止RDP客戶端存儲遠程桌面屏幕圖像緩存。
有時在使用RDP緩存時,它可能已損壞:
位圖磁盤緩存失敗。您的磁盤已滿,或者緩存目錄丟失或損壞。某些位圖可能不會出現。在這種情況下,您需要清除RDP緩存目錄或禁用“位圖緩存”選項。
如果在建立新的遠程RDP連接時,用戶在輸入密碼之前選擇了“ 記住我”選項,則用戶名和密碼將保存在Windows憑據管理器中。下次連接到同一臺計算機時,RDP客戶端會自動使用以前保存的密碼在遠程主機上進行身份驗證。
您可以直接從客戶端的mstsc.exe窗口中刪除保存的RDP密碼。從連接列表中選擇相同的連接,然后單擊“ 刪除”按鈕。然后確認刪除已保存的憑據。
或者,您可以直接從Windows憑據管理器中刪除RDP保存的密碼。轉到“控制面板\用戶帳戶\憑據管理器”部分。選擇“ 管理Windows憑據”,然后在保存的密碼列表中找到計算機名稱(以下格式TERMSRV/192.168.1.100)。展開找到的項目,然后單擊“ 刪除”按鈕。
在Active Directory域環境中,您可以通過使用特殊的GPO(網絡訪問)來禁用RDP連接的保存密碼:不允許存儲用于網絡身份驗證的密碼和憑據(請參閱文章)。
連接日志也保存在RDP / RDS主機端。您可以在事件查看器日志中找到有關RDP連接歷史記錄的信息:
在本文中閱讀有關RDP連接日志分析的更多信息。
您可以使用wevtutil或PowerShell清除RDP服務器上的事件日志。
“我的電腦系統是win10的,由于我平時的工作會接觸到比較多的文件,因此我經常會把這些文件保存在電腦上,但是最近我發現我莫名的缺失了部分文件,可能是被我誤刪了,還能找回來嗎?”
在使用電腦時我們可能經常發生誤刪文件的情況,今天小編以win10電腦為例,給大家分享下win10文件誤刪了怎么恢復的幾個簡單又好用的方法。這些方法是適合大部分用戶的,大家遇到類似情況可以進行嘗試哦!
Win10文件誤刪怎么辦?其實,電腦中的文件被刪除后,首先會被放入電腦回收站中。借助回收站是很有可能恢復被我們誤刪的文件的,操作如下。
步驟1:確認文件被誤刪后直接點擊進入【回收站】;
步驟2:此時文件在回收站中應該可以被查找到,定位到相關文件后,點擊【還原】。
Win10怎么恢復回收站中刪除的東西?如果回收站被清空,我們是無法使用方法一找回文件的,此時比較有效的方法是借助win10中的文件歷史來恢復誤刪的數據。
步驟1:定位到誤刪文件刪除前所在的文件夾,單擊右鍵選擇【屬性】;
步驟2:點擊【以前的版本】,選擇文件被刪除之前的版本,點擊【確定】。
提示:該功能在電腦上需要提前開啟,如果文件刪除前未啟用該功能,是沒有以前的版本的。
Win10徹底刪除文件恢復應該怎么做呢?當發現我們在電腦上無論怎么找也無法恢復文件時,建議先不要盲目操作,否則容易導致數據覆蓋,從而無法恢復文件。此時win10文件刪除了怎么恢復呢?比較好的一個方法是找到一款專業的數據恢復軟件,讓軟件來幫你找回誤刪的數據。
小編建議大家嘗試使用數據蛙恢復專家,這款軟件支持多種類型文件的恢復,包括圖片、音頻、電腦郵件、視頻、文檔等,無論您丟失的是哪種文件類型,都可以嘗試使用軟件來掃描。并且軟件擁有免費試用的功能,在數據丟失后越早使用軟件進行掃描,就有越大的可能性將數據成功恢復,以下是軟件的操作步驟。
數據恢復專家軟件下載鏈接:
https://www.shujuwa.net/shujuhuifu/
操作環境:
演示機型:Think Book T470s
系統版本:Windows 10
軟件版本:數據蛙恢復專家3.1.6
步驟1:在官網上將軟件正確安裝到需要進行數據恢復的電腦上,進入軟件后可以先不注冊,點擊【免費試用】;
步驟2:在軟件的選擇界面,可以選擇需要恢復的文件類型,如果需要進行全面的掃描,建議全選,同時勾選上需要掃描的磁盤,點擊【掃描】;
步驟3:快速掃描完成之后,可以選擇按【類型】或【路徑】來查看掃描的結果,如果在此次掃描中需要恢復的文件未被掃描到,點擊【深度掃描】;
提示:在深度掃描過程,如果電腦磁盤中文件太多,可能會導致掃描時間比較長,需要確保電腦有足夠的電量。
步驟4:深度掃描完成之后會呈現比較多的文件,此時建議借助【篩選器】對文件進行快速定位,查找并選擇完相應的文件后,點擊【恢復】,并為恢復后的文件選擇一個新的保存位置。
提示:保存位置最好與原先保存位置處于不同的磁盤中。
本文小編主要是以win10系統為例子,給大家總結了關于win10文件刪除了怎么恢復的一些簡單方法,但同時,如果你的電腦是其他系統的,也是可以通過這些簡單的方法來恢復丟失的文件的,快快進行嘗試吧!
往期推薦:
PDF文件恢復?記住這3個就夠了!
磁盤空間不足怎么清理?記好這3招!
電腦時間不對?調整電腦時間,就用這4個方法!